5 mitów o RODO
- Czy RODO rzeczywiście wprowadza rewolucyjne zmiany w zakresie ochrony danych osobowych w polskich przedsiębiorstwach?
- Czy nowe przepisy dotyczą osób pracujących na zlecenie?
- Czy od momentu wprowadzenia RODO dane osobowe muszą być szyfrowane?
Nagłówki prasowe i internetowe straszące wielomilionowymi karami sprawiają, że nowe unijne rozporządzenie Parlamentu Europejskiego i Rady 2016/697 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, tzw. RODO albo GDPR (ang. General Data Protection Regulation), zaczęło obrastać w mity w lawinowym tempie. Moja praktyka wskazuje, że dla większości przedsiębiorców RODO rysuje się jako góra lodowa, z którą nieuchronnie zderzy się ich działalność i prawdopodobnie na skutek tego zderzenia zatonie jak Titanic. Prawdą jest, że najbardziej nieodpowiedzialną postawą, jaką przedsiębiorca może przyjąć w stosunku do rozporządzenia, jest postawa ignoranta, czyli rezygnacja z wdrożenia RODO w prowadzonej działalności. Mitem jest natomiast twierdzenie, że w praktyce RODO jest aż tak straszne, jak je malują. Na potwierdzenie tej tezy odniosę się do pięciu mitów na temat RODO.
[MIT 1]
RODO to totalna rewolucja.
Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony danych osobowych postrzegane jest jako absolutna rewolucja w ochronie danych osobowych – regulacja, która wszystko wywraca do góry nogami i nakłada na przedsiębiorców obowiązki zupełnie nowe, dotąd nieznane.
Nieprawda.
Ochrona danych osobowych nie jest w Polsce żadnym novum. Przed wprowadzeniem RODO obowiązywała w naszym porządku prawnym ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Zatem od ponad 20 lat w Polsce istnieje prawo regulujące zasady ochrony danych osobowych. Problem jest tylko taki, że na gruncie wskazanych przepisów nie wykształciła się w naszym kraju tzw. kultura ochrony danych osobowych. Jedną z przyczyn takiego stanu rzeczy jest brak w przywołanej ustawie o ochronie danych osobowych skutecznych instrumentów egzekwowania obowiązków nią przewidzianych. Jeśli napiszę teraz, że jeszcze przed okresem obowiązywania RODO każdy przedsiębiorca, który posiadał bazę danych, np. osób zamawiających za pośrednictwem strony internetowej wiadomości newsletter, miał prawny obowiązek zarejestrować ją w GIODO, większość czytelników okaże zapewne zdziwienie. Co więcej, w przypadku przekazywania tych danych innym podmiotom, np. profesjonalnie zajmującym się mailingiem tego typu wiadomości, obowiązujące w Polsce prawo wymagało zawarcia od przedsiębiorcy z tym podmiotem umowy o powierzenie danych osobowych. Jeśli dodam, że krajowe rozporządzenia wykonawcze do tej ustawy wskazywały enumeratywnie szereg zabezpieczeń technicznych i organizacyjnych, które przedsiębiorca posługujący się taką bazą powinien w firmie wdrożyć, oraz że za brak rejestracji bazy groziła obecnie kara grzywny, ograniczenia wolności albo pozbawienia wolności do roku, to mogę zostać posądzona o to, że mylę zapisy RODO z którąś z krajowych ustaw. Nie, nie mylę. Po prostu większość małych i średnich przedsiębiorców nie wywiązywała się z nałożonych na nich przez polskie prawo obowiązków w zakresie ochrony danych osobowych – po części z powodu niewiedzy, a po części z tego, że ryzyko kontroli czy otrzymania kary finansowej było znikome. W dużym uproszczeniu można wskazać, że RODO jest rewolucyjne o tyle, że ryzyko kontroli i odpowiedzialność finansowej za nieprzestrzeganie przepisów o ochronie danych osobowych ze stopnia „znikome” urasta do stopnia „bardzo realne”. Po dodaniu do tego wysokości przewidywanych przez RODO kar (najniższe z nich to 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa) sankcje za ignorowanie przepisów o ochronie danych osobowych od 25 maja 2018 r. są w praktyce „bardzo, ale to bardzo dotkliwe”.
[MIT 2]
RODO dotyczy tylko branży IT, sklepów internetowych, marketingu i handlu z konsumentami.
Nieprawda.
To jeden z najczęściej powielanych mitów i w mojej ocenie najbardziej szkodliwy. RODO dotyczy każdego przedsiębiorcy, który przetwarza dane osobowe. Nieważne, czy jest to spółka, czy jednoosobowa działalność gospodarcza. RODO nie wprowadza kryterium formy prowadzenia działalności ani jej rozmiarów. Kryterium jest przetwarzanie danych osobowych. Tym samym zarówno ten, który zatrudnia jednego pracownika, jak i zatrudniający 150 pracowników, ma obowiązek wdrożenia RODO. RODO podlega również ten, kto nie zatrudnia pracowników, ale świadczy usługi na rzecz osób fizycznych lub przedsiębiorców wpisanych do CEiDG i w związku z tymi usługami przetwarza ich dane. Należy pamiętać, że zbiorami danych osobowych podlegającymi pod RODO mogą być: dane klientów (zarówno konsumentów, jak i osób prowadzących indywidualną działalność gospodarczą), dane pracowników oraz osób, które świadczą dla nas różnego rodzaju usługi – np. sprzątaczki, portiera, informatyka, dane wpisane do książki wejść i wyjść czy do dziennika korespondencji, dane w postaci zapisu monitoringu wizyjnego czy umieszczone w aplikacji do fakturowania, dane z rejestru reklamacji albo karty gwarancyjnej.
Wykorzystałeś swój limit bezpłatnych treści
Pozostałe 61% artykułu dostępne jest dla zalogowanych użytkowników portalu. Zaloguj się, wybierz plan abonamentowy albo kup dostęp do artykułu/dokumentu.