Do 25 maja 2018 r. pozostało już niewiele czasu, ale niestety jeszcze wielu przedsiębiorców w dalszym ciągu nie zdaje sobie nawet sprawy z faktu, iż nowe przepisy dotyczące ochrony danych osobowych (tzw. RODO), mogą nakładać na nich szereg nowych, dodatkowych obowiązków. Co niepokoi jeszcze bardziej, to fakt, że część biznesmenów nie zadaje sobie nawet pytania, kogo te nowe przepisy dotyczą. Przedsiębiorcy z sektora małych i średnich przedsiębiorstw, ale również i z tych większych, bardzo często żyją iluzją, że RODO nie jest do nich adresowane. Są przekonani, że nowe regulacje skierowane są wyłącznie do dużych spółek i to w szczególności tych należących do sektora finansowego (banki, zakłady ubezpieczeń), do podmiotów administracji publicznej zarządzających olbrzymimi zasobami danych obywateli, do podmiotów świadczących usługi lecznicze, portali aukcyjnych, itd., ponieważ ich cechą wspólną jest bowiem posiadanie olbrzymich baz danych osób fizycznych, zapisanych na przepastnych dyskach serwerów.
Nie miejmy złudzeń – na pytanie ?czy ta regulacja dotyczy także mnie, zwykłego przedsiębiorcy?, odpowiedź jest wyłącznie twierdząca. Powyższa diagnoza nie omija również żadnej branży przemysłowej, w tym także budowlanej.
Aby lepiej tę kwestię zrozumieć, należy na wstępie omówić kilka podstawowych pojęć i kwestii związanych z obowiązywaniem RODO.
Na początek ustalmy, jaki jest zakres podmiotowy obowiązywania RODO, czyli kogo te uregulowania tak naprawdę dotyczą. W związku z przetwarzaniem danych osobowych używa się pojęcia ?administrator?, na który to podmiot nałożono szereg obowiązków w zakresie ochrony danych osobowych. Administratorem jest każda osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Oznacza to, że administratorem będzie zarówno duża spółka akcyjna, jak i osoba prowadząca jednoosobową działalność gospodarczą pod warunkiem, że będzie ona przetwarzała dane osobowe.
Czy można zatem wykluczyć, że przedsiębiorca, którego główna działalność oparta jest na realizacji zadań związanych z wytwarzaniem określonych dóbr lub usług, np. budową domów, lokali użytkowych etc. nie będzie przetwarzał żadnych danych dot. osób fizycznych? Oczywiście, że nie. Jeśli bowiem zatrudnia pracowników, to w związku z tym, przetwarza ich dane osobowe w ściśle określonym zakresie. Przedsiębiorca ma także zasoby danych odnoszące się do własnych klientów, w tym również potencjalnych i tych byłych. Bardzo istotna jest również sfera dostawców, kooperantów, podwykonawców, szczególnie wtedy, gdy są to osoby indywidualnie prowadzące działalność gospodarczą. Przykładów jest o wiele więcej, ale nie sposób ich w tym miejscu wyliczyć, bez pogłębionej analizy, odnoszącej się do konkretnego przedsiębiorcy.
Szczególnym wyzwaniem pozostaje również kwestia tzw. danych wrażliwych, które zgodnie z RODO, określane są ?szczególnymi kategoriami danych?. Mamy tu na uwadze, w kontekście działalności przedsiębiorcy, dane najczęściej odnoszące się do przynależności do związków zawodowych oraz dane dotyczące zdrowia. Oczywiście najczęściej będzie to dotyczyć własnych pracowników, ale czy tylko? Już choćby instalacja windy lub podjazdu do lokalu należącego do osoby niepełnosprawnej, której dane w związku z tym faktem są przetwarzane, również będzie spełniać kryteria zaliczające taką informację do danych wrażliwych. Pamiętać należy, że konsekwencje związane z nieprawidłowym przetwarzaniem danych szczególnych kategorii są o wiele bardziej dotkliwe i mogą sięgać kwoty 20.000.000 euro.
Co natomiast należy rozumieć przez przetwarzanie?
