RODO – Unijne wskazówki dla przedsiębiorców
RODO – milionowe kary, rewolucja w podejściu do ochrony danych osobowych, nowe obowiązki, konieczność skrupulatnego przygotowania się i wyzwania techniczne stojące przed administratorami. Łatwo popaść w panikę i dezorientację w kontakcie z tego rodzaju przekazami.
Unia podpowiada
Coraz więcej jest szkoleń, artykułów, dyskusji, ale również chaosu wśród przedsiębiorców, którzy czują się zagubieni pośród wielu docierających do nich z różnych źródeł informacji. W związku z tym, Komisja Europejska opublikowała wskazówki dla małych i średnich przedsiębiorstw. Mają im one ułatwić wdrożenie nowych zasad ochrony danych osobowych. Unia w ten sposób chce przekonać o korzyściach płynących z regulacji i że zmiany wcale nie pociągną za sobą niepotrzebnych obciążeń natury biurokratycznej. Trochę ponad 100 dni przed wprowadzeniem nowej ustawy wytyczne określają, co jeszcze Komisja Europejska i krajowe organy ochrony danych i administracje krajowe powinny zrobić, aby doprowadzić do pomyślnego zakończenia przygotowań.
Wytyczne unijne
Nowe rozporządzenie przewiduje jeden zestaw zasad bezpośrednio stosowanych we wszystkich państwach członkowskich. Znaczy to, że będzie wymagać istotnych dostosowań, takich jak:
- zmiana obowiązujących przepisów przez rządy UE lub
- ustanowienie Europejskiej Rady Ochrony Danych przez organy ochrony danych.
Wytyczne przypominają o głównych innowacjach, możliwościach, jakie otwierają nowe zasady, podsumowują już podjęte prace przygotowawcze i nakreślają prace, które wciąż są prowadzone przez Komisję Europejską, krajowe organy ochrony danych i krajowe administracje.
Objaśnienia Komisji Europejskiej
Komisja Europejska objaśnia w przejrzysty sposób kluczowe dla sektora MŚP kwestie związane z praktycznym zastosowaniem i wprowadzeniem zasad ochrony danych osobowych wynikających z europejskiego rozporządzenia, takich jak: obowiązki inspektora danych, sposób załatwiania skarg i wniosków od konsumentów, tryb postępowania z danymi wrażliwymi czy lista informacji, jakie należy podawać przy zbieraniu zgód na przetwarzanie danych. Bruksela jednoznacznie podkreśla, że stosowanie nowych przepisów nie zależy od wielkości przedsiębiorstwa i liczby zatrudnianych osób. Kluczowe jest to, czy profil ich biznesu może powodować ryzyko naruszenia indywidualnych praw lub wolności.
Wyłączenie obowiązków wobec MŚP
Stanowisko Komisji Europejskiej nie przekreśla jednak możliwości wyłączenia niektórych obowiązków wobec MŚP przez poszczególne państwa – sama podaje przykłady przewidzianych wyjątków. Jeden dotyczy zwolnienia małych i średnich firm z obowiązku prowadzenia rejestru wszystkich operacji przetwarzania danych. Natomiast drugi przykład odnosi się do powoływania inspektorów ochrony danych (IOD). Komisja wyraźnie stwierdza, że konieczność wyznaczenia takiego specjalisty obejmie te MŚP, dla których przetwarzanie danych stanowi trzon ich działalności (chodzi np. o monitorowanie, profilowanie czy wykorzystywanie danych wrażliwych).
Przetwarzanie danych pracowników
Do najważniejszych zagadnień według Komisji, należy też sprawa przetwarzania danych swojego personelu przez pracodawcę. – Unia dopuszcza to na podstawie zgody pracownika, inaczej niż polski GIODO. Choć uważa też, że będą to sytuacje wyjątkowe. Precyzuje również listę informacji, jakie powinna podać firma przy zbieraniu zgód. Oprócz nazwy organizacji i celu przetwarzania wśród nich są także rodzaje wykorzystywanych danych, możliwość cofnięcia zgody, stosowanie profilowania oraz przekazywanie danych do krajów trzecich (o ile do tego faktycznie dochodzi).
Prawo do bycia zapomnianym
Co więcej, Komisja tłumaczy, że odpowiedź na żądanie przez osobę zainteresowaną usunięcia jej danych (czyli tzw. prawo do bycia zapomnianym) powinna być udzielona w ciągu miesiąca. Zakazane jest też pobieranie za to jakiejkolwiek opłaty, chyba że wnioski o skasowanie danych byłyby nieuzasadnione bądź uporczywe. To samo odnosi się do udostępniania danych osobowych.
Co ze starymi przepisami?
Nie ma natomiast jednoznacznego rozstrzygnięcia statusu zgód na przetwarzanie danych uzyskanych na podstawie starych przepisów. Według niektórych interpretacji przepisów RODO stają się one nieważne lub przynajmniej należy poinformować tych, którzy ich udzielili, o prawie do ich wycofania. Sam GIODO skłonił się jednak ku stanowisku, że stare zgody nie stracą ważności. Natomiast Komisja sugeruje, że nie jest to takie proste. Podaje również ciekawy przykład zgód, które jej zdaniem nie zachowają ważności: zgody zebrane w internecie przy pomocy domyślnie zaznaczonych na „tak” checkboxów. Nawet dzisiaj jest to bardzo popularna w Polsce praktyka.
Całość wskazówek Komisji Europejskiej znajduje się pod tym adresem: https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations_en.
