2020-03-18
Wejście w życie w dniu 25 maja 2018 roku Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, potocznie nazywane RODO) w znacznym stopniu wymogło zmianę podejścia do ochrony danych osobowych i zagroziło wysokimi karami za naruszenie obowiązujących w tym względzie zasad. Przedstawiamy istotne - z perspektywy przedsiębiorcy - kwestie związane z niniejszym zagadnieniem.
Do dnia wejścia w życie RODO kwestię ochrony danych osobowych w Polsce regulowała Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 roku. Wejście w życie RODO wymogło zmiany w rodzimych regulacjach, czego efektem jest nowa Ustawa o ochronie danych osobowych z dnia 10 maja 2018 roku (obowiązująca od 25 maja 2018 roku).
Nowa ustawa zlikwidowała instytucję Generalnego Inspektora Ochrony Danych Osobowych na rzecz Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Należy także wyróżnić zlikwidowanie funkcji Administratora Bezpieczeństwa Informacji (ABI), którego teraz zastąpił Inspektor Ochrony Danych Osobowych (IODO).
RODO oraz Ustawa o ochronie danych osobowych nie precyzują wprost, kogo dotyczą niniejsze regulacje, wskazują natomiast katalog podmiotów wyłączonych z obowiązku ich przestrzegania. Z treści art. 2 i art. 3 RODO wynika, że ustawą objęty jest każdy przedsiębiorca, bez względu na jego wielkość, zakres działania, czy ilość zatrudnionych pracowników.
Katalog wyłączający stosowanie RODO jest wąski. Dla przykładu, RODO nie dotyczy działalności nieobjętej zakresem prawa Unii Europejskiej, akt ten nie ma też zastosowania do osób fizycznych w ramach czynności o czysto osobistym lub domowym charakterze. Niemniej należy mieć świadomość, że przepisy te dotyczą nawet przedsiębiorcy prowadzącego jednoosobową działalność gospodarczą.
Zgodnie z brzmieniem art. 4 Pkt 1 RODO, danymi osobowymi są informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie. Z perspektywy przedsiębiorcy będą to szczególnie takie dane jak imię i nazwisko osoby, numer identyfikacyjny (np. PESEL), dane o lokalizacji (np. dane adresowe), czy też identyfikator internetowy (np. e-mail).
Definicja ta przewiduje też szczególne czynniki określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Ponadto, w artykule 9. Rozporządzenia zawarty został katalog danych szczególnie chronionych, których przetwarzanie - co do zasady - jest zabronione (np. stan zdrowia, orientacja seksualna, pochodzenie rasowe, dane biometryczne).
Z ochroną danych osobowych nierozerwalnie wiąże się pojęcie ich tzw. „przetwarzania”. Na gruncie RODO, przetwarzanie dotyczy operacji (lub zestaw operacji) wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Będą to takie działania, jak:
W art. 6 RODO przewidzianych jest kilka okoliczności, które uprawniają do przetwarzania danych osobowych. Z perspektywy przedsiębiorcy istotny jest obowiązek pozyskania zgody na ich przetwarzanie od osoby, której dane te dotyczą. Jednak przetwarzanie jest także możliwe np. wówczas, gdy jest ono niezbędne do wykonania umowy, której stroną jest osoba, której dotyczą dane.
Administratorem danych osobowych w przedsiębiorstwie jest osoba fizyczna lub prawna, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W praktycznym ujęciu administratorem danych w przedsiębiorstwie będzie osoba fizyczna będąca właścicielem przedsiębiorstwa, z kolei w przypadku przedsiębiorstwa posiadającego osobowość prawną - będzie nim samo przedsiębiorstwo (obowiązki administratora pełni tu zarząd).
Administrator odpowiada za wdrożenie procedur bezpieczeństwa i realizację aktów prawnych związanych z ochroną danych osobowych. Po stronie administratora leży też ustalenie celu i zakresu przetwarzania danych oraz zapewnienie ich prawidłowego przetwarzania. Należy zwrócić uwagę, że administrator może powierzyć przetwarzanie danych zewnętrznemu podmiotowi przetwarzającemu.
Ani RODO ani Ustawa o ochronie danych osobowych nie wskazują precyzyjnie, w jaki sposób administrator powinien zapewnić bezpieczeństwo danych osobowych. Sytuacja winna zostać oceniona indywidualnie, między innymi z uwzględnieniem zakresu i ryzyka naruszenia danych osobowych, czy też biorąc pod uwagę koszty wdrożenia zabezpieczeń.
Jednocześnie Rozporządzenie stanowi, że zabezpieczenia mogą mieć charakter zarówno techniczny jak i organizacyjny. Co ważne, zabezpieczenia te powinny być adekwatne do charakteru, zakresu, kontekstu i celu przetwarzania, a także do ryzyka naruszenia praw lub wolności osób, których dotyczą dane. RODO wskazuje kilka elementów, które w stosownych okolicznościach powinny być wykorzystywane przez administratora. Należą do nich:
Obowiązkiem administratora jest wprowadzenie zabezpieczeń zarówno natury technicznej, jak i organizacyjnej. Środkami natury technicznej będą np.:
RODO nakłada na administratorów danych osobowych obowiązek rejestrowania czynności przetwarzania (art. 30. RODO). Co do zasady, rejestrowanie takich czynności spoczywa na każdym przedsiębiorcy. Wyjątkiem jest przedsiębiorca, który zatrudnia mniej niż 250 osób, chyba że:
Niestety konstrukcja tych wyjątków ma charakter nieostry i może nastręczać trudności interpretacyjnych. W razie wątpliwości co do „sporadycznego” charakteru przetwarzania danych osobowych zalecamy, by nawet mały przedsiębiorca prowadził tego rodzaju rejestr. Szczegółowy wykaz informacji, jakie rejestr powinien zawierać, zawarty jest w art. 30 ust. 1 RODO.
