RODO a zakład optyczny

Polub i udostępnij
  •  
  •  
  •  

 

Od dnia 25 maja br. zaczęło obowiązywać tzw. RODO, tj. Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Z nazwy aktu prawnego wynika – z czego niewiele osób zdaje sobie sprawę – że już ponad 2 lata temu przepisy unijne weszły w życie; do 25 maja zaś trwał tak naprawdę okres przejściowy, pozwalający na dostosowanie się do przepisów.

Założeniem omawianego Rozporządzenia jest ujednolicenie prawa europejskiego pod kątem ochrony danych osobowych. Do tej pory bowiem państwa będące np. członkami Unii Europejskiej kwestię tę regulowały w sposób odmienny, zaś sama natura wspólnoty ma prowadzić do unifikacji przepisów dotyczących życia społeczno-gospodarczego w niej.

Nowe regulacje wprowadzają wiele istotnych zmian do porządku prawnego Polski we wskazanej tematyce, jak np. przemianowanie dotychczasowego GIODO na Urząd Ochrony Danych Osobowych na czele z Prezesem, do którego zadań będzie należało między innymi prowadzenie działań kontrolnych. Można stwierdzić, że w przypadku naszego państwa ochrona danych osobowych będzie wręcz rozszerzona w wyniku działań prawodawcy unijnego, gdyż znacznie zwiększa nie tylko prawa osób, których dane osobowe dotyczą, ale także wymusza na podmiotach, które te dane przetwarzają, określone obowiązki.

Obowiązki administratora danych

Skupiając się na drugich wspomnianych elementach, w przypadku przedsiębiorstw będących zakładami optycznymi, różnice w stosunku do innych gałęzi gospodarki nie są istotne, jeśli podejdzie się do realizacji wymaganych prawem obowiązków rzetelnie. Warto w tym miejscu wskazać, że Rozporządzenie RODO nie precyzuje dokładnie, jak mają przebiegać jego wdrożenie i realizacja. Przepisy sformułowane są ogólnie, zaś to w ewentualnej gestii państwa członkowskiego znajduje się ich uszczegółowienie. W związku z tym to do administratora danych osobowych, a więc praktycznie każdego przedsiębiorstwa (w tym zakładu optycznego) należy uwzględnienie adekwatnych według niego procesów i późniejszych działań.

Do obowiązków przedsiębiorców należą przede wszystkim stała analiza ryzyka w odniesieniu do procesów powiązanych z danymi osobowymi. Administrator danych osobowych ma za zadanie sporządzić odpowiedni dokument, w którym wskazuje, jakie konkretnie aktywa winny być chronione, jakie jest prawdopodobieństwo wystąpienia zagrożeń (i jakich) oraz jakie wobec tego należy podjąć działania o charakterze organizacyjnym oraz technicznym.

Wśród innych powinności znajdują się między innymi rozszerzony obowiązek informacyjny (należy gruntownie wskazać klientowi, w jaki sposób oraz przez kogo jego dane osobowe będą przetwarzane), określenie odpowiednich podstaw prawnych przetwarzania takich informacji (zwłaszcza że w przypadku zakładów optycznych są to też informacje o szczególnej kategorii, jak np. dotyczące zdrowia) czy obowiązek zgłaszania naruszeń.

Nie bez wpływu jest także rodzaj sporządzonej dokumentacji. Do obowiązkowych pozycji należą przede wszystkim rejestr czynności przetwarzania danych osobowych oraz zawarte stosowne umowy powierzenia przetwarzania danych osobowych, jeśli zlecamy ich przetwarzanie „na zewnątrz” (np. w stosunku do biur księgowo-rachunkowych czy kancelarii prawnych).

Wskazuje się, że ustawodawca unijny wprowadził możliwość nałożenia kar w wysokości do 20 milionów euro bądź 4% wartości rocznego światowego obrotu przedsiębiorstwa. Zdaje się, że jest to najczęściej w polskiej opinii publicznej podnoszony argument, dla którego należy wdrożyć RODO w ramach swojej działalności. Prawdą jest, że rzeczywiście takie możliwości istnieją, jednak – jak przyznają sami urzędnicy Ministerstwa Cyfryzacji – kary finansowe w przypadku naruszeń ochrony danych osobowych będą ostatecznością. W głównej mierze zależeć to będzie od wprowadzonych wcześniej środków organizacyjnych i technicznych oraz skali naruszenia, zaś w pierwszej kolejności, winno wówczas zastosować się tzw. upomnienie.

Korzyści wynikające z RODO

Istnieją jednak i korzyści wprowadzenia nowych regulacji. Przedsiębiorstwo ma możliwość przeprowadzenia szczegółowej inwentaryzacji posiadanych zasobów informacyjnych oraz – co za tym idzie – konieczność dostosowania się do zmieniających się warunków rynkowych, także tych pod kątem technologicznym. Uporządkowanie procesów zachodzących w firmie wskazuje się jako główną – ale nie jedyną – korzyść wprowadzenia RODO.

Wobec powyższego warto wskazać, że w przypadku, gdy ochrona danych osobowych jest zachowana i adekwatna do posiadanych aktywów, ewentualna kontrola ze strony Urzędu Ochrony Danych Osobowych nie będzie przyczyną żadnych obaw.

Marcin Majchrzak – prawnik i mediator. Specjalizuje się w prawie najnowszych technologii, ochronie własności intelektualnej oraz prawie turystycznym.

www.mobi-prawnik.pl

 


Polub i udostępnij
  •  
  •  
  •  

Polecamy