W związku z wejściem w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej zwanego dla ułatwienia RODO) pojawiło się wiele wątpliwości. Większość z nich to pytania w stylu „czy istnieje życie po RODO?” lub „czy muszę poprosić moich rodziców o zgodę na przetwarzanie ich danych osobowych?” W poniższym krótkim artykule postaram się rozwiać część z nich.
Przede wszystkim trzeba jasno podkreślić, że RODO powstało przede wszystkim w celu ochrony danych osobowych konsumentów, na których nie nakłada żadnych obowiązków, ale za to przyznaje wiele uprawnień. RODO poza przedsiębiorcami, nakłada obowiązki również na organy administracji publicznej. Drogi czytelniku, jeżeli czytasz ten artykuł i nie prowadzisz działalności gospodarczej, możesz już w tym momencie odetchnąć z ulgą.
Dane osobowe to informacje dotyczące danej osoby które w pośredni lub bezpośredni sposób pozwalają na jej zidentyfikowanie. Bezpośrednią identyfikację umożliwiają nam m. in. imię i nazwisko, adres, wizerunek, a pośrednią identyfikację np. numer PESEL, imiona rodziców, czy numer telefonu.
Dane osobowe dzielą się na dane „zwykłe” i na dane szczególnie chronione. Danymi szczególnie chronionymi są dane, które z różnych względów dotyczą delikatnych sfer życia człowieka, takich jak stan jego zdrowia, orientacja seksualna, wyznanie, przynależność etniczna czy rasowa itp.
Poza szeregiem innych rozwiązań RODO wprowadza kary finansowe dla przedsiębiorców. Jeżeli myślicie, że najgorszym co może spotkać przedsiębiorcę jest mandat w wysokości 500 zł to pozostajecie w dużym błędzie, ponieważ maksymalna wysokość kary wynosi 20 milionów euro lub 4% wartości światowego rocznego przychodu przedsiębiorstwa (w zależności od tego, która z tych wartości okaże się wyższa). Oczywiście jest to maksymalna wysokość kary i zupełnie inaczej wyglądać będzie kara nałożona na ogromny koncern, który doprowadził do wycieku danych, a inaczej kara dla małego przedsiębiorcy, który niewłaściwie wprowadził w swojej firmie RODO.
W tym miejscu warto podkreślić, iż przedsiębiorca odpowiada za naruszenia bezpośrednio, niezależnie od tego czy korzysta z usług zewnętrznej firmy przetwarzającej dane osobowe lub czy powołał inspektora ochrony danych (funkcja w dużych firmach, osoba odpowiedzialna za utrzymanie poprawnej polityki ochrony danych osobowych).
Przedsiębiorcy muszą również prowadzić rejestr naruszeń danych osobowych, czyli przypadków w których doszło lub nawet mogło dojść do naruszenia ochrony danych osobowych, takich jak np. kradzież laptopa, włamanie do biura, czy pozostawienie dokumentów z danymi osobowymi w autobusie. Mają też obowiązek zgłaszania wszystkich przypadków naruszeń.
Przedsiębiorca ma obowiązek informacyjny wobec konsumenta, co oznacza, iż musi poinformować go o tym kto jest administratorem jego danych osobowych, gdzie mieści się jego siedziba, jak będą przetwarzane jego dane osobowe, czemu służy cel tegoż przetwarzania, jak również tego, iż konsumentowi przysługuje prawo do m. in. wglądu, modyfikacji oraz bycia zapomnianym.
W niektórych sytuacjach konsument nie musi wyrażać zgody na przetwarzanie swoich danych osobowych. Jednym z takich przypadków jest ich przetwarzanie wynikające z zawartej umowy. W wypadku gdy przepisy nie przewidują braku konieczności uzyskania zgody, przedsiębiorca jest jednak zobowiązany do uzyskania zgody konsumenta. Konsument może zwrócić się do przedsiębiorcy z żądaniem usunięcia jego danych osobowych. Może również żądać ich przekazania do innego podmiotu, np. z jednej firmy do drugiej.
Każda osoba, której dane osobowe zostały naruszone wskutek ich przetwarzania, może domagać się od ich administratora lub podmiotu je przetwarzającego odszkodowania, którzy ponoszą w tym zakresie odpowiedzialność solidarną. Powyższe naruszenie może być zasądzone w sytuacji kiedy powstała szkoda majątkowa (np. wskutek ujawnienia naszych danych osobowych ktoś wykorzystuje je do wyłudzenia kredytu w naszym imieniu) lub szkoda niemajątkowa (np. naruszenie naszych dóbr osobistych poprzez ujawnienie danych osobowych).
Zarówno administrator danych osobowych, jak i podmiot je przetwarzający (tzw. procesor, przykładowo może być nim zewnętrzne biuro rachunkowe) odpowiadają za przypadki naruszenia wynikłe z niedopełnienia obowiązków nałożonych nań przez przepisy prawa. Jeżeli do wycieku danych osobowych doszło w przedsiębiorstwie zabezpieczonym zgodnie z obowiązującymi normami, np. na skutek złośliwości pracownika, nie będziemy mówić o odpowiedzialności administratora danych osobowych, gdyż ten dochował wszelkiej staranności w celu ich poprawnego przetwarzania i nie miał wpływu na możliwość ich wycieku.
Większość rozwiązań wprowadzanych przez RODO to znane od wielu lat konstrukcje, jednak nie ulega wątpliwości, że zwiększeniu uległ stopień kontroli nad nimi. W najbliższych miesiącach i latach wiele zapisów RODO będzie ulegało wyklarowaniu na skutek praktyki, a wszechobecna panika zmieni się w przepełnioną lekkim niepokojem akceptację. Do tego czasu pozostaje nam czekać i uważnie obserwować sytuację.
Adwokat Marcin Smyczek