Inspektor ochrony danych to osoba, do której zadań - w ogólnym ujęciu ?- należy wspieranie przedsiębiorstwa w zakresie przestrzegania przepisów o ochronie danych osobowych. Inspektor ochrony danych monitoruje przestrzeganie RODO, informuje administratora lub podmiot przetwarzający o obowiązkach wynikających z Rozporządzenia, współpracuje też z PUODO.
Nie każdy przedsiębiorca ma obowiązek ustanawiania inspektora ochrony danych, jednakże istnieje taka możliwość nawet wówczas, gdy przepisy RODO tego nie wymagają. Obowiązek powołania inspektora ochrony danych istnieje wówczas, gdy - zgodnie z art. 37 RODO:
Przedsiębiorca powinien pamiętać, że administrator danych - w przypadku naruszenia ochrony danych osobowych - ma obowiązek zgłosić ten fakt organowi nadzorczemu (PUODO). Naruszenie winno być zgłoszone najpóźniej w ciągu 72 godzin od chwili jego stwierdzenia.
Zgłoszenie nie jest wymagane jedynie w sytuacji, w której istnieje małe prawdopodobieństw, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Należy zwrócić uwagę na nieostry termin tego sformułowania, co może nastręczać dużych wątpliwości administratorowi danych w momencie realnego naruszenia danych.
Za nieprzestrzeganie przepisów RODO oraz Ustawy o ochronie danych osobowych PUODO może nałożyć kary pieniężne na podmiot dopuszczający się naruszenia. Co do zasady, określając wysokość kary, organ nadzorczy bierze pod uwagę kilka czynników, takich jak np. skala naruszenia, umyślność naruszenia, czy też kategorie danych osobowych, których dotyczyło naruszenie.
W zależności od charakteru naruszenia, kara pieniężna może sięgać - w przypadku przedsiębiorstwa - do 20 mln Euro lub 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku. Co ważne, zastosowanie ma kwota wyższa.
Ochrona danych osobowych jest bardzo poważnym obowiązkiem, którego żaden przedsiębiorca nie może bagatelizować. Przede wszystkim za nieprzestrzeganie przepisów o ochronie danych osobowych przewidziane są wysokie kary pieniężne, a ponadto nałożenie takich kar wiąże się ze zdecydowanym obniżeniem wiarygodności wśród potencjalnych klientów firmy.
Warto wiedzieć, że są sytuacje, w których RODO nie będzie chroniło osób, których dane przetwarza administrator. Dotyczy to np. dłużników wpisanych do Biur Informacji Gospodarczej (BIG-ów). Biura te prowadzą rejestry dłużników, czyli bazy danych, w których gromadzą i ujawniają dane osób i firm zalegających z zapłatą. Robią to zgodnie z Ustawą o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych, która określa, w jakich przypadkach i na jakich warunkach można wpisać dłużnika do takiego rejestru, a także kiedy należy usunąć jego dane. Ustawa ta precyzyjnie określa również wymagania zarówno dotyczące ujawnienia informacji o dłużniku - konsumencie, jak też o dłużniku - przedsiębiorcy.
Jeśli dana osoba lub przedsiębiorca ma dług i wierzyciel może to udokumentować, dane dłużnika zgodnie z prawem mogą być ujawnione w jednym z rejestrów dłużników bądź nawet we wszystkich takich rejestrach funkcjonujących na rynku polskim (o ile wierzyciel spełni ustawowe warunki). Warto wiedzieć, że dłużnik nie może się przy tym powoływać na określone w RODO prawo do sprzeciwu wobec przetwarzania jego danych osobowych, jakie daje mu artykuł 21 ust. 1, ponieważ artykuł ten nie ma tutaj zastosowania. A zatem RODO nie chroni dłużników.
Jeśli dłużnik nie zgadza się umieszczeniem jego danych w Rejestrze Dłużników, ponieważ np. w jego opinii dług nie istnieje, ma on możliwość wniesienia sprzeciwu w trybie i na zasadach określonych w ustawie o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych. Natomiast nie może powoływać się na RODO.
Co do zasady dłużnik dowiaduje się o perspektywie wpisania do rejestru z wezwania do zapłaty wysyłanego do niego przez jego wierzyciela obowiązkowo na przynajmniej 30 dni przed dokonaniem wpisu do BIG. Wezwanie może wysłać również BIG w imieniu wierzyciela. W wezwaniu tym jest zawarte wyraźne ostrzeżenie o zamiarze wpisania danych dłużnika do rejestru dłużników jak również wymienione są możliwe konsekwencje znalezienia się w takim rejestrze.
Usunięcie informacji o długu może nastąpić w przypadku całkowitej spłaty zaległego zadłużenia, przedstawienia uzasadnionej informacji o spłacie, wygaśnięciu lub nieistnieniu zobowiązania oraz na podstawie innych okoliczności.
Zostaw swoje dane, a skontaktujemy się z Tobą jak najszybciej
Informacja o Administratorze danych, celu przetwarzania oraz przysługujących Państwu prawach. więcej...
Napisz do nas msp@big.pl
Zadzwoń (22) 486 56 91 pn-pt: 8:00 - 16:00
Administratorem Państwa danych osobowych jest Biuro Informacji Gospodarczej InfoMonitor S.A. z siedzibą w Warszawie, ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa (dalej: „BIG InfoMonitor”). więcej...