Co to jest RODO albo rozporządzenie o ochronie danych osobowych?
W tym artykule dowiesz się między innymi: jakie cele przyświecały wprowadzeniu RODO w Unii Europejskiej, co RODO oznacza dla przedsiębiorców, jakie prawa mają osoby fizyczne oraz jakie kary przewiduje unijne rozporządzenie?

Co kryje się pod skrótem RODO i jak ono dotyczy ochrony danych osobowych?
Zdaje się, że dla większości osób czytających ten artykuł odpowiedź na pytanie "co to jest RODO?" nie jest już zagadką. Za moment mija 5 lat od momentu stosowania RODO (graniczną datą był 25 maja 2018), stąd zdaje się, że skrót rozporządzenia ujawnił się już wielokrotnie podczas akceptowania regulaminu sklepu internetowego, wyskakującej belki cookies czy polityki prywatności.
Ale jak brzmi krótka i rzeczowa odpowiedź na pytanie "co to jest RODO?"?
RODO to ogólne rozporządzenie o ochronie danych osobowych (właściwie: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., przyjęte 24 maja 2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE), w języku angielskim General data protection regulation, czyli skrót GDPR.
RODO jest rozporządzeniem regulującym kwestie ochrony danych osobowych w całej Unii Europejskiej. To oznacza, że tekst rozporządzenia został przetłumaczony na wszystkie języki krajów członkowskich — można zatem uznać, że mamy jedno RODO, które lokalnie jest doprecyzowane w ustawodawstwie krajowym np. poprzez ustawę, jak to ma miejsce w Polsce.
Jakie cele przyświecały wprowadzeniu rozporządzenia o ochronie danych osobowych w Unii Europejskiej?
RODO stanowi odpowiedź na wyzwania technologiczne XXI wieku, tj. dynamiczny rozwój nowych technologii przetwarzania danych osobowych:
- serwisy społecznościowe
- usługi chmury obliczeniowej
- usługi mobilne (geolokalizacja)
Z uwagi na zasięg terytorialny rozporządzenia, jego głównym celem jest standaryzacja i ujednolicenie zasad dotyczących ochrony danych osobowych, we wszystkich krajach Unii Europejskiej. Ma to związek z globalizacją gospodarki oraz współpracą na arenie międzynarodowej w obszarach, które dotyczą przetwarzania danych osobowych. Takie podejście pozwala na swobodny przepływ danych w ramach Unii europejskiej, co jest korzystne dla przedsiębiorców, ponieważ, nie muszą za każdym razem analizować, czy kraj, z którym podejmują współpracę, odpowiednio dba o ochronę danych osób fizycznych. RODO gwarantuje, że wymagania w każdym z krajów powinny być tożsame — oczywiście nie gwarantuje to, że każda organizacja wdroży jego zasady.
RODO jest neutralne technologicznie — jak wskazuje sama nazwa, jest to OGÓLNE rozporządzenie. Stanowi to wadę i zaletę: z jednej strony trudno jest oczekiwać konkretnych rozwiązań w tekście rozporządzenia, z drugiej strony daje ono dużą samodzielność w ustalaniu, co dla mojego biznesu będzie najbardziej optymalnym podejściem.
Podczas wdrożenia RODO w organizacji konieczne jest zbadanie kontekstu wewnętrznego i zewnętrznego, a następnie wdrożenia odpowiednich środków minimalizujących ryzyko naruszenia praw i wolności osób. Zdaje się, że takie podejście jest bardzo rozsądne ponieważ nie narzuca ono konkretnych rozwiązań, które dla małego przedsiębiorstwa nie byłyby możliwe do wprowadzenia, natomiast dla dużego przedsiębiorstwa byłyby one zbyt słabe.
Ustawodawcy unijni zakładają, że RODO będzie nam służyć przez 50 lat, z uwagi na wspomnianą neutralność technologiczną jest to możliwe. RODO wskazuje nam cel, do którego mamy dążyć, nie wskazuje jednak konkretnych środków bezpieczeństwa takich jak: niszczarka zgodna z RODO, szafa pancerna zgodna z RODO itd.
PS: nie dajcie się nabrać na te reklamy! :)
Co RODO oznacza dla osoby fizycznej, czyli dla każdego z nas?
Zdecydowanie daje nam poczucie bezpieczeństwa — na pewno dużo większe niż przed wejściem w życie RODO. Wdrożenie wymagań RODO przez przedsiębiorców ma dać nam poczucie kontroli nad naszymi danymi osobowymi.
W każdej chwili powinniśmy mieć możliwość uzyskania informacji od przedsiębiorstwa, któremu przekazujemy nasze dane osobowe na temat:
- tożsamości i danych kontaktowych przedsiębiorcy,
- gdy ma to zastosowanie – danych kontaktowych inspektora ochrony danych,
- celów przetwarzania danych osobowych oraz podstawy prawnej przetwarzania,
- prawnie uzasadnionych interesów realizowanych przez przedsiębiorcę,
- informacji o odbiorcach danych osobowych lub o kategoriach odbiorców,
- informacji o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
- okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
- informacji o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania, lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
- informacji o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
- informacji o prawie wniesienia skargi do organu nadzorczego,
- informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy,
- informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.
