Reklama

Ogólne rozporządzenie o ochronie danych osobowych

RODO i jego skutki dla firm

Unijne rozporządzenie ogólne o ochronie danych osobowych (polski skrótowiec – RODO) stało się ostatnio przedmiotem powszechnego zainteresowania. W dzisiejszym artykule chcielibyśmy wyjaśnić, co to oznacza dla firm założonych w Niemczech, bo już 25 maja 2018 wejdzie ono w życie we wszystkich krajach członkowskich UE, obejmując każdą firmę, która gromadzi i wykorzystuje dane dotyczące osób fizycznych.

Właściciele firm, mający nadzieję, że nowe zasady jednak nie zostaną wprowadzone w ustalonym kształcie, mogą być niemile zaskoczeni. RODO obejmie bowiem wszystkie przedsiębiorstwa, niezależnie od liczby zatrudnianych pracowników czy wysokości osiąganego zysku. Oznacza to, że będzie ono obowiązywać zarówno bardzo dużą firmę, jak i drobnego sprzedawcę detalicznego. Jedną z najbardziej widocznych zmian w porównaniu z dotychczasowym stanem prawnym w Niemczech jest horrendalna wysokość potencjalnych sankcji.

Uwaga na grzywny

Okazuje się, że za ciężkie naruszenie przepisów o ochronie danych można było dotychczas nałożyć grzywnę w maksymalnej wysokości 300 000 euro. Zgodnie z nowymi zasadami jej górny limit wzrośnie do 20 milionów euro. W przypadku dużych przedsiębiorstw i koncernów grzywna może wynosić aż do 4% ich światowego rocznego obrotu! W przypadku mniejszych firm prawdopodobieństwo otrzymania grzywny niekoniecznie musi wzrosnąć wraz z wejściem w życie unijnego rozporządzenia o ochronie danych osobowych, ogólny poziom ryzyka stanie się jednak nieporównywalnie wyższy. Władze zapowiedziały już, że będą w pełni korzystać z rozszerzonych ram kar pieniężnych. W związku z tym istotne jest, by również małe i średnie firmy miały świadomość, jakie następstwa niesie za sobą wprowadzenie nowych uregulowań.

 

Jakie obowiązki należy spełnić

Ważną zmianą, którą wprowadza rozporządzenie, jest przerzucenie na przedsiębiorcę obowiązku udowodnienia, że działa on zgodnie z obowiązującymi przepisami. Dotychczas przestrzeganie przepisów o ochronie danych osobowych przez średniej wielkości firmy było najczęściej równoznaczne z ich nienaruszaniem. RODO widzi tę kwestię inaczej, nakładając na przedsiębiorstwa liczne obowiązki, które należy aktywnie wypełniać, aby uniknąć nałożenia grzywny.

Najważniejsze wytyczne wynikające z RODO

1. Rejestr czynności przetwarzania danych osobowych

Każde przedsiębiorstwo jest zobowiązane do prowadzenia rejestru wszelkich czynności przetwarzania danych osobowych. Rozporządzenie przewiduje wprawdzie wyjątek w postaci zwolnienia mniejszych firm z tego obowiązku, jednak liczne odstępstwa od tego wyjątku są tak daleko idące, że nawet mikroprzedsiębiorstwa nie będą w stanie realnie z niego skorzystać. W rejestrze muszą być wyszczególnione wszystkie procesy przetwarzania danych osobowych – wraz z podaniem celu przetwarzania oraz planowanego terminu usunięcia poszczególnych kategorii danych. Rejestr może być prowadzony w formie elektronicznej, na przykład jako tabela programu Excel. Należy okazać go niezwłocznie na żądanie organów kontrolnych.

2. Uprawnienia osób, których dane dotyczą

Istotną częścią RODO są prawa osób, których dane osobowe są przetwarzane. Wiele zagadnień nie jest przy tym nowością, lecz diabeł jak zwykle tkwi w szczegółach. Tak jak dotychczas klient ma prawo do otrzymania informacji dotyczącej gromadzenia jego danych. Informacja ta musi zostać udzielona niezwłocznie. Oznacza to, że w każdym przedsiębiorstwie należy stworzyć proces regulujący właściwe udzielanie informacji zainteresowanym osobom. Nowością jest generalne prawo do sprzeciwu wobec przetwarzania danych osobowych. Oczywiście nie dotyczy to sytuacji, w których dane są gromadzone przez firmę na przykład w celu realizacji umowy. Jeśli chodzi jednak o dane, które są przetwarzane wyłącznie do celów marketingowych, będą one podlegały bezwzględnemu usunięciu na żądanie klienta.

3. Informowanie o ochronie danych osobowych

„Polityka prywatności” to pojęcie doskonale znane wszystkim firmom, które na swoich stronach internetowych muszą umieszczać informację na temat przetwarzania danych osobowych. Nowe prawo wykracza poza obecną perspektywę, i to w dwóch kierunkach. Z jednej strony obowiązek informowania będzie odnosił się do wszystkich procesów przetwarzania danych osobowych. Nawet w przypadku zbierania danych metodą „offline” – na przykład podczas rozmowy z klientem – konieczne będzie poinformowanie go o przetwarzaniu danych. Poza tym zostanie poszerzony zakres obowiązkowych informacji, które firma będzie musiała udzielić osobie fizycznej w związku z przetwarzaniem jej danych.

4. Obowiązek zgłaszania naruszeń ochrony danych

Znacznie poszerzony został obowiązek zgłaszania naruszeń ochrony danych osobowych. Dotychczas było to konieczne tylko w wyjątkowych sytuacjach. Zgodnie z nowym prawem właściwie każde naruszenie ochrony danych osobowych będzie musiało zostać zgłoszone właściwym organom (w niektórych sytuacjach również osobom, których dane dotyczą) w ciągu 72 godzin. Obowiązek ten wiąże się z wdrożeniem w firmach odpowiednich procesów, które będą regulowały postępowanie w przypadku naruszenia ochrony danych.

5. Wyznaczenie inspektora ochrony danych osobowych

RODO przewiduje również konieczność wyznaczenia inspektora ochrony danych osobowych w firmie, jeśli co najmniej 10 zatrudnionych w niej pracowników w sposób ciągły zajmuje się elektronicznym przetwarzaniem danych osobowych. Ponieważ w praktyce dotyczy to właściwie wszystkich przedsiębiorstw zatrudniających powyżej 10 osób, w maju 2018 wiele firm będzie zmuszonych do powołania inspektora ochrony danych osobowych.


W razie pytań zapraszamy na
www.smuda-consulting.com
lub telefonicznie
0048 / 77 403 24 26