Photo: Natalia Merzlyakova / Fotolia
RODO – PORADNIK
część I
Głośno mówi się o tym, że 25 maja 2018 roku zaczną obowiązywać unijne przepisy o ochronie danych osobowych, kryjące się pod tajemniczym akronimem „RODO”. Wokół tego zagadnienia narasta wiele mitów, związanych zwłaszcza z ogromnymi karami (do 20 mln EUR), które okrutne i pazerne Państwo, chcąc podreperować wciąż dziurawy budżet, będzie masowo nakładać na przedsiębiorców, którzy nie będą ściśle przestrzegać tych przepisów. Z drugiej strony, wiele polskich firm nawet nie rozpoczęło jeszcze prac zmierzających do wdrożenia w swoich firmach procedur i dokumentacji zgodnych z RODO, a są i takie, które nawet nie wiedzą, że mają taki obowiązek.
Specjalnie dla Czytelników portalu branzafitness.com rozpoczynamy serię artykułów, które łącznie stworzą miniporadnik mający na celu wyjaśnienie podstawowych pojęć i obowiązków przedsiębiorców prowadzących kluby fitness w związku z nowymi regulacjami dotyczącymi ochrony danych osobowych oraz pomóc im krok po kroku przygotować odpowiednie dokumenty i wdrożyć niezbędne procedury w swoich firmach, a także odpowiedzieć na pytania najbardziej nurtujące Czytelników. Poradnik, dla ułatwienia korzystania z niego bez konieczności czytania “od deski do deski”, będzie miał formę pytań i odpowiedzi, poczynając od najbardziej ogólnych, po coraz bardziej szczegółowe. W tym miejscu trzeba zastrzec, że na wiele szczegółowych zagadnień zapewne nie uda się znaleźć od razu jednoznacznych odpowiedzi, bo jak każda nowa regulacja, także i RODO zawiera wiele niejasności, które przez dłuższy czas będą przedmiotem wykładni doktryny prawniczej, orzecznictwa sądów oraz organów administracji publicznej stosujących te przepisy oraz zbiorów, tzw. „dobrych praktyk”, dopóki nie „utrze się” jednoznaczna interpretacja i jednolity sposób rozumienia poszczególnych kwestii. Zatem zaczynajmy.
Co to takiego RODO, GDPR, ochrona danych w UE?
Chodzi o podstawowy akt prawny regulujący system ochrony danych osobowych na tertorium Unii Europejskiej, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych (Dz.Urz. UE z 2016 r. L 119, s. 1), określane w skrócie akronimem RODO lub z angielskiego GDPR (General Data Protection Regulation).
Dyrektywy unijne, to akty prawa UE, które wskazują Państwom członkowskim jedynie kierunek i ramy dla ustawodawstwa wewnętrznego i wymagają implementacji, tj. uchwalenia przez Państwo członkowskie odpowiedniej ustawy wdrażającej daną dyrektywę. Tak było z uchyloną właśnie dyrektywą 95/46/WE Parlamentu Europejskiego i Rady WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, która została implementowana do polskiego systemy prawnego obowiązującą dotychczas ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 nr 133 poz. 883 ze zm.).
Natomiast Rozporządzenie Parlamentu Europejskiego i Rady (w przeciwieństwie do Dyrektyw) jest aktem prawnym, który w Państwach członkowskich stosuje się wprost i nie wymaga implementacji. Takim właśnie aktem jest RODO, które uchyla w/w dyrektywę 95/46/WE, a także wszystkie ustawy wydane na jej podstawie w poszczególnych Państwach członkowskich UE (w tym także w/w polską ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych) i jednocześnie wprowadza jednolity dla całej Unii system ochrony danych osobowych. Przepisy RODO obowiązują zatem bezpośrednio także wszystkich polskich przedsiębiorców przetwarzających dane osobowe osób fizycznych.
RODO weszło w życie już 17 maja 2016 r., ale zacznie obowiązywać bezpośrednio we wszystkich systemach prawnych Państw członkowskich UE od 25 maja 2018 r. Do tego czasu przedsiębiorcy mają czas na przygotowanie swoich firm do spełniania wymogów tego Rozporządzenia.
Kto ma obowiązek wdrożyć RODO?
