Lokalna24 Kędzierzyn Koźle wiadomości z miasta i powiatu

Wkrótce wchodzi w życie nowe unijne rozporządzenie dotyczące ochrony danych osobowych. Zmiany, jakie do 25 maja 2018 roku muszą wprowadzić firmy w krajach członkowskich, są poważne, a za niedostosowanie się do nowych przepisów grożą wielomilionowe kary. Czy naprawdę jest się czego obawiać? 

 

Na pytania odpowiada radca prawny Krzysztof Stęc z Kancelarii Meissner & Partnerzy Radcowie Prawni w Opolu.

 

 

- Co to jest RODO?

- RODO to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które wejdzie w życie w dniu 25 maja 2018 r. i będzie bezpośrednio obowiązywało we wszystkich państwach członkowskich Unii Europejskiej. Oprócz tego w przygotowaniu jest nowa ustawa o ochronie danych osobowych.

- Kogo dotyczy to rozporządzenie?

- RODO dotyczy każdego administratora danych, tj. każdego, kto przetwarza dane osobowe. A dane osobowe przetwarza np. każdy pracodawca. RODO posiada nieliczne wyłączenia swojego obowiązywania. Nie dotyczy m.in. osób przetwarzających dane w ramach czynności o czysto osobistym lub domowym charakterze. Przy czym należy pamiętać, że przetwarzanie to właściwie każda czynność na danych osobowych, np. zapisanie numeru telefonu oraz imienia i nazwiska, gromadzenie CV w ramach rekrutacji pracowników. RODO dotyczy więc praktycznie każdego przedsiębiorcy.

- Czy sytuacja przedsiębiorców teraz się zmieni? Zmiany są duże?

- Następuje zmiana filozofii wymagań stawianych administratorom danych. Dotychczasowe przepisy wskazywały, co należy zrobić, kładły nacisk na realizację wymagań formalnych, np. zarejestrowanie zbioru danych osobowych, co zresztą często nie było przestrzegane. RODO całkowicie zmienia rozumienie ochrony danych osobowych. Po pierwsze, przepisy RODO kładą nacisk na osiąganie przez administratora celów stawianych przez RODO. Administrator, dążąc do tych celów, musi samodzielnie ocenić takie czynniki, jak np. ryzyko naruszenia praw i wolności osób, których dane dotyczą, środki techniczne i organizacyjne, które odpowiadają temu ryzyku, czy też koszt wdrożenia tych zabezpieczeń.

- Nie wystarczy zatem formalne uzupełnienie dokumentów o informacje wymagane przez RODO?

- Nie wystarczy. RODO wprowadza podejście oparte na ryzyku. Należy przede wszystkim przeprowadzić analizę ryzyka, która pozwoli ocenić, jakie środki bezpieczeństwa należy zastosować w celu ochrony danych osobowych. RODO wymaga więc podjęcia od administratora działań, które często będą wymagały wiedzy specjalistycznej. Rozwiązania, które u jednego przedsiębiorcy będą gwarantowały zgodne z RODO przetwarzanie danych osobowych, dla drugiego przedsiębiorcy niekoniecznie będą wystarczające. W razie kontroli ze strony organu nadzorczego administrator będzie zobligowany do wykazania, że zastosował właściwe środki w celu przetwarzania danych osobowych zgodnie z prawem.

 

 

- Na jakie obszary funkcjonowania przedsiębiorców wpłynie RODO?

- Przedsiębiorcy przetwarzają dane osobowe w wielu procesach biznesowych. RODO istotnie wpływa na obowiązki informacyjne po stronie przedsiębiorców. RODO zmienia wymogi dotyczące informowania o przetwarzaniu danych osobowych. Zakres udzielanych informacji będzie szerszy niż dotychczas. To powinno przełożyć się na obszerność dokumentów czy formularzy na stronach internetowych, za pomocą których osoby fizyczne podają swoje dane. Z pewnością niezbędne jest zweryfikowanie poprawności takich dokumentów i formularzy.

- A prawo pracy?