Powyższe informacje pozwalają nam na podjęcie decyzji o nieprzekazaniu danych temu podmiotowi, jeżeli zapisy są dla nas niepokojące. Na przykład okazuje się, że przedsiębiorca wskazuje, iż nasze dane będzie przekazywał 100 innym podmiotom w celach marketingowych.
Jeżeli już przekażemy nasze dane osobowe, mamy możliwość skontaktowania się z Administratorem albo Inspektorem ochrony danych osobowych, który jest zobowiązany odpowiedzieć na nasze pytania związane z przetwarzaniem danych.
RODO u swoich źródeł zakłada transparentność przekazywania informacji o przetwarzaniu, oczekuje prostego i jasnego języka, który będzie zrozumiały dla odbiorcy oraz daje mu możliwość skorzystania z praw, jakie daje mu RODO.
A jakie prawa mają osoby fizyczne?
Wielu z nas kojarzy już dość dobrze prawo do bycia zapomnianym, czyli możliwość usunięcia swoich danych np. z baz wysyłki newsletterów marketingowych.
RODO to jednak nie tylko prawo do usunięcia danych, zobaczcie poniższe prawa, które możemy zrealizować, kontaktując się z Administratorem na jego adres e-mail lub bezpośrednio z IOD:
Prawo dostępu przysługujące osobie, której dane dotyczą
Prawo do otrzymania kopii danych
Prawo do sprostowania danych
Prawo do usunięcia danych („prawo do bycia zapomianym”)
Prawo do ograniczenia przetwarzania
Prawo do przenoszenia danych
Prawo do sprzeciwu
Prawo do wniesienia skargi do organu nadzorczego
Nie ograniczajcie się i walczcie o swoje prawo do prywatności!
Więcej o konkretnych możliwościach w ramach danego prawa znajdziecie w naszym artykule.
Co rodo oznacza dla przedsiębiorców?
Wdrożenie rozporządzenia o ochronie danych osobowych ma naturę wirusową tzn. oczekiwanym jest, aby duże organizacje wymagały odpowiedniego poziomu bezpieczeństwa przetwarzania danych przez swoich mniejszych kontrahentów, a Ci mniejszy od swoich jeszcze mniejszych podwykonawców.
Nie da się ukryć, iż dla przedsiębiorców wdrożenie RODO zawsze wiąże się z dodatkowymi kosztami. Nawet w przypadku bardzo dobrze funkcjonujących środków bezpieczeństwa, dużej świadomości pracowników, wielu procedur itd. RODO będzie wymagało ciągłego monitorowania systemu ochrony danych osobowych. To pokazuje, że nie istnieje coś takiego jak jednorazowe wdrożenie RODO, spisaniu kilku dokumentów i zamknięciu ich w segregatorze o nazwie "RODO" a później schowaniu ich głęboko w szafie.
Poniższa checklista obrazuje zakres elementów, które powinny zostać opracowane i wdrożone w organizacji:
- Powołanie IOD.
- Wdrożenie wewnętrznej dokumentacji systemu ochrony danych osobowych np. polityki ochrony danych, procedury realizacji praw osób, procedury zarządzania incydentami. Pakiet dokumentów możesz kupić w naszym sklepie internetowym.
- Przygotowanie rejestrów: RCP, RKCP, incydentów, obsługi praw osób, nadanych upoważnień.
- Przeszkolenie pracowników.
- Nadanie upoważnień do przetwarzania danych osobowych.
- Podpisanie stosownych umów powierzenia przetwarzania danych osobowych.
- Wdrożenie tzn. frontowe RODO tj. przygotowanie polityki prywatności, polityki cookies, zgód na przetwarzanie danych, obowiązków informacyjnych.
- Przeprowadzenie analizy ryzyka wpływu procesów przetwarzania na prywatność osób fizycznych.
Oczywiście każdy z przedsiębiorców może zastosować środki bezpieczeństwa, które odpowiadają zakresowi oraz ilości danych, jakie przetwarza oraz infrastrukturze, na której dane osobowe są gromadzone i przetwarzane. Każdy z przedsiębiorców może mieć również inny apetyt na ryzyko — to oznacza, że mimo wiedzy o pewnych wymaganiach RODO nie stosować ich z uwagi na zagrożenie utraty przychodów itd. Jednak każdy właściciel firmy powinien być świadomy konsekwencji, jakie niesie za sobą niedostosowanie się do wymagań RODO.
Ile mln euro zapłaci twoja firma albo jakie kary finansowe przewiduje RODO?
Przepisy rozporządzenia przewidują dwie kategorie kar finansowych, które zależne są od rodzaju przewinienia. UODO może nałożyć karę w wysokości:
- do 10 lub 20 mln euro.
- do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku.
Jednak prezes UODO może również ustalić, że kara nie będzie miała charakteru finansowego. Wszystko zależy od kilku czynników, głównie mówimy tu o charakterze i wadze czynu, czasie trwania naruszenia, liczbie poszkodowanych osób i rozmiarze poniesionej przez nich szkody oraz rodzaju działań podjętych w celu zminimalizowania szkody.