Wszystko czego jeszcze nie wiesz o RODO

4164

Nieznajomość prawa szkodzi, wiec na tym etapie, w trzy miesiące po wprowadzeniu Rozporządzenia o Ochronie Danych Osobowych (w skrócie RODO), każdy przedsiębiorca powinien znać przynajmniej jego założenia.

Dziś wiadomo już, że pierwsze obawy były przedwczesne i kontrolerzy nie wkroczyli szturmem do biur z zamiarem nakładania drakońskich kar. Mimo to wiele przepisów pozostaje niejasnych – postaramy się rozwiać przynajmniej część wątpliwości.

Czy wszystkie dane zbierane przez firmy podlegają przepisom o RODO?

NIE. Przetwarzanie danych osobowych pod każdą postacią wymaga zastosowania się do nowych przepisów o RODO, aczkolwiek nie dotyczy ono ich wszystkich. Spod tej zasady wyjęte są dane przechowywane w zbiorach nieuporządkowanych, dane przetwarzane w celach prywatnych i dane kontaktowe do firm i organizacji (rozumianych jako osoby prawne).

Przepisy o RODO znajdują zastosowanie w sytuacjach, gdy przetwarzamy dane osobowe w celach marketingowych, zbieramy dane wrażliwe lub chcemy przekazać jakiekolwiek dane dalej (np. do księgowej) i używamy systemów informatycznych, które wykorzystują wspomniane dane.

RODO - Praktyczny Poradnik

Czy w każdym wypadku konieczne jest pytanie o zgodę na przetwarzanie danych?

NIE. Zgody nie są potrzebne w każdej sytuacji – często są one domyślne, zwłaszcza gdy są niezbędne do realizacji danej usługi (np. rezerwacji miejsca w hotelu lub zakupu produktu w e-sklepie). Odrębną kwestia są zgody marketingowe, czyli na wysyłanie informacji o ofercie w oderwaniu od zakupu usługi – tu zgoda jest konieczna.

Moja firma przestrzega RODO, ale nie wiem, czy robi to podmiot, z którym współpracuję w zakresie przetwarzania danych (np. księgowa). Czy w tej sytuacji poniosę odpowiedzialność za ewentualne naruszenia?

TAK. To, czy inni przestrzegają RODO ma znaczenie także dla nas. Jeśli podmiot, z którym współpracujemy, otrzymuje nasze dane i nie stosuje się do przepisów o RODO, możemy zostać pociągnięci do odpowiedzialności za ewentualne naruszenia. Przy podejmowaniu współpracy należy więc uzyskać przynajmniej deklaratywne potwierdzenie, że przepisy o RODO są stosowane.

Przepisy o RODO nie definiują ściśle, w jakich sytuacjach zgody na przetwarzanie danych osobowych nie są konieczne. Czy lepiej po prostu zbierać je wszystkie?

NIE. Tam gdzie zgody nie są absolutnie konieczne, lepiej ich nie zbierać, ponieważ wtedy dokładamy sobie pracę na własne życzenie. Każda dodatkowa zgoda to kolejna baza, którą należy utworzyć, przechowywać i administrować. Ponieważ przepisy o RODO nie są precyzyjne i nie wskazują jasnych rozwiązań we wszystkich przypadkach, przedsiębiorca zawsze sam określa, jakie zabezpieczenia dla własnych zbiorów uważa za wystarczające. Trzeba jednak mieć je spisane na piśmie.

Czy poniosę konsekwencje w razie wycieku danych, który nie nastąpił z mojej winy?

TAK, jeśli ten fakt nie zostanie ujawniony. RODO nakłada na dysponenta danych obowiązek zgłoszenia ich wycieku, zniszczenia lub nieautoryzowanego naruszenia prezesowi UODO w ciągu 72 godzin od tego zdarzenia. Tylko w tym wypadku, a wiec wykazując dobrą wolę, można uniknąć kar.

Informacje o karach za nieprzestrzeganie przepisów RODO mówią o ogromnych, wielomilionowych kwotach – czy każdy przedsiębiorca musi się z nimi liczyć?

NIE. Przede wszystkim, kara finansowa jest ostatecznością. Przed podjęciem decyzji wysyłane są ostrzeżenia i upomnienia, a nawet w razie stwierdzenia nieprawidłowości kara nie zostanie nałożona w każdym przypadku. Każdy przypadek naruszenia jest rozpatrywany indywidualnie, a jeśli zapadnie decyzja o nałożeniu kary finansowej, będzie ona proporcjonalna do wielkości, obrotów i możliwości firmy.