Każdy z nas słyszał termin RODO, szczególnie głośno było o RODO w 2018 roku, kiedy przepisy te weszły w życie. Nie każdy jednak zdaje sobie do końca sprawę co termin ten oznacza oraz jakie obowiązki się z nim wiążą.
Przeczytaj również: kary RODO
Co to jest RODO i na czym polega?
Powszechnie używany termin RODO oznacza rozporządzenie o ochronie danych osobowych. Rozporządzenie ro jest aktem unijnym, którego każde państwo członkowskie jest zobowiązane przestrzegać. RODO to zbiór przepisów odnoszących się do tego, jak poprawnie chronić dane osobowe przez podmioty je przetwarzające. Celem rozporządzenia było wprowadzenie ujednoliconych zasad dotyczących przechowywania i przetwarzania danych osobowych na terenie całej Unii Europejskiej.
Sprawdź jak wdrożyć RODO w twojej organizacji
Kogo dotyczy RODO?
RODO dotyczy wszystkich, którzy przetwarzają dane osobowej na terytorium Unii Europejskiej. Nawet mała jednoosobowa działalność może przetwarzać dane osobowe, a co za tym idzie być zobowiązana do wdrożenia przepisów RODO. Nie ma przy tym znaczenia gdzie odbywa się przetwarzanie danych ani gdzie znajdują się serwery.
Obecnie niemożliwym jest w praktyce prowadzenie działalności gospodarczej bez przetwarzania danych osobowych, a tym samy RODO ma zastosowanie do wszystkich przedsiębiorców, w tym nawet prowadzących małe biznesy np. salony kosmetyczne, logopedyczne, hotele.
Kogo nie dotyczy RODO?
Jest jednak kilka wyjątków, kiedy RODO się nie stosuje. Zgodnie z art. 2 ust. 2 RODO, RODO nie ma zastosowania do przetwarzania danych osobowych:
- w ramach działalności nieobjętej zakresem prawa Unii.
- przez Państwa członkowskie w ramach wspólnej polityki zagranicznej i bezpieczeństwa.
- przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.
- przez właściwe organy, gdy celem jest m.in. zapobieganie przestępczości czy bezpieczeństwo narodowe.
Które dane stanowią dane osobowe a które nie?
W tym miejscu warto wskazać, że za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, np. imię i nazwisko, PESEL, adres IP. Danymi osobowymi nie będą natomiast takie dane jak numer KRS, firmowy adres e-mail czy dane anonimowe, po których nie można zidentyfikować osoby. Co ważne, dane osobowe dotyczą wyłącznie osób fizycznych.
Na czym polega przetwarzanie danych osobowych?
Wprowadzenie RODO spowodowało, że określenie „przetwarzanie danych” stało się bardziej złożone. Nie można uznawać, że przetwarza dane tylko osoba, która je zbiera albo wykorzystuje. Pojęcie przetwarzania danych jest znaczenie szersze. Zgodnie z art. 4 pkt 2 RODO przetwarzanie to operacje lub zestaw operacji wykonywanych na danych osobowych, lub zestawach danych osobowych w sposób zautomatyzowany, lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Na czym polega obowiązek informacyjny wynikający z RODO?
Przetwarzając dane osobowe nie można zapominać, że zgodnie z RODO, na administratorze danych osobowych ciąży obowiązek informacyjny. Oznacza on, że przetwarzając czyjeś dane osobowe powinniśmy takiej osobie udzielić informacji między innymi o tym: kto przetwarza ich dane osobowe, w jakim celu, jak długo, na jakiej podstawie, kto ma dostęp do tych danych. Administrator danych osobowych powinien przekazać wszystkie informacje szczegółowo określone w art. 13 RODO.
Co ważne, należy pamiętać, że po pierwsze informacje te powinny zostać przekazane jasnym i prostym językiem. Tak aby osoba fizyczna rozumiała, na co wyraża zgodę. Po drugie powinny zostać przekazane najpóźniej w momencie zbierania od danej osoby jego danych osobowych.
Przepisy RODO nakładają na administratorów danych wiele obowiązków, które wymagają od nich zapewnienia odpowiednich środków organizacyjnych i technicznych mających na celu odpowiednią ochronę danych. RODO nie wskazuje konkretnych rozwiązań, czy środków bezpieczeństwa jakie należy zastosować, bowiem stosowane rozwiązania powinny być odpowiedni do skali ryzyka oraz specyfiki przetwarzania.
Co grozi za niestosowanie przepisów RODO?
Zgodnie z ustawą o ochronie danych osobowych organem nadzorczym, który dokonuje kontroli postanowień RODO w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Organ ten prowadzi również postępowania i kontrole w sprawie naruszenia przepisów o ochronie danych osobowych. W przypadku nieprzestrzegania przepisów RODO jest on uprawniony do nałożenia kar pieniężnych.