Rozporządzenie nr 2016/679 dnia 27 kwietnia 2016 r. w prawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) weszło w życie w maju 2016 r., jednak obowiązek jego stosowanie przez wszystkie Państwa Członkowskie UE rozpocznie się w dniu 25 maja 2018 r. Od tego dnia wszystkie przepisy tego dokumentu będą obowiązywać bezpośrednio w każdym Państwie Członkowskim i będą miały bezpośredni skutek. Oznacza to duże zmiany dla wszystkich podmiotów, które w związku z wykonywaniem przez siebie działalności, przetwarzają dane osobowe osób fizycznych. Można powiedzieć, że wprowadzane przez w.w Rozporządzenie zmiany są rewolucyjne. Rozporządzenie zwiększa bowiem samodzielność administratorów danych osobowych (de facto wszystkich przedsiębiorców), ale też znacznie zwiększa ich odpowiedzialność za przetwarzanie danych osobowych niezgodnie z przepisami prawa.
Od administratorów danych osobowych wymaga się wdrożenia do 25 maja 2018 r. konkretnych procedur i rozwiązań, a także środków organizacyjnych i technicznych, które w jak najwyższym stopniu mają zabezpieczać proces przetwarzania przez ich organizację danych osobowych. Jednocześnie Rozporządzenie to nie daje żadnych konkretnych rozwiązań jak to zrobić, a także nie wskazuje chociażby minimalnych standardów technicznych mających na celu zabezpieczenie danych osobowych. Tymczasem odpowiedzialność za nieprzestrzeganie poprzez administratorów danych przepisów Rozporządzenia jest bardzo wysoka, bowiem wedle nowych przepisów może zostać na nich nałożona administracyjna kara pieniężna w wysokości nawet do 20 mln EURO. Taką karą może zostać ukarany każdy podmiot, który przetwarza dane osobowe na terytorium UE, a więc nie tylko duże podmioty gospodarcze, ale także małe i średnie organizacje, także przedsiębiorcy prowadzący jednoosobową działalność gospodarczą.
Jakie przetwarzanie danych jest chronione przez RODO ?
Nie wszystkie czynności polegające na przetwarzaniu danych osobowych są chronione przez przepisy Rozporządzenia. Na konkretne sposoby przetwarzania danych osobowych, wyjętych spod obowiązywania RODO wskazuje art. art. 2 ust. 2 Rozporządzenie nr 2016/679.
W przepisie wskazane jest m.in., że Rozporządzenie to nie ma zastosowanie do przetwarzania danych osobowych: przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze czy też przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
Spod obowiązywania przepisów o RODO nie wyłącza się jednak przetwarzania danych osobowych przez małych przedsiębiorców. Wszystkie podmioty, nawet jednoosobowi przedsiębiorcy, muszą dostosować swoje wewnętrzne procedury dotyczące ochrony danych osobowych do nowych przepisów. Wskazuje na to wyraźnie art. 2 ust.1 Rozporządzenia nr 2016/679, zgodnie z którym „….rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych”. Dodatkowo przepis art. 3 ust. 2 Rozporządzenia nr 2016/679 wskazuje, że „rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z: a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.”
Z powyższego wynika zatem, że każde przetwarzanie danych w sposób zautomatyzowany (w szczególności w systemie elektronicznym, w tzw. chmurze czy w ramach innych elektronicznych baz danych), a także niezautomatyzowany (np. imiona i nazwiska i numery telefony Klientów zapisywane w notatniku przez Projektanta odzieży) są objęte ochroną nowych przepisów mających wejść w życie w dniu 25 maja 2018 r.
Kogo obowiązuje RODO ?
Rozporządzenie nr 2016/679 nie wymienia konkretnych podmiotów, które obowiązane są je stosować. Najogólniej rzecz ujmując można przyjąć, że nowe przepisy powinni stosować wszyscy administratorzy i podmioty przetwarzające dana osobowe. Za administratora danych przedmiotowe Rozporządzenia uznaje osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Za administratora uważa się zatem każdą osobę, która zbiera dane osobowe od innych osób i nie robi tego w ramach czynności o czysto osobistym lub domowych charakterze. Podmiotem przetwarzającym jest natomiast osoba fizyczną lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Z punktu widzenia ochrony interesów zarówno administratora danych jak i podmiotu przetwarzającego, powierzenie danych osobowych do przetwarzania powinno być uregulowane odrębna, pisemną umową.
Z powyższego wynika zatem, że każdy podmiot nawet jednoosobowy przedsiębiorca wykonujący działalność gospodarczą na bardzo małą skalę, który przetwarza i wykorzystuje dane przekazane mu przez osoby fizyczne w celu wykonywania przez niego działalności gospodarczej, jest obowiązany wdrożyć w swojej firmie i przestrzegać zasad RODO. Tym bardziej dotyczy to twórców ze świata mody, bowiem nowe unijne Rozporządzenie za dane osobowe uznaje również informacje określającą fizyczną, fizjologiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Informacje przekazywane projektantom mody wykonującym zlecenia na indywidualne zamówienia Klienta, niewątpliwe powyższe dane zawierają, przez co powinny być szczególnie chronione.
Warto zatem już teraz przystąpić do wdrożenia nowych zasad RODO w swojej firmie. Proces analizy i przygotowania dokumentacji dotyczącej nowych zasada ochrony danych osobowych, nawet w małym przedsiębiorstwie, może zająć co najmniej kilka tygodni.