W praktyce obowiązek stosowania RODO obejmuje wszystkich, którzy w jakikolwiek sposób przetwarzają dane osobowe osób fizycznych, poza wyjątkami dotyczącymi m.in. osób fizycznych przetwarzających dane osobowe w ramach czynności o czysto osobistym lub domowym charakterze (np. osobisty notes z numerami telefonów), czy organów ścigania i wymiaru sprawiedliwości. Obowiązkiem stosowania RODO objęty jest więc każdy „administrator” (podmiot, na rzecz, którego przetwarzane są dane osobowe) oraz „podmiot przetwarzający” (któremu administrator powierzył umową przetwarzanie danych osobowych na jego rzecz), który:
- przetwarza dane osobowe i w związku z działalnością swojej jednostki organizacyjnej (np. centrali, oddziału lub zakładu) na terytorium Unii (albo w innym miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo Państwa członkowskiego UE), nawet jeśli przetwarzanie tych danych nie odbywa się w Unii;
- nie przebywa w Unii, ale przetwarza dane osobowe osób przebywających w Unii w związku z oferowaniem im towarów lub usług (niezależnie od tego, czy odpłatnie, czy bezpłatnie) albo monitorowania ich zachowań na terenie Unii.
Jak widać zakres podmiotowy i terytorialny stosowania RODO jest bardzo szeroki i w zasadzie każdy unijny przedsiębiorca przetwarzający dane osobowe osób fizycznych, lub zlecający ich przetwarzanie na swoją rzecz, objęty jest tym Rozporządzeniem.
Jakie najważniejsze definicje wprowadza RODO?
Przed przystąpieniem do dalszych rozważań na temat RODO, konieczne jest wyjaśnienie podstawowych terminów, jakimi posługuje się Rozporządzenie, a w szczególności takich jak:
dane osobowe – to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, której dane dotyczą, przy czym „możliwa do zidentyfikowania osoba fizyczna” to osoba, która można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego, jak imię i nazwisko, numer identyfikacyjny (np. PESEL), dane o lokalizacji, identyfikator internetowy (nick, login itp.) lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej – innymi słowy, dane osobowe to wszelkie informację, które mogą pomóc w ustaleniu tożsamości konkretnej osoby fizycznej.
przetwarzanie – to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, jak np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie – dla uproszczenia możemy przyjąć, że każda operacja na danych osobowych jest ich przetwarzaniem;
zbiór danych – to zestaw danych uporządkowany według określonych kryteriów (np. CRM, ale także zwykła tabela, porządkująca dane w określonych wersach i kolumnach wg określonych kryteriów) niezależnie od tego, czy jest on scentralizowany, zdecentralizowany, czy rozproszony funkcjonalnie lub geograficznie;
administrator – to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych – w praktyce jest to podmiot na rzecz którego dane osobowe są przetwarzane, który z tych danych korzysta;
podmiot przetwarzający – to podmiot, który przetwarza dane w imieniu administratora;
zgoda osoby, której dane dotyczą – to dobrowolne, konkretne, świadome i jednoznaczne wyrażenie woli tej osoby o przyzwoleniu na przetwarzanie dotyczących jej danych osobowych;
naruszenie ochrony danych osobowych – to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
przedsiębiorca – to osoba fizyczna lub prawna prowadząca działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące działalność gospodarczą;
organ nadzorczy – to niezależny organ publiczny ustanowiony przez państwo członkowskie, odpowiedzialny za monitorowanie stosowania RODO i jego spójne stosowanie w całej Unii (w Polsce na chwilę obecną jest to Generalny Inspektor Ochrony Danych Osobowych.
W kolejnych artykułach omówimy najważniejsze zasady przetwarzania danych osobowych w zgodzie z RODO oraz podstawowe obowiązki administratora i podmiotu przetwarzającego, a następnie zastanowimy się, jak powinno wyglądać wdrożenie RODO w przeciętnym klubie fitness i jak przygotować się na ewentualną kontrolę przestrzegania tego Rozporządzenia.
r.pr. Krzysztof Brola – Radca prawny, ekspert w zakresie negocjacji i obsługi prawnej biznesu. Posiada ponad piętnastoletnie doświadczenie w bieżącej obsłudze prawnej małych i średnich firm. Zarządza Kancelarią Prawną K.BROLA i WSPÓLNICY w Warszawie.