Raz po raz można w wielu publikacjach internetowy spotkać groźnie brzmiący skrót RODO. Jedni nim straszą, inni nawołują do zmian i reform. O co tak naprawdę chodzi z RODO? Dlaczego nikt nie mówi o GDPR? Czy 25 maja 2018 to naprawdę koniec świata? W tekście znajdziesz wszystko. I jeszcze więcej.

Informacja rządzi światem

GDPR to skrót od angielskiego General Data Protection Regulation. Oznacza ono przyjęte 8 kwietnia 2016 roku przez Radę Unii Europejskiej Rozporządzenie. RODO zaś to polskojęzyczne brzmienie, które tłumaczy się jako Rozporządzenie o Ochronie Danych Osobowych.

Parlament Europejski tak Rozporządzenie, jak i Dyrektywę, określającą wytyczne odnośnie wdrożenia, przyjął dokładnie 14 kwietnia 2016 roku. Blisko dwa tygodnie później, bo 27 kwietnia 2016 PE przyjął także tzw. Dyrektywę Policyjną – w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych.

Od tego dnia wszystkie państwa członkowskie, miały czas na dostosowanie prawa krajowego do unijnych wytycznych. Rodzime Ministerstwo Cyfryzacji w marcu 2017 roku przedstawiło odpowiedni projekt wdrożenia postanowień RODO (chętnych odsyłamy tutaj) . Nowy pakiet legislacyjny ma obowiązywać właśnie od 25 maja 2018 (Dyrektywa Policyjna ma być wdrożona do 6 maja 2018) więc spokojnie – armagedonu nie będzie, choć za niedostosowanie się do nowych przepisów takowy może spotkać Twoją firmę. Szczegóły później. Czasu na adaptację w realiach polskiego biznesu zostało już naprawdę niewiele.

Dlaczego powstało RODO?

Idea, jaka przyświecała prawodawcy GDPR, to pragnienie ujednolicenia i wzmocnienia ochrony danych osobowych wszystkich obywateli zamieszkujących państwa członkowskie UE.

Wielu ekspertów podkreśla, że jest to wszystko związane ze zmianami cywilizacyjnymi i kulturowymi, zwłaszcza z rozwojem globalnego społeczeństwa informacyjnego. W tym kontekście lokalne prawa nie nadążają za nowo inicjowanymi aktywnościami człowieka, nie stawiają one czoła zmieniającym się trendom rynkowym – w szczególności w obszarze ekosystemu mediów Web 2.0 i 3.0, PR i szeroko pojętej komunikacji – one należą w tym momencie do najbardziej innowacyjnych sektorów działalności. Potrzeba było zatem systemowego rozwiązania, które chroniłoby prywatność poszczególnych ludzi.

Lepiej zapobiegać, niż leczyć

W tak dynamicznie rozwijającym się świecie nie sposób przewidzieć wszystkich zagrożeń, dlatego postanowiono cały system postanowiono oprzeć o dwa główne filary Privacy by Design oraz Privacy by Default – o nich dowiesz się w z kolejnych publikacji.

W tym założeniu o ochronie danych osobowych należy myśleć w zupełnie innych kategoriach. Ma być ona wynikiem działania konkretnych procesów i architektury informacji na każdym etapie ich zarządzania – od momentu pozyskania, aż do przechowywania. Koniec z działaniami stricte reaktywnymi. Obywatel, klient, konsument ma czuć się bezpiecznie od samego początku. Bo przecież lepiej zapobiegać naruszeniom, niż tylko leczyć je skutki.

Kogo obowiązuje RODO?

Skoro rozporządzenie ma ujednolicać system ochrony danych osobowych, to siłą rzeczy dotyczyć ono będzie wszystkich krajów członkowskich Unii Europejskiej. Mają go przestrzegać wszystkie instytucje oraz przedsiębiorcy – bez względu na wielkość firmy, ilość zatrudnianych osób i branżę – którzy oferują towary i usługi, a przez to gromadzą i przetwarzają dane osobowe.

Owa unifikacja w założeniu wpłynąć także na sposób stosowania prawa przez organy ochrony danych osobowych dzięki przewidzianemu mechanizmowi spójności, wedle którego na organy nadzorcze został nałożony obowiązek współpracy ze sobą, a w konkretnych przypadkach także z Komisję Europejską.

A jeśli mam siedzibę poza Unią Europejską?

Aby zapewnić większą konkurencyjność, nowe regulacje będą dotyczyć podmiotów spoza UE, które świadczą swoje usługi w Europie. Wśród nich pojawiły się bowiem firmy, które ze względu na swoją lokalizację za Oceanem, uchylały się od stosowania europejskich przepisów lub zwyczajnie część z nich zupełnie ich nie obowiązywała. Mowa tu o wielkich potentatach pokroju Google, Facebooka czy Microsoftu, którzy codziennie przetwarzają ogromną ilość danych. a dawne przepisy nie pozwalały ich skutecznie przymusić do ich ochrony. Również mniejsi gracze mogli znaleźć kruczki legislacyjne, dzięki którym mogli uchylać się od odpowiedzialności, a powierzane im dane nie były dostatecznie bezpieczne.

Zgodnie z RODO takie podmioty będą miały obowiązek dostosowanie swojego systemu ochrony do Rozporządzenia, gdy czynność przetwarzania danych obywateli UE wiąże się z:

  • z oferowaniem towarów lub usług – niezależnie, czy wymaga się od tych osób zapłaty;
  • monitorowaniem ich zachowania, o ile do tego zachowania dochodzi na terenie Unii.

Prócz działań w zakresie nowego prawa, konieczne będzie także powołanie swojego przedstawiciela na terenie Unii Europejskiej. Może nią zostać osoba fizyczna lub prawna, mająca swoje mieszkanie lub siedzibę na terenie Unii. Powinien on również mieć siedzibę w tym państwie członkowskim, w którym na stałe przebywają osoby, których dane są przetwarzane przez jego mocodawcę. Na mocy uprawnień i upoważnienia interesanci będą mogli bezpośrednio do niego zwracać się w konkretnych sprawach związanych z zarządzaniem danych.

To tylko kilka podstawowych informacji, z którymi trzeba sobie przyswoić. Potem przyjdzie czas na chłodną refleksję, a także poszukiwanie najlepszych specjalistów, którzy jako lojalni partnerzy zaopiekują się Tobą po królewsku, wdrażając RODO do Twojej firmy. A co trzeba w tej kwestii zrobić? Jakie zmiany wprowadza RODO? Na te i inne pytania odpowiemy już niedługo.