W dniu 27 kwietnia 2016 roku Parlament Europejski i Rada (UE) przyjęły Rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, zwane powszechnie RODO. Nowe przepisy przyjęte zostały w formie rozporządzenia, co oznacza, że są one stosowane bezpośrednio przez wszystkich przedsiębiorców przetwarzających dane osobowe na terytorium Unii Europejskiej.
Przepisy RODO
Ideą wprowadzenia RODO było dostosowanie przepisów o ochronie danych osobowych do szybko zmieniających się realiów rynkowych i technologicznych, w których przetwarzanie danych osobowych kontrahentów, w tym konsumentów, stało się jednym z podstawowych obszarów działalności przedsiębiorstw. RODO to całkowicie nowe spojrzenie na zasady przetwarzania i ochrony danych osobowych.
Przepisy RODO stosujemy począwszy od dnia 25 maja 2018 roku.
Kogo dotyczy RODO?
Przedsiębiorcy, którzy spotkali się z pojęciem RODO, najczęściej zastanawiają się czy w ogóle powinni zajmować się tym zagadnieniem i czy powyższe przepisy dotyczą ich działalności. Pytanie „czy RODO dotyczy mojej działalności” zadają przede wszystkim osoby z sektora małych i średnich przedsiębiorstw, a także podmioty współpracujące tylko z innymi podmiotami gospodarczymi. Nierzadko pozostają oni w mylnym przekonaniu, że RODO skierowane jest wyłącznie do dużych podmiotów gospodarczych, obsługujących klientów z sektora konsumenckiego (np. do banków, operatorów telekomunikacyjnych czy dużych portali internetowych).
Każdy przedsiębiorca powinien jednak mieć świadomość, że w rzeczywistości RODO dotyczy wszystkich podmiotów gospodarczych, które w ramach swojej działalności przetwarzają dane osobowe, nie wyłączając także tych najmniejszych, a także tych, którzy swoją aktywność opierają wyłącznie lub w przeważającej mierze na współpracy z innymi przedsiębiorcami.
Kluczowe – dla zrozumienia idei RODO oraz ustalenia zakresu jego zastosowania i udzielenia odpowiedzi czy dotyczą one konkretnej działalności – są pojęcia:
- dane osobowe
- przetwarzanie
Na pytanie „czym są dane osobowe” najprościej można odpowiedzieć wskazując, że są to wszelkie dane, które pozwalają zidentyfikować osobę fizyczną. Mogą to być informacje takie jak: imię i nazwisko, PESEL, płeć, adres e-mail, adres zamieszkania, ale także numer IP czy też dane o lokalizacji. Wszelkie informacje zbierane na temat osoby fizycznej, które pozwalają na ustalenie jej tożsamości są danymi osobowymi – niezależnie od tego, czy są przetwarzane w formie papierowej czy elektronicznej.
Przetwarzaniem danych osobowych jest natomiast każda czynność wykonywana na danych osobowych np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Przykładowo – z przetwarzaniem danych osobowych będziemy mieli do czynienia w momencie przyjęcia zamówienia lub faktury od kontrahenta, na których będą widniały dane określonej osoby fizycznej, a także w chwili zanotowania danych kontaktowych do przedstawiciela handlowego kontrahenta, jak również w chwili otrzymania CV i listu motywacyjnego w ramach prowadzonej rekrutacji czy też w chwili zatrudnienia pracownika.
Jak wynika z powyższego, zarówno dane osobowe, jak i ich przetwarzanie są pojęciami bardzo szerokimi. W rzeczywistości przetwarzanie danych osobowych jest realizowane w każdej działalności gospodarczej, która przejawia aktywność gospodarczą. Dlatego też każdy przedsiębiorca posiadający siedzibę na terenie Unii Europejskiej, zarówno ten funkcjonujący już kilka lat na rynku, jak i ten, który dopiero rozpoczyna swoją działalność, powinien zapoznać się z zagadnieniem RODO i dostosować swoją działalność do wymogów tego aktu prawnego. Nie można nie wspomnieć o tym, iż sankcją dla podmiotów, które zbagatelizują powyższe obowiązki może być nałożenie na nich bardzo wysokiej kary pieniężnej.