Przetwarzanie to zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych stanowiących część zbioru (uporządkowanego zestawu) danych, zarówno w sposób zautomatyzowany, jak i niezautomatyzowany. Przetwarzanie danych osobowych może mieć miejsce zarówno
w systemie informatycznym, jak i poza nim, a zatem nawet w postaci prowadzenia klasycznej listy osób odwiedzających naszą siedzibę gromadzonych w punkcie recepcji, czy też doraźnie sporządzanej listy uczestników szkolenia, akcji promocyjnej, marketingowej, itp. Na szczęście rozporządzenie nie znajdzie zastosowania do przetwarzania danych osobowych przez osobę fizyczną, w ramach czynności o czysto osobistym lub domowym charakterze. Tak było i nadal jest na gruncie obowiązującej ustawy o ochronie danych osobowych z 1997 roku. To jednak nie może być związane z działalnością tej osoby jako przedsiębiorcy.
W kontekście zasięgu terytorialnego, przepisy RODO znajdują zastosowanie do przetwarzania danych osobowych przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego na terenie Unii Europejskiej, niezależnie od tego, czy to przetwarzanie faktycznie w Unii się odbywa. A więc jeżeli przedsiębiorca posiada jednostkę organizacyjną w Unii, niezależnie od tego, czy będzie to siedziba główna, czy też siedziba spółki córki, to jest on zobowiązany do przestrzegania przepisów rozporządzenia, nawet jeżeli osoby, których dane zostały zgromadzone w zbiorze lub samo przetwarzanie, ma miejsce poza Unią. Podobnie rzecz się przedstawia w przypadku osób fizycznych spoza Unii, ale które na jej terytorium tylko przebywają, lecz przetwarzanie ich danych, wiąże się z oferowaniem im towarów lub usług i to niezależnie od tego, czy wymaga się od tych osób zapłaty.
Czy zatem warto, aby przedsiębiorca, jak z powyższego widać – bez wyjątku każdy, podjął działania związane z wdrożeniem przepisów RODO w swojej firmie ? Odpowiedź jest oczywista i to z wielu powodów.
Najbardziej eksponowanym powszechnie wątkiem jest tu oczywiście widmo potężnych kar, które za nieprzestrzeganie RODO może nałożyć organ nadzorczy (obecnie jeszcze GIODO). Kary te mają, zgodnie z literalnym przepisem RODO, być skuteczne i proporcjonalne do poziomu naruszenia przepisów, ale i również odstraszające. Takie więc będą, bo ich wysokość może dochodzić od 10 mln do 20 mln euro albo 4% całkowitego rocznego światowego obrotu firmy z poprzedniego roku.
Niezależnie od tego, należy także liczyć się z możliwością dochodzenia od osób poszkodowanych, tj. tych których dane osobowe przetwarzamy niezgodnie z przepisami, roszczeń odszkodowawczych. Ich wysokość jest obecnie trudna do wyobrażenia, bo dopiero praktyka sądowa pokaże jak ten wątek faktycznie się ukształtuje. Pamiętać należy, że roszczenia będą mogły płynąć nie tylko od naszych współobywateli, ale również tych, którzy przebywają w innych państwach.
I na koniec należy poruszyć kwestię związaną ze stratami wizerunkowymi. Może się bowiem okazać, że samo nałożenie kary to problem pośledni w kontekście globalnych dochodów przedsiębiorcy. Utrata zaufania klientów do firmy, kojarzenie jej w kontekście szumu medialnego związanego z nieprzestrzeganiem jednego z podstawowych filarów praw człowieka, to już problem zupełnie innej miary.
Co zatem robić? To zależy od tego, czy przedsiębiorca ma wdrożone już choćby podstawowe zręby systemu zarządzania informacją (SZBI), w tym danymi osobowymi, czy też niewiele lub praktycznie nic do tej pory nie zrobił. Dla tego pierwszego przejście pod reguły RODO będzie tylko działaniem ewolucyjnym i zdecydowanie mniej problematycznym. Ci drudzy natomiast, pomimo, że czasu nie mają wiele, powinni jak najszybciej zacząć działać. Dla nich bowiem wdrożenie RODO będzie rewolucją w dotychczasowym postępowaniu z informacją. Dla przypomnienia, jakie skutki dla swoich ?dzieci? niesie każda rewolucja, wypadało by przywołać tezy klasyków, wspomnienie których może wywołać szereg ambiwalentnych odczuć.
Opracowanie:
Piotr Caliński, dyrektor Pionu Bezpieczeństwa Biznesowego nFlo sp. z o.o. | www.nflo.pl
Ewa Pasewicz, wiceprezes zarządu eSecure sp. z o.o. | www.securevisio.pl
*RODO ? Rozporządzenie parlamentu Europejskiego i rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.