Nowe przepisy: gigantyczne kary, niezapowiedziane kontrole. Przedsiębiorco, zbliża się RODO

W połowie przyszłego roku wejdzie w życie nowe unijne prawo, dużo bardziej rygorystyczne niż dotąd. Chodzi o ochronę danych osobowych: obywatel się cieszy, przedsiębiorca powinien się przygotować. Każdy.

RODO, czyli Rozporządzenie Ogólne o Ochronie Danych, wchodzi w życie 25 maja 2018 roku. To nowy akt unijny, który reformuje zasady gromadzenia i przetwarzania danych osobowych we wszystkich państwach UE.

- Reforma nadaje wiele uprawnień obywatelom, ale takie uprawnienia są jednocześnie konkretnymi obowiązkami dla przedsiębiorców, którzy gromadzą dane - mówił w "Raporcie Gospodarczym" w TOK FM Maciej Kawecki, koordynator prac nad reformą ochrony danych osobowych z Ministerstwa Cyfryzacji dodając, że resort ten od ponad roku prowadzi konsultacje w tej sprawie i coraz lepiej orientuje się, o co pytają przedsiębiorcy.

To zmiany, które dotyczą wszystkich obywateli a także, jak się wydaje, niemal wszystkich przedsiębiorców. Bo jeśli się zastanowić uświadomimy sobie, że wszyscy, którzy prowadzą biznes, dane osobowe gromadzą.

Gromadzimy, przetwarzamy i wykorzystujemy dane osobowe zarówno jeżeli mamy sklep internetowy, sprzedajemy garnki albo książki, nawet jeśli jesteśmy fryzjerem i zapisujemy w pliku Excel dane osób, które w określonych godzinach korzystają z usług fryzjerskich albo jesteśmy taksówkarzem i wydajemy faktury

- mówił Kawecki i dodawał, że każdy z gromadzących dane przedsiębiorców będzie, w jakimś zakresie, dotknięty zmianami, bo dotyczą one naprawdę każdego obszaru: np. jeśli mamy monitoring wizyjny - zasad korzystania z takiego monitoringu. Nagrywani przez nas ludzie mają prawo do bycia zapomnianym, czyli żądania usunięcia naszych danych z baz, również z kopii zapasowej.

Jako obywatele dostaniemy ponad 20 nowych uprawnień, każde z nich wymaga aktywnej reakcji przedsiębiorcy.

Niektóre regulacje są bardzo szczegółowe

Tak, jak np. dotyczące gromadzenia danych biometrycznych, gdzie zmiana kodeksu pracy projektowana przez ministra cyfryzacji będzie umożliwiała pracodawcom gromadzenie bazy danych biometrycznych pracowników w celu ewidencji czasu pracy lub, chociażby, po prostu, identyfikowania pracowników.

- Nową regulacją będzie również zasada przenoszalności danych osobowych: nazwa brzmiąca naprawdę magicznie - mówił Kawecki - Jeżeli jesteśmy bankiem, ubezpieczycielem, operatorem telekomunikacyjnym ale też mniejszym przedsiębiorcą: np. prowadzimy sklep internetowy i część naszych klientów ma założone u nas odrębne konta. A klient chce kupić książkę w innym sklepie internetowym albo chce wystąpić z wnioskiem kredytowym do innego banku, ale nie chce mu się w tych instytucjach od nowa zakładać kont internetowych może zażądać, żeby ten pierwszy sklep, w którym założył konto albo bank, w którym już ma takie konto przekazał komplet danych osobowych innej firmie czy instytucji, tak, by tam nie rejestrować się już od samego początku. Podobnie może być np. w urzędach, gdy jedna komórka urzędu będzie przekazywać drugiej komplet naszych danych, by nie powielać żmudnej procedury wypełniania formularzy. Oznacza to po prostu ułatwienie życia obywatelom.

Są porządki prawne w Unii Europejskiej, gdzie tego typu rozwiązania od lat funkcjonują.

Nie dlatego, że "Unia kazała" tylko dlatego, że wprowadzono takie rozwiązania jako po prostu dobre praktyki, funkcjonujące na naprawdę wysokim poziomie. Stało się odwrotnie: to Unia w nowej regulacji korzysta z dobrych praktyk, które po prostu się sprawdziły.

Jak to powinno działać

Ekspert podawał konkretny przykład, powracając do fryzjera wspomnianego na początku: jeśli ów fryzjer ma zapisane nazwiska swoich klientów wraz z ich numerami telefonów - to znaczy, że ma bazę danych. Zniesiony będzie obowiązek rejestrowania takiej bazy danych, ale na fryzjerze ciążył będzie obowiązek uprzedzenia osób, które znajdą się w tej bazie, w momencie pozyskiwania ich danych o tym, że baza istnieje a także: kto jest jej administratorem i w jakim celu dane są przetwarzane.

Od 25 maja za brak realizowania takiego obowiązku będzie groziła gigantyczna kara - proporcjonalna do dochodów, ale dla takiego fryzjera 20 czy 30 tysięcy złotych to z pewnością będzie potężne uderzenie po kieszeni, które może zdarzyć się w każdej chwili, bo kontrole będą niezapowiedziane

- mówił przedstawiciel ministerstwa cyfryzacji dodając, że aby uniknąć wspomnianej kary wystarczy wykonać prostą rzecz: nakleić na blacie, przy którym przyjmujemy dane osobowe karteczkę z informacją na wspomniany wyżej temat: czyli że administratorem danych osobowych jest "xyz" z siedzibą tu i tu, państwa dane osobowe będą gromadzone w wymienionym celu. Dokładna treść takiego komunikatu jest regulowana, warto dowiedzieć się co powinno znaleźć się w takim tekście. W przypadku sklepu internetowego taka informacja powinna się znaleźć oczywiście na stronie głównej.

Kolejna nowość to odbieranie zgód rodziców na gromadzenie danych osobowych ich dzieci

Dobrym przykładem będzie tu księgarnia internetowa. Bo jest to sklep, który prowadzi sprzedaż dóbr o stosunkowo małej wartości, czyli zgodnie z prawem dziecko do 13 roku życia może sobie założyć tam konto i taką książkę kupić. Ale jeśli jako sklep będziemy chcieli od takiego dziecka dostać zgodę na np. przesłanie mu newslettera czy jakiejkolwiek innej informacji handlowej wówczas zgody musi udzielić rodzic a nie dziecko. I serwis musi stworzyć mechanizm, który pozwoli w wiarygodny sposób zweryfikować, że to rzeczywiście osoba dorosła takiej zgody udzieliła.

 To nowość, rodząca ogromne problemy, bo okazuje się, że zweryfikowanie takiej dorosłej osoby jest trudniejsze, niż można byłoby przypuszczać, dzisiaj nie ma takiej skutecznej metody

- mówił ekspert dodając, że jest jednak pewien pomysł na to, jak ten problem rozwiązać. - Największą szansę dają na to np. duże serwisy internetowe, które - być może - zatrudniając np. telefonistki będą w stanie zweryfikować tożsamość dorosłej osoby i specjalnie oznaczyć jej konto jako konto rodzicielskie. Tak czy inaczej: będzie to nowy obowiązek dla przedsiębiorców prowadzących sklepy internetowe - dodawał Kawecki.

Kolejną zmianą, bardzo dużą i dotyczącą wszystkich przedsiębiorców jest tzw. neutralność technologiczna nowego prawa. Dotychczasowe przepisy na poziomie unijnym są archaiczne w sprawie zabezpieczania baz danych, pochodzą z lat 90-tych i one się zdezaktualizowały, bo zawarty w nich wymóg, by hasła do systemów zmieniać co 30 dni i że muszą mieć 8 znaków alfanumerycznych to w dzisiejszych czasach zdecydowanie za mało.

- Stworzono więc akt, który nie stanowi jak zabezpieczać dane osobowe, żaden organ też tego nie powie - mówił przedstawiciel ministerstwa cyfryzacji - Sam przedsiębiorca musi na bieżąco zastanawiać się, czy jego zabezpieczenia są najdalej idącymi spośród dostępnych obecnie na rynku. A organ nadzorczy przyjdzie i skontroluje, czy rzeczywiście przedsiębiorca dochował należytej staranności.

Jak nakładane będą kary?

Naruszenie prywatności będzie karane, i to wysokimi karami: najwyższa o 20 mln euro, co więcej: do nakładania kar, inaczej niż obecnie, uprawniony będzie polski organ nadzorczy.

To, czy wina przedsiębiorcy była umyślna czy nie będzie miało wpływ na wysokość kary ale nie można liczyć na to, że nieumyślność nas "uratuje". W Polsce tego typu kary, administracyjne, nie zależą od winy sprawcy: jeżeli jest się przedsiębiorcą - podlega się domniemaniu, że prawo się zna.

To, że nie chciało nam się przeczytać RODO nie zwalnia nas z odpowiedzialności

- mówił Kawecki. Natomiast kara będzie oczywiście niższa, niż w przypadku, powiedzmy, właściciela firmy, który świadomie udostępnił publicznie dane osobowe pracowników wraz z np. wysokością ich wynagrodzeń na stronie internetowej pracodawcy dlatego, że pracownicy go zdenerwowali.

Ministerstwo Cyfryzacji organizuje szkolenia i spotkania odnośnie nowych przepisów, już w grudniu zaplanowano konferencję podsumowującą uwagi do projektowanych zmian ponad 130 ustaw. Uwag jest 1700, konferencja będzie transmitowania na żywo w internecie, warto zatem śledzić profile ministerstwa w mediach społecznościowych.

Ministerstwo planuje też przygotowanie przewodnika przedsiębiorcy, którego treść będzie wynikała ze zgłaszanych do resortu pytań i uwag dotyczących kwestii ochrony danych osobowych.

DOSTĘP PREMIUM