- To kolejny obszar zmian. Przygotowywane przez polskie władze przepisy oraz treść RODO wpływają na zakres przetwarzania danych osobowych przez pracodawców. Ostateczna treść nowej ustawy o ochronie danych osobowych nie jest jeszcze znana. W opublikowanym dotychczas projekcie ustawy warto zwrócić uwagę na regulację dotyczącą danych biometrycznych, jakimi są np. wizerunek twarzy czy odcisk palca. Przygotowywane zmiany wprowadzą regulacje dotyczące monitoringu w miejscu pracy - będzie on dopuszczalny pod ściśle określonymi warunkami.

- Czy zmieni się zakres danych, jakich pracodawca będzie mógł żądać od osoby ubiegającej się o zatrudnienie?

- Możliwe będzie żądanie od kandydata na pracownika np. jego numeru telefonu albo adresu e-mail, na co dotychczasowe przepisy nie pozwalały. Zniknie za to możliwość żądania podania przez taką osobę imion rodziców. Bonus sportowy dla ojców będzie znakomitym rozwiązaniem.

 

- Wbrew powszechnemu przekonaniu wielu przedsiębiorców przetwarza dane szczególne.

- Dokładnie. Szczególne kategorie danych osobowych w RODO odpowiadają dotychczasowemu pojęciu danych wrażliwych. Obejmują m.in. dane dotyczące zdrowia, seksualności lub orientacji seksualnej czy ujawniające poglądy polityczne, przekonania religijne, przynależność do związków zawodowych. Dane o zdrowiu pracownika są przecież zawarte w wynikach badań okresowych. Ponadto, przykładowo, w branży hotelarskiej przetwarzane są nieraz informacje dotyczące diet czy przeciwwskazań zdrowotnych do korzystania z usług danego rodzaju, np. z sauny. Warto zwrócić uwagę, iż zgodnie z projektem nowej ustawy o ochronie danych osobowych pracodawca nie będzie mógł przetwarzać danych osobowych pracowników dotyczących nałogów, a więc np. palenia papierosów.

- Sporo firm korzysta dziś z outsourcingu usług. Jak wygląda sprawa w tym przypadku?

- Firmy często korzystają z outsourcingu lub świadczą w ramach outsourcingu usługi, np. obsługi księgowo-kadrowej, sprzątania, ochrony czy magazynowania danych w chmurach obliczeniowych. Czynności te wiążą się często z przetwarzaniem danych osobowych w ramach outsourcingu. Pomiędzy administratorem danych a taką firmą  dochodzi do powierzenia przetwarzania danych osobowych. RODO wprowadza szczegółowe regulacje dotyczące powierzenia przetwarzania danych osobowych. Powoduje to konieczność weryfikacji, a w większości przypadków – aneksowania umów związanych z outsourcingiem usług. Administrator będzie musiał ocenić, czy wolno mu zawrzeć umowę powierzenia przetwarzania danych osobowych z danym podmiotem, i w razie zawarcia tego rodzaju umowy wykazać, że był do tego uprawniony. Na marginesie, warto też wskazać na istnienie ograniczeń, które będą dotyczyły przekazywania danych do państw niebędących członkami Unii Europejskiej.

- Dlaczego warto przestrzegać RODO? Czy przedsiębiorstwom grożą kary pieniężne?

- RODO wprowadza wysokie kary pieniężne za nieprzestrzeganie przez administratora przepisów dotyczących ochrony danych osobowych. W rozporządzeniu jest mowa o karach do 20.000.000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu. Oczywiście jest to maksymalna wysokość kar pieniężnych. Niemniej jednak kary mają być w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Warto zwrócić uwagę, że przestrzeganie przepisów dotyczących ochrony danych osobowych to także istotny element budowy wiarygodności przedsiębiorcy oraz ochrona tajemnic, które często decydują o sukcesie, np. bazy danych klientów.

Rozmawiała Ewelina Grün

Ilość ocen (0)

0 na 5 gwiazdek
  • Brak komentarzy