W dniu 25 maja 2018 roku weszło w życie Rozporządzenie o Ochronie Danych Osobowych (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) znane powszechnie jako RODO. W czasie prac nad tym przepisem oraz wprowadzania go w życie toczono liczne dyskusje na temat zasad działania RODO oraz możliwych konsekwencji z tytułu nieprzestrzegania nowego prawa. RODO jak działa?
RODO jak działa? Informacje podstawowe
Celem, dla którego wprowadzono tzw. przepisy RODO, było ujednolicenie (harmonizacja) prawa w zakresie ochrony i przepływu danych osobowych w krajach członkowskich Unii Europejskiej. Konieczne stało się opracowanie takich regulacji prawnych, które są dostosowane do XXI wieku i uwzględniają kwestie związane z różnego rodzaju zagrożeniami cybernetycznymi.
Ideą RODO jest zapewnienie, by każdy, kto jest obywatelem UE, miał większe możliwości wpływu na to, w jaki sposób są wykorzystywane jego dane osobowe. Zaliczają się tu takie informacje jak między innymi:
- numer PESEL,
- imię oraz nazwisko,
- data urodzenia,
- adres zamieszkania,
- dane kontaktowe (w szczególności numer telefonu oraz adres mailowy),
- pozostałe rodzaje danych, w tym między innymi dane pozwalające na identyfikację użytkownika w sieci (na przykład adres IP), ale także umożliwiające określenie tożsamości kulturowej czy genetycznej.
RODO — kiedy masz z nim do czynienia?
Przepisy wchodzące w skład Rozporządzenia o Ochronie danych Osobowych regulują wiele aspektów naszego codziennego życia zawodowego oraz prywatnego. Zapisów RODO muszą przestrzegać na przykład firmy telekomunikacyjne podczas obsługi klientów.
Innym z obszarów, w których przepisy te odgrywają szczególnie ważną rolę, jest rekrutacja pracowników. To właśnie dlatego podczas przygotowywania CV oraz listu motywacyjnego należy umieścić na tego typu dokumentach klauzulę zawierającą zgodę na przetwarzanie danych osobowych w myśl RODO. Pracodawca ma z kolei obowiązek poinformować, jaka jest pełna nazwa i adres siedziby działalności gospodarczej oraz wskazać, kto jest ADO — Administratorem Danych Osobowych.
To nie jedyne obowiązki pracodawcy w tej kwestii. Pracodawca musi także poinformować kandydata, że ten ma prawo do wycofania zgody na przetwarzanie danych osobowych (tzw. prawo „do bycia zapomnianym”) bądź ich modyfikacji. Konieczne jest także wskazanie, w jaki sposób można dokonać tego typu czynności.
RODO — co w przypadku naruszenia danych?
Ataki hakerskie to zagrożenie, z którym należy liczyć się właściwie każdego dnia. Przepisy RODO przewidziały także taką ewentualność. To właśnie dlatego w przypadku, gdy dany podmiot (np. kierownictwo przedsiębiorstwa) stwierdzi, że doszło do naruszenia bezpieczeństwa i integralności danych, konieczne jest zgłoszenie tego organom nadzorczym oraz osobom, których dane zostały poddane atakowi. Obowiązek notyfikacyjny dotyczy wszystkich przedsiębiorstw, które w ramach swojej działalności zajmują się przetwarzaniem danych — mają one obowiązek dokonać zgłoszenia w ciągu zaledwie 72 godzin.
RODO — kary
Z tytułu nieprzestrzegania przepisów RODO grożą dotkliwe sankcje finansowe. Nie ma jednolitej stawki w tym zakresie, a wymiar kary jest dostosowany do rozmiarów wykroczenia. Teoretycznie, może się zdarzyć, że kara za nieprzestrzeganie RODO wyniesie — w przypadku największych firm — nawet kilkanaście milionów euro lub określony procent całkowitych przychodów firmy. Wysokość sankcji jest uzależniona m.in. od szkodliwości naruszenia oraz działań zapobiegawczych podjętych przez administratora danych.
