Na czym polega obowiązek informacyjny wynikający z RODO? 25 maja 2018 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, popularnie zwane RODO. Na jego mocy podmioty przetwarzające dane osobowe muszą udzielać szczegółowych informacji osobom, których dane ulegają przetwarzaniu. Na czym dokładnie polega obowiązek informacyjny?
Czym jest RODO?
RODO to skrót, którego większość z nas używa na co dzień, jednak w rzeczywistości mamy do czynienia z aktem prawnym, nakładającym na konkretne podmioty szereg dodatkowych obowiązków. W skrócie możemy powiedzieć, że RODO dotyczy kwestii przetwarzania i ochrony danych osobowych, choć oczywiście nie tylko. Niemniej jednak właśnie na tym skupiają się zarówno osoby fizyczne, jak i podmioty gospodarcze. Przepisy z zakresu RODO skupiają się na maksymalizacji bezpieczeństwa danych osobowych, co w praktyce oznacza, że nie można doprowadzać do ich wycieku. Faktem jest, iż informatyzacja sprawiła, że nasze podstawowe dane stały się szerzej dostępne, łatwiej jest ich także użyć do celów niepożądanych. Na początek zastanówmy się jednak, czym właściwie są dane osobowe? Na tym tle narosło w ostatnich latach wiele nieporozumień i mitów. Niektórzy twierdzą nawet, że do danych osobowych zaliczamy miejsce zatrudnienia, co oczywiście nie jest prawdą. Natomiast z pewnością za dane osobowe możemy uznać imię, nazwisko, numer PESEL, numer dowodu osobistego, dane lokalizacyjne czy inne, które w precyzyjny sposób pozwalają określić, kim dokładnie jest konkretny człowiek.
Na czym polega obowiązek informacyjny RODO?
Przedsiębiorca, który gromadzi dane osobowe, ma obowiązek przechowywać je oraz przetwarzać zgodnie z zapisami RODO. W praktyce oznacza to, że staje się on administratorem tych danych. Co istotne, w roli przedsiębiorcy może występować zarówno osoba fizyczna, prowadząca jednoosobową działalność gospodarczą, jak i spółka prawa handlowego. Nie można natomiast przypisać statusu przedsiębiorcy kadrze kierowniczej czy osobom zatrudnionym w firmie. Obowiązek informacyjny RODO zaczyna się już w momencie pozyskania danych osobowych. Innymi słowy, przedsiębiorca musi poinformować osobę fizyczną o tym, że owe dane pozyskał i teraz ma do nich dostęp. Jednocześnie musi on poinformować o tym, w jaki sposób dane będą przetwarzane. Dotyczy to zwłaszcza sytuacji, w której sam zainteresowany zwrócić się o przekazanie wiadomości. Informacji udziela się na piśmie bądź w formie elektronicznej, w zależności od konkretnej sytuacji oraz możliwości danego podmiotu gospodarczego. Powinniśmy mieć świadomość, że obowiązek informacyjny dotyczy nie tylko podmiotów działających stacjonarnie. Udając się na wizytę do lekarza, nie mamy wątpliwości, że przychodnia przetwarza nasze dane, chociażby po to, aby specjalista mógł wypisać receptę. Niemniej jednak nie wszyscy zdają sobie sprawę z tego, że dane przetwarzane są również przez właścicieli sklepów czy stron internetowych. Przepisy wskazują bowiem, że po samym numerze IP można zidentyfikować konkretną osobę, zatem należy traktować go jak dane osobowe.
Odpowiedzialność za uchybienie obowiązku informacyjnego
Wejście w życie przepisów RODO sprawiło, że niemal z dnia na dzień zostaliśmy zobowiązani do podpisywania większej ilości zgód, dotyczących na przykład przetwarzania danych osobowych. Niemniej jednak musimy mieć świadomość, że przedsiębiorcy, którzy uchybią obowiązkowi informacyjnemu, narażeni są na srogie kary finansowe. Zgodnie z przepisami prawa, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Możemy więc uznać, że to naprawdę wysoka kara. Co istotne, osoba fizyczna może nie zgodzić się na to, aby jej dane były przetwarzane, jednak w takim przypadku nie skorzysta z konkretnej usługi. Obowiązek informacyjny zgodnie z RODO dotyczy wyłącznie osób fizycznych, a nie firm czy instytucji publicznych.
Co się zmieniło?
Dla wielu z nas RODO stanowi prawdziwą rewolucję. Choć przepisy obowiązują od ponad 4 lat, to wciąż budzą wiele kontrowersji i nieścisłości. Tymczasem powinniśmy mieć świadomość, że wcześniej w Polsce również obowiązywało prawo, nakazujące ochronę danych osobowych. Przepisy nie były sprecyzowane, a kary tak wysokie, jednak nie można też było swobodnie udostępniać czyichś danych. Obecnie firmy muszą dysponować stosownymi regulaminami, w których znajdą się zapisy dotyczące tego, jak przetwarza się dane osobowe i w jakim celu się je pozyskuje. Tworzeniem regulaminów zajmują się doświadczeni prawnicy, którzy specjalizują się właśnie w tematyce RODO. Jednocześnie sprawują oni kontrolę nad procesem przetwarzania danych osobowych oraz przyjmują ewentualne zażalenia. Tworzenie regulaminów dotyczy nie tylko firm działających stacjonarnie, lecz również tych, które pozyskują klientów w sieci.