Najczęściej zadawane ostatnio pytania w sieci to, czy RODO mnie dotyczy. Wielu jeszcze nie wie, co to w ogóle jest to RODO?

Wychodząc ku potrzebom i licznym zapytaniom, przychodzimy z odpowiedziami razem z Kingą Lalowicz, prezeską Fundacji Prawo dla Mam, do której również jako do prawnika powyższe pytania trafiały jako najczęstsze. Kinga zauważyła, że wiele osób ma cichą nadzieję, iż “RODO mnie nie dotyczy” lub szuka wymówek, aby owo sformułowanie stało się prawdą.

Co to zatem jest RODO i kogo dotyczy? Zapraszam do lektury artykułu gościnnego autorstwa Kingi.

Jeśli:

• masz sklep on-line lub w innym sposób sprzedajesz swoje produkty lub usługi on-line,
• masz swoją stronę internetową, jesteś blogerem, vlogerem, youtuberem itp. i masz swój newsletter (a jest to gromadzenie maili czyli również danych osobowych);
• jeśli prowadzisz jakąkolwiek inną twórczość internetową,

nie ma wątpliwości – RODO Cię dotyczy!

Najbezpieczniej w ogóle przyjąć, że RODO zawsze Cię dotyczy. Nie ma bowiem wątpliwości, że każda twórczość internetowa wiąże się aktualnie z przetwarzaniem danych osobowych.

Stare przyzwyczajenia

Wiem skąd tyle wątpliwości przy wprowadzeniu RODO.

Większości jest znana jedynie ustawa o ochronie danych osobowych obowiązująca DO 25 maja 2018 r. i wszystko, co z niej wynika.

Przyzwyczailiśmy się. Ze starej ustawy wynikało, że przepisy stosujemy do osób fizycznych, które przetwarzają dane w związku z działalnością zarobkową.

Czym zatem jest działalność zarobkowa?

• BYŁO. Zgodnie z obowiązującym do końca kwietnia art. 2. ustawy o swobodzie działalności gospodarczej działalnością gospodarczą była zarobkowa działalność wytwórcza, budowlana, handlowa, usługowa itp.
• JEST. Aktualnie ustawa Prawo przedsiębiorców wskazuje, że działalnością gospodarczą jest zorganizowana działalność zarobkowa, wykonywana we własnym imieniu i w sposób ciągły.

Nowe kryterium wprowadzane przez RODO

RODO nie odwołuje się już do działalności zarobkowej jako kryterium decydującym o tym, czy przepisy te stosujemy czy nie.

Wprowadza jedyne kryterium:

• czy następuje przetwarzanie danych?

Wyjątki?

Tak. Na szczęście! RODO nie obowiązuje przy takim przetwarzaniu danych osobowych przez osobę fizyczną, które następuje w ramach czynności o tzw. czysto osobistym lub domowym charakterze, jak na przykład prowadzenie książki kontaktów w formie spisu numerów telefonów w smartphonie.

Szczegółowo zestawiając, tak wygląda lista nielicznych wolnych od obowiązku RODO:

• osoby fizyczne w ramach czynności dotyczących czysto osobistych I/lub domowych spraw (czyli to co przechowujesz w osobistym telefonie, tablecie czy komputerze),
• podmioty, które prowadzą działalność nieobjętą zakresem prawa Unii Europejskiej (poza teryterium UE),
• organy państwowe w celach bezpieczeństwa czy przestępczości
• państwa członkowskie w ramach polityki zagranicznej i bezpieczeństwa.

Jak wypełnić formalności, jeśli RODO mnie dotyczy?

Rodzi Ci się w głowie szereg pytań:

• co z tym zrobić?
• jak wypełnić szereg formalności prawnych?
• jakie elementy muszą się znaleźć na stronie internetowej, żeby działać zgodnie z prawem?
• jak budować listę mailingową, skoro wiesz, że najpierw musisz w odpowiedni sposób zebrać zgody osób zapisujących się?
• słyszałeś o checkboxach, licencjach na zdjęcia z darmowych banków zdjęć, polityce prywatności, polityce bezpieczeństwa i cookies, ale ciągle nie wiesz, co musisz posiadać u siebie i jak to przygotować?

