Jaka jest największa trudność związana z RODO?
Wdrażając nowe rozwiązania dotyczące ochrony danych osobowych zauważyłam, że  największą trudność sprawia brak jednolitego wzorca ochrony. Tu najważniejsze jest dopasowanie wymogów prawnych do specyfiki działalności danej firmy i dokonanie przez przedsiębiorcę oceny ryzyka naruszenia danych osobowych. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych RODO zacznie obowiązywać od 26.05.2018 r. RODO zastąpi regulacje krajowe dotyczące ochrony danych osobowych we wszystkich państwach członkowskich Unii Europejskiej. RODO obowiązuje każdego przedsiębiorcę – mikro, małego, średniego, dużego i będzie to akt bezpośrednio skuteczny.
Przypomnijmy, że danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizyczne np.
– imię i nazwisko,
– numer PESEL,
– adres zamieszkania,
– numer telefonu, adres e-mail,
– wizerunek nagrany przez kamerę przemysłową,
– głos nagrany w trakcie rozmowy z konsultantem,
– odcisk palca.
Natomiast przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Warto pamiętać, że RODO dotyczy każdego przedsiębiorcy. Dotyczy podmiotów przetwarzających dane osobowe w sposób zautomatyzowany (w systemach informatycznych, komputerowo) oraz w sposób tradycyjny (akta, segregatory, kartoteki). Wyłączenie RODO obejmuje przetwarzanie danych osobowych przez osoby fizyczne w ramach czynności o osobistym lub domowym charakterze.
Kiedy przetwarzanie danych osobowych jest legalne?
Niewątpliwie przetwarzanie danych osobowych będzie legalne w przypadku uzyskania ZGODY tej osoby. Zgodę należy rozumieć jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, przez osobę, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego.
Zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem Wyrażający zgodę musi być poinformowany o prawie do wycofania zgody przed wyrażeniem zgody. Istotne jest to, że nie można uzależniać zawarcia umowy od wyrażenia zgody na przetwarzanie danych, o ile nie jest to niezbędne do wykonania umowy.
Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych.
Kary nakładane na naruszenie RODO będą bardzo wysokie.
Z rozporządzenia wynika, że  w zależności od rodzaju naruszenia wysokość kary może wynieść :
  • 10.000.000 Euro lub 20.000.000 Euro;
  • 2% lub 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (w przypadku przedsiębiorstwa).
RODO wprowadza jako dyrektywy przy wymiarze kary, m.in. takie okoliczności jak stopień odpowiedzialności administratora lub podmiotu przetwarzającego dane osobowe, umyślny lub nieumyślny charakter naruszenia, ewentualne inne możliwe czynniki łagodzące.
RODO przyznaje prawo do odszkodowania za szkodę majątkową lub niemajątkową:
RODO w sposób wyraźny przyznaje prawo do odszkodowania osobie, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, od administratora lub podmiotu przetwarzającego dane. Postępowania w przedmiocie odszkodowania może być wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą ma miejsce zwykłego pobytu.
Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności odszkodowawczej, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody, a więc muszą wykazać, że przetwarzanie danych osobowych było w firmie legalne i spełniało wymagania RODO.
RODO – największe wyzwanie 2018 roku
Dotychczas posiadane dokumenty dotyczące polityki prywatności już od maja 2018 r. będą niewystarczające i konieczne będzie ich zaktualizowanie. Ważne będzie dokonanie przez przedsiębiorcę oceny ryzyka naruszenia danych osobowych i dopasowanie wymogów prawnych do specyfiki działalności danej firmy.