RODO – wprowadzenie

Wokół przepisów związanych z RODO wciąż panuje dezorientacja i chaos, bowiem nie ma szczegółowych wytycznych mówiących o tym jak wdrażać przepisy przewidziane przez unijne rozporządzenie. Dlatego RODO budzi niepokój, nie wiedząc do końca jak się do niego przygotować.

Zasadniczo, RODO muszą wprowadzić wszystkie podmioty gromadzące dane osobowe,  z wyłączeniem osób fizycznych (w ramach czynności o czysto osobistym lub domowym charakterze). Dodatkowo spod obowiązku wdrożenia RODO zwolnione są organy powołane do zapobiegania, wykrywania i ścigania czynów zabronionych, wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Mity wokół RODO

Wokół RODO narosło wiele mitów.
•    Pierwszy z mitów wskazuje na to, że aby móc przetwarzać dane osobowe, trzeba zawsze mieć do tego zgodę. Owszem, zgoda jest jedną z podstaw przetwarzania danych osobowych przewidzianych w RODO, ale nie jedyną. W ramach stosowania nowego prawa firmy/organizacje mogą rozważyć zastosowanie innych podstaw - jako jedną z możliwych można wskazać prawnie uzasadniony interes administratora danych. Takie prawne uzasadnienie nie jest łatwe i trzeba je odpowiednio przemyśleć oraz udokumentować, a także wykazać, że ten sposób przetwarzania nie narusza interesów lub podstawowych praw osoby, której dane dotyczą.
•    Drugi mit wskazuje na to, że RODO nie dotyczy pojedynczych jednostek, tylko dużych podmiotów, bo to je będą ścigać urzędy. Tak naprawdę RODO daje każdemu obywatelowi instrumenty do zarządzania własnymi danymi. Dlatego gdy ktoś przetwarza dane osobowe, jest narażony na konsekwencje, jeśli nie będzie przygotowany na nowe przepisy.
•    Niekiedy można spotkać opinię, że jeśli jakiś podmiot będący administratorem danych nie ma dostępu do nich, a powierza dane innym, to nie musi się przygotowywać. Ale przepisy są dla administratorów bardzo jasne i nakładają na nich określoną odpowiedzialność i obowiązki – także wtedy, gdy przetwarzanie powierzone jest innej firmie.
•    Kolejnym mitem jest pogłoska o tym, że w obliczu RODO na firmę może zostać nałożona olbrzymia kara, która wynosi 20 milionów euro. Jaka jest prawda? Kary, owszem, będą. Tam gdzie dane są traktowane bezmyślnie lub ze świadomym pominięciem zasad ich ochrony, mają być one dotkliwe. Celem kar jest zmobilizowanie tych podmiotów, które nie traktują kwestii prawnych wystarczająco poważnie, a także realne zabezpieczenie danych osobowych. W końcu mówimy o danych nas wszystkich i każdego z osobna. To ważna sprawa.

Na co trzeba się przygotować?

Podstawowym zadaniem w ramach przygotowania się do wejścia w życie RODO jest przede wszystkim zbudowanie świadomości, że sprawa jest poważna i dotyczy każdego podmiotu. Budowanie świadomości to zarówno szkolenia pracowników, jak i informacja docierająca do kierownictwa.
A jakie zmiany powinny zajść wewnątrz organizacji?
•    Należy zidentyfikować miejsca i procesy, gdzie w organizacji znajdują się dane osobowe i na jakich zasadach są przetwarzane. Na przykład od kogo otrzymujemy dane, komu je udostępniamy czy przesyłamy je poza obszar Unii Europejskiej, jak zabezpieczamy je od strony technicznej, organizacyjnej czy prawnej.
•    Kolejnym krokiem będzie zbadanie podstaw prawnych pozwalających na przetwarzanie tych danych i odpowiednie poprawienie polityk prywatności, notki o prywatności i informacji udostępnianych osobom, których dane dotyczą.
•    RODO wyposaża każdego z nas w prawa i instrumenty, aby odpowiednio zainspirować podmioty przetwarzające dane do wykonania naszych życzeń. Należą do nich na przykład prawo do zapomnienia, prawo dostępu do danych czy prawo do usunięcia danych. Dlatego równolegle do innych czynności należy się zatroszczyć o zaprojektowanie i opisanie procesów, które zrealizują te prawa. Należy tak zaprojektować system ochrony danych, aby uwzględniał aktualną wiedzę z dziedziny bezpieczeństwa, a także procedurę informowania
o naruszeniu ochrony danych – niektóre naruszenia będą wymagały na przykład powiadomienia Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od momentu ich stwierdzenia.
•    Organizacja powinna przemyśleć powołanie Inspektora Ochrony Danych, czyli osoby, która dysponuje specjalistyczną wiedzą w tym zakresie. Nie zawsze jest to wymagane, ale przy pomocy kompetentnej osoby łatwiej zarządza się sprawami, z którymi wcześniej nie miało się do czynienia.
•    Poszanowanie prywatności i zasad dotyczących danych osobowych powinno się odzwierciedlać w całym sposobie postępowania organizacji. Stąd potrzebne będą okresowe kontrole, czy aby na pewno wszystko działa prawidłowo.

Nowe przepisy o ochronie danych osobowych dla jednych są ewolucją, dla innych – istną rewolucją. Z pewnością można się zgodzić, że otwierają nowy rozdział w zasadach przetwarzania danych o osobach.  

Podstawa prawna: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane również RODO).


Opracowała: Karolina Furmańska
Doradca dla organizacji pozarządowych

ARTYKUŁ DO WYDRUKU