Jeśli to wszystko zupełnie Cię przeraża, chcesz uporządkować swoje działania on-line, aby legalnie istnieć w sieci – nie zwlekaj, czytaj dalej! 🙂

Kogo RODO dotyczy?

Upraszczając, RODO dotyczy każdego, kto przetwarza dane osobowe lub zarządza ich przetwarzaniem (administratorów). Art. 4 pkt 2 RODO mówi o “przetwarzaniu” jako o następujących czynnościach:

• operacjach lub zestawie operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany,

• a także zbieraniu, utrwalaniu, organizowaniu,porządkowaniu, przechowywaniu, adaptowaniu lub modyfikowaniu, pobieraniu, przeglądaniu, wykorzystywaniu, ujawnianiu poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywaniu lub łączeniu, ograniczaniu, usuwaniu lub niszczeniu.

Jak zorganizować procesy przetwarzania danych osobowych?

1. Trzeba wyróżnić RODO WEWNĘTRZNE W FIRMIE, na co będą się składały następujące elementy:

REJESTRY przetwarzania danych np.:

1. Użytkowników newslettera.
2. Osób komentujących na blogu.
3. Wolontariuszy / pracowników.
4. Uczestników szkoleń / warsztatów, spotkań itp. zgodnie ze specyfikacją firmy.

UMOWY (na gruncie RODO wystarczy je zawierać elektronicznie) ze wszystkimi, którym powierzamy posiadane przez nas dane:

1. o powierzenie danych z właścicielem serwera, na którym mamy stronę czy blog,
2. o powierzenie danych dot. obsługi księgowej, wysyłki newslettera np. MailerLite czy MailChimp, obsługi płatności np. PayPal czy do zarządzania zespołem: Asana itp. zgodnie ze specyfikacją Twojej firmy.

Ważne, aby poinformować odbiorców NEWSLETTERA, jeśli taki wysyłasz, o tym, że przestrzegasz nowych przepisów o ochronie danych. Wystarczy prosty komunikat. Jeśli do tej pory działaliście w firmie zgodnie z GIODO, taka informacja w zupełności wystarczy. Zgód na nowo nie trzeba zbierać, bo prawo nie działa wstecz.

Dla każdego rejestru (już nie musimy zgłaszać żadnych zbiorów danych osobowych) należy przygotować OCENĘ / ANALIZĘ RYZYKA:

• co może pójść nie tak

czy

• jakie naruszenia mogą mieć miejsce

w sprawie przetwarzania danych osobowych w Twojej firmie.

Następnie należy szczegółowo opisać wszelkie PROCEDURY NARUSZEŃ:

• 72 h na zgłoszenie naruszenia
• tabelka z przewidywanymi naruszeniami, które mogą się zdarzyć
• ewentualne naruszenia – jeśli zaistnieją – zgłaszamy do PUODO (nowy organ kontrolny).

Pamiętajmy, że rozporządzenie, które nas obowiązuje nakłada w konkretnych sytuacjach POWOŁANIE INSPEKTORA OCHRONY DANYCH OSOBOWYCH, jednak to dotyczy dużych podmiotów i nie będę rozwijała tutaj tego zagadnienia. Sygnalizuję jedynie dla porządku.

O tym, że prawidłowo przetwarzasz dane osobowe będzie świadczyła POLITYKA BEZPIECZEŃSTWA, czyli dokument, w którym opiszesz:

• gdzie są przechowywane dane osobowe, które przetwarzasz (już nie musisz ich przechowywać w formie papierowej, wystarczy forma elektroniczna),
• kto ma do nich dostęp, na jakiej zasadzie itp.

Wg mnie nie ma potrzeby publikować polityki bezpieczeństwa na stronie internetowej! Ona ma służyć nam wewnętrznie w firmie.

2. Wdrażanie RODO z kolei ZEWNĘTRZNEGO W FIRMIE będzie polegało na tym, że stworzymy odpowiednie:

CHECKBOXY (czyli kwadraciki do odhaczenia), w których pobieramy odpowiednie zgody w sposób przