Zmiana przepisów unijnych dotyczących ochrony danych osobowych

Od maja 2018 roku wchodzi w życie nowe Rozporządzenie Unijne dotyczące ochrony danych osobowych (tzw. RODO). Wspomniane rozporządzenie w znaczący sposób poszerza obowiązki wszystkich podmiotów przetwarzających dane osobowe, wprowadzając jednocześnie wysokie kary finansowe za ewentualne naruszenia.

W związku z przetwarzaniem danych osobowych rozporządzenie wprowadza pojęcie „administratora” oraz „podmiotu przetwarzającego”. Zarówno na administratora, jak i na podmiot przetwarzający nałożono szereg obowiązków w zakresie ochrony danych osobowych.

Pojęcia, które należy wyjaśnić…

Przez administratora rozumie się osobę fizyczną lub prawną, organ publiczny jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Podmiotem przetwarzającym jest natomiast osoba fizyczna lub prawna organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Oznacza to, że administratorem lub podmiotem przetwarzającym będzie zarówno duża spółka akcyjna, jak i osoba prowadząca jednoosobową działalność gospodarczą. Musi być tutaj spełniony pewien warunek, jakim jest – przetwarzanie danych osobowych.

Poprzez przetwarzanie rozumie się: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie usuwanie lub niszczenie danych osobowych stanowiących część zbioru (uporządkowanego zestawu) danych, zarówno w sposób zautomatyzowany, jak i niezautomatyzowany.

Oznacza to, że przetwarzanie danych osobowych może mieć miejsce zarówno w systemie informatycznym, jak i poza nim.

Rozporządzenie – gdzie znajdzie zastosowanie?

Rozporządzenie nie znajdzie jednak zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze, a także przez państwa członkowskie, jak i właściwe organy do celów zapobiegania przestępczości.

Przepisy rozporządzenia znajdują zastosowanie do przetwarzania danych osobowych przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.

Oznacza to, że jeżeli przedsiębiorca będący administratorem lub podmiotem przetwarzającym posiada jednostkę organizacyjną w Unii (tzn. ma siedzibę lub posiada spółkę córkę w Unii), to jest on zobowiązany do przestrzegania przepisów rozporządzenia. Dzieje się tak nawet, jeżeli osoby, których dane zostały zgromadzone w zbiorze lub samo przetwarzanie ma miejsce poza Unią.

Ponadto przetwarzanie danych osobowych osób, których dane dotyczą, a które przebywają w Unii przez administratora lub podmiot przetwarzający niemający jednostek organizacyjnych w Unii, również podlega przepisom nowego rozporządzenia, jeżeli przetwarzanie wiąże się z oferowaniem towarów lub usług takim osobom w Unii, niezależnie od tego, czy wymaga się od tych osób zapłaty.

Kogo obowiązują nowe przepisy?

Nowe przepisy dotyczące ochrony danych osobowych będą obowiązywały wszystkich przedsiębiorców, którzy w związku ze swoją działalnością przetwarzają dane osobowe. Reforma dotyczy wszystkich przedsiębiorstw – bez względu na ich wielkość i obroty oraz niezależnie od formy prowadzonej działalności. Nowe przepisy znajdą również zastsowanie w przypadku osób fizycznych prowadzących działalność gospodarczą oraz małe spółki).

Nie ma przy tym znaczenia, czy będą to dane osobowe klientów, kontrahentów, pracowników, czy potencjalnych klientów przedsiębiorcy ani, czy dane te będą przetwarzane komputerowo, czy mechanicznie.

Ponadto, jeżeli przedsiębiorca będzie miał siedzibę w Unii, to będą go obowiązywały przepisy RODO.

O czym muszą wiedzieć przedsiębiorcy?

Pomimo, iż Rozporządzenie Unijne dotyczące ochrony danych osobowych (tzw. RODO) wchodzi w życie 25 maja 2018 roku niewątpliwie przedsiębiorca musi się przygotować na ten proces zdecydowanie wcześniej. Wyżej wskazane Rozporządzenie nakłada na przedsiębiorcę szereg obowiązków i działań niezbędnych do wdrożenia RODO. Należy przy tym pamiętać, że nie wszystkie działania mogą zostać podjęte od razu. Część z nich wymaga bowiem szczegółowych wytycznych. Wskazania będą wydawane przez odpowiednie organy. Może się to odnosić również do uchwalenia regulacji krajowych, które powinny ukazać się jeszcze przed majem 2018 roku.

Nie oznacza to jednak, że z implementacją RODO należy czekać do 25 maja 2018 roku. Wdrożenie RODO to proces wymagający czasu. Podjęcie zbyt późnych działań może skutkować tym, iż wraz z początkiem obowiązywania RODO przedsiębiorca nie będzie spełniał wszystkich kryteriów związanych z nowymi przepisami. Może to narazić go na wysokie kary pieniężne oraz odpowiedzialność odszkodowawczą.