RODO w praktyce, czyli konkretnie co to jest i kogo dotyczy?

RODO? To hasło słyszy się już dosłownie wszędzie. 25 maja 2018 roku wchodzi w życie nowe unijne rozporządzenie o ochronie danych osobowych. Wzbudza ono strach, wątpliwości oraz obawy wielu przedsiębiorców. Kogo tak naprawdę to dotyczy? O co chodzi? Sprawdź, na czym polega RODO w praktyce i czy dotyczy właśnie Ciebie.

Czy RODO należy się bać?

Nie.

Czy nowa ustawa tak naprawdę jest z czymś wiążąca?

Tak.

RODO wzbudza wiele emocji, ponieważ wciąż słyszymy o karach finansowych. Zmiany wprowadzają spartańskie kary pieniężne, które nakładane będą na zarządzających danymi, mogące wynieść nawet 20 mln EUR lub 4% rocznego obrotu przedsiębiorstwa. Ale bez obaw. Jeżeli uczciwie przetwarzałeś do tej pory dane swoich klientów, to możesz spać spokojnie. Wystarczy wprowadzić drobne korekty oraz upewnić się, że zabezpieczyłeś swoje pliki przed obcymi. Ale od początku.

Pytanie podstawowe — co to jest to RODO?

RODO jest to unijne Rozporządzenie o Ochronie Danych Osobowych, które wchodzi w życie już w najbliższy piątek, czyli 25 maja 2018 roku. Do tej pory każdy europejski kraj we własnym zakresie dbał (lub nie dbał) o nasze dane osobowe. W tym momencie Unia Europejska ujednolica zasady ochrony danych osobowych osób fizycznych na terenie UE. Zabezpieczane dane osobowe są to dane, które pozwalają nas zidentyfikować, np. imię i nazwisko, numer PESEL, adres, e-mail (jeżeli zawiera imię i nazwisko osoby) lub pokrewne informacje. I tyle.

Kiedy dotyczy nas RODO?

RODO dotyczy każdego przedsiębiorcy. Nie ważne, że posiadasz jedynie sklep internetowy i nie wysyłasz żadnego newslettera lub wystawiasz jedynie fakturę. Musisz stosować się do nowych zasad. Przetwarzanie danych osobowych to każda operacja z nimi związana, czyli gromadzenie tych danych, przechowywanie ich, usuwanie i wysyłanie w celach zarobkowych/zawodowych. Wielkość firmy ma znaczenie? Nie. RODO dotyczy każdego od jednoosobowej działalności gospodarczej do dużych spółek sprzedających w Unii Europejskiej — bez względu, czy posiada siedzibę poza terenem wspólnoty.

Konkretnie — przedsiębiorca musi dostosować zasady przetwarzania i ochrony danych osobowych do reguł, które wyznacza to rozporządzenie. Mimo wszystko zasady są dość szerokie i należy zastanowić się, czy prawidłowo przechowuje się i chroni dane osobowe.

Ok, zbliża się 25 maja. Co robić?

Usiąść i zastanowić się, jakie dane przetwarzam, jakie zabezpieczenia stosuję, sprawdzić, kto korzysta z moich danych oraz czy nie mam ich za dużo. RODO wprowadza obowiązek minimalizacji danych, dlatego konieczne jest posiadanie tylu danych, ile potrzebuję do prowadzenia działalności. Na przykładzie sklepu internetowego — wystarczy imię i nazwisko, adres, dane finansowe oraz numer zamówienia. Jeżeli mam ich za dużo, to co mam zrobić? Usunąć, zniszczyć, zlikwidować. Po prostu. Mam gdzieś to zgłosić. Nie jest to obecnie konieczne.

Po wejściu w życie RODO muszę pytać klientów o zgodę?

Jasne. Koniecznie przed zebraniem danych klienta. Najważniejsze, żeby użytkownik sam wyraził zgodę na przetwarzanie danych osobowych. RODO wprowadza restrykcje dotyczące checkboxów — nie mogą być zaznaczone domyślnie. Jeżeli są, łamiemy zasady. Po wejściu ustawy w życie musimy wystąpić ponownie o zgodę, chyba że została zebrana wcześniej w sposób prawidłowy.

Warto dodać na naszą stronę politykę przetwarzania danych osobowych. Przed wejściem w życie RODO był obowiązek posiadania takiego dokumentu i został on zniesiony (tak samo, jak obowiązek rejestrowania danych osobowych do GIODO). W wypadku kontroli dokument dostosowany do obecnych standardów RODO jest bardzo mile widziany. 

Jakie dane zabezpieczać?

RODO wprowadza zasadę odpowiedzialności na zasadzie ryzyka. Każdy właściciel firmy musi sam ocenić, czy ten stopień zabezpieczenia danych osobowych jest dla niego wystarczający. Im mniejsza firma, tym mniejsze obawy o zabezpieczenia — wystarczy odpowiednio przechowywać laptop, posiadać silne hasła i zainstalować programy antywirusowe. Z większymi firmami środki zabezpieczające powinny być wyższe. Można w takim wypadku powołać Inspektora Danych Osobowych, ale to zmartwienie dużych przedsiębiorstw. W jednoosobowej działalności gospodarczej nie ma takiej potrzeby. Sam właściciel firmy poradzi sobie z wszelkimi zabezpieczeniami.

W życie wejdzie również obowiązek informowania Prezesa Urzędu Ochrony Danych Osobowych o przypadkach naruszenia tych danych. Kiedy? Gdy zostanie skradziony nam laptop, ktoś złamie zabezpieczenia lub stopień ryzyka jest wysoki (ustala się go samemu). Należy oszacować zagrożenie wykorzystania danych, przetwarzania danych poufnych (np. o stanie zdrowia) lub gromadzenia ich w celach przestępczych. Jeżeli ryzyko jest wysokie, obowiązkiem jest poinformowanie Prezesa w ciągu 72 godzin o zdarzeniu naruszenia danych. Jeżeli tego nie zrobimy — możemy spotkać się z karami.

Czy RODO dotyczy także sklepów stacjonarnych?

Nie, w wypadku nie gromadzenia danych osobowych klientów. Jeżeli wystawiamy faktury, to nie ma obowiązku uzyskiwać zgody na przetwarzanie danych osobowych klientów. Jeżeli wykorzystujemy takie dane w celach promocyjnych, najlepiej byłoby posiadać zgodę pisemną. I tyle.

Masz pytania dotyczące RODO? Pisz śmiało w komentarzu! 👇😊 

  • Dorota Grabowska

    W kontekście nowych przepisów najlepiej jest być świadomym i jak konkretnie zarządzać danymi osobowymi. Ja czytałam fajne artykuły na https://poznajrodo.pl/, wszystko wytłumaczone fajnym, prostym językiem.