Co RODO przynosi przedsiębiorcom?
Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - RODO) wprowadzić ma m.in. ułatwiania działalności gospodarczej poprzez uproszczenie i ujednolicenie zasad dla administratorów rynku wspólnotowego. Ujednolicenie porządków prawnych państw członkowskich oznaczać będzie również rezygnację z obecnego rozdrobnienia i kosztownych obciążeń administracyjnych, tym samym generując niebagatelne oszczędności dla firm w wysokości 2,3 mld € rocznie, jak podała Komisja Europejska.
Zakładany wpływ RODO na rozwój przedsiębiorczości
W dzisiejszych czasach dane osobowe zyskują coraz większe znaczenie ekonomiczne, w szczególności wobec dynamicznego rozwoju usług Big Data. Według niektórych szacunków wartość danych osobowych Europejczyków może do 2020 r. wzrosnąć do niemal 1 bln euro. Nowe przepisy dać mają przedsiębiorstwom UE elastyczność przy jednoczesnej ochronie praw podstawowych obywateli. Ujednolicenie porządków prawnych skutkować ma w zamiarze powstaniem nowych perspektyw biznesowych i rozwojem innowacyjności.
- Jeden kontynent, jedno prawo – rozporządzenie wprowadza jeden zestaw reguł, które w założeniu ma pozwolić na tańsze i prostsze prowadzenie biznesu w Unii Europejskiej. Jednolity zbiór przepisów obowiązujący w całej Europie gwarantuje przedsiębiorstwom pewność prawa, a obywatelom jednakowy poziom ochrony danych w całej UE.
- One-stop-shop – mechanizm kompleksowej współpracy ograniczy kontakt przedsiębiorców z organami nadzorczymi do jednego wyznaczonego organu. Wg danych Komisji Europejskiej, takie rozwiązanie powinno przełożyć się na oszczędność w wysokości 2,3 miliarda euro rocznie. Mechanizm zapewni jednocześnie zwiększoną możliwość dochodzenia swoich praw przez obywateli polskich wobec przedsiębiorców z innych krajów UE.
- Unijne prawo dla przedsiębiorców spoza UE – spółki z państw trzecich oferujące usługi na terenie UE będą musiały podporządkować się przepisom RODO. Jednakowe zasady będą stosowane do wszystkich przedsiębiorstw świadczących usługi na terenie UE, nawet jeżeli mają one siedzibę poza UE.
- Reguły sprzyjające innowacyjności – warto tutaj wskazać, iż RODO nie narzuca jasnych, ściśle określonych wymogów bezpieczeństwa. Biorąc od uwagę zróżnicowany charakter usług sieciowych i procesów przetwarzania danych, to administratorzy będą musieli wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stosowny stopień bezpieczeństwa. Z pomocą przyjdzie tutaj ocena skutków dla ochrony danych, której przeprowadzenie pozwoli ustalić odpowiedni model ochrony danych. Przedsiębiorca powinien więc ocenić ryzyko naruszenia zasad ochrony danych i zminimalizować je, wybierając odpowiednie sposoby. Sam decyduje jakie.
- Zasada rozliczalności przenosi ciężar udowodnienia zapewnienia zgodności z rozporządzeniem na administratorów. Powinni oni działać tak, aby zawsze mogli wykazać, że ocenili ryzyko i świadomie wdrożyli zabezpieczenia minimalizujące to ryzyko. Przewidziano np. obowiązek prowadzenia przez administratorów i podmioty przetwarzające rejestru czynności przetwarzania. Przewidziano jednak wyjątki od tego obowiązku - dla mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw zatrudniających mniej niż 250 pracowników.
- Z kolei zasada minimalizmu wymaga, aby przedsiębiorca nie zbierał więcej danych, niż jest to potrzebne do realizacji jego celu, nie może zbierać ich „na zapas” ani „na przyszłość”. Z reguły do przetwarzania danych musi uzyskać zgodę osób zainteresowanych. Powinien przy tym poinformować osoby, których dane przetwarza, o celu, w którym to robi, a także o ewentualnym profilowaniu i o tym, skąd wziął dane.
- Prawo do przenoszenia danych - przedsiębiorstwa typu start-up i małe przedsiębiorstwa będą mogły uzyskać dostęp do rynków danych zdominowanych przez cyfrowych gigantów, zachęcając konsumentów rozwiązaniami chroniącymi ich prywatność.
- Przedsiębiorcy powinni być przygotowani na żądania osób, których przetwarzne przez nich dane dotyczą, np. na prawo do usunięcia ich danych czy prawo do przeniesienia danych albo otrzymania ich kopii. RODO wzmacnia bowiem istniejące prawa obywateli i przyznaje im nowe: wzmacnia prawo do informacji, prawo dostępu oraz prawo do bycia zapomnianym. Nowe prawo do przenoszenia danych umożliwia obywatelom przenoszenie danych z jednego przedsiębiorstwa do innego. Zapewni to przedsiębiorstwom nowe możliwości biznesowe.
- Powołanie inspektora ochrony danych – konieczność powołania wystąpi w przypadku organów publicznych, a także podmiotów, których działalność polegać będzie na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (tj. tzw. danych wrażliwych), tudzież danych osobowych dotyczących wyroków skazujących i naruszeń prawa, jak również podmiotów, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób. Jeśli więc przetwarzanie danych osobowych stanowi istotę działalności przedsiębiorcy, powinien on powołać inspektora ochrony danych osobowych. Inspektor ochrony danych, wybrany na podstawie kwalifikacji zawodowych i wiedzy fachowej, ma za zadanie wspierać przetwarzanie danych w organizacji w sposób zgodny z rozporządzeniem; stanowi więc bardzo ważny element w procesie zapewniania zgodności przetwarzania danych z wymogami ogólnego rozporządzenia. Inspektor będzie pośrednikiem pomiędzy firmą a urzędem, a także między przedsiębiorstwem a osobami, których dane ono przetwarza.
- Wzmocniona ochrona przed naruszeniami w dziedzinie danych: RODO wprowadza obowiązek zgłaszania naruszenia ochrony danych do Prezesa UODO (Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od jego wykrycia oraz poinformowania osoby, których dane wyciekły. Przedsiębiorstwo, którego chronione dane zostały naruszone, co naraziło osoby fizyczne na ryzyko, musi więc powiadomić o tym organ ochrony danych w ciągu 72 godzin. To obowiązek administratora, a zgłoszenie nie jest równoznaczne z karą - wyjaśnił GIODO. Niezgłaszanie naruszeń bardziej na nią naraża.
- RODO wprowadza skuteczne przepisy i odstraszające grzywny: wszystkie organy ochrony danych będą miały uprawnienia do nakładania grzywien w wysokości do 20 mln euro lub, w przypadku przedsiębiorstw, w wysokości 4% całkowitego rocznego światowego obrotu.
RODO znosi obowiązek rejestracji zbiorów danych osobowych
W związku z docierającymi do nas pytaniami od administratorów, którzy dotychczas zgłosili zbiory i zostały one już wpisane przez Generalnego Inspektora Ochrony Danych Osobowych do jawnego, ogólnokrajowego rejestru, GIODO wyjaśnił, że wygaśnięcie obowiązku zgłaszania zbiorów nie wymaga podejmowania żadnych działań. Nie trzeba składać żadnych pism ani wniosków o wykreślenie zbiorów.
Obowiązki organu nadzorczego uświadamiania zainteresowanych
Niezależnie od przyznanych w przepisach ogólnego rozporządzenia kompetencji władczych, niezmiernie ważnym zadaniem, przed jakim stoi GIODO jest podnoszenie świadomości i wiedzy w zakresie poszanowania prawa do ochrony danych osobowych i prywatności. Podobnie jak pod rządami ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych, zgodnie z którą do zadań Generalnego Inspektora należało m.in. „inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych”, tak również art. 57 lit. i lit. d ogólnego rozporządzenia nakładają na Generalnego Inspektora - po zmianie PUODO - obowiązek:
- upowszechniania w społeczeństwie wiedzy o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem oraz rozumieniem tych zjawisk, w szczególności w kontekście działań skierowanych do dzieci;
- upowszechniania wśród administratorów i podmiotów przetwarzających wiedzy o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia;
Zmiana przepisów o ochronie danych osobowych wymagać będzie podjęcia szeregu działań edukujących celem zwiększenia świadomości zarówno wśród osób, których dane dotyczą, jak również administratorów.
Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.
Podstawa prawna:
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1).
Skomentuj artykuł - Twoje zdanie jest ważne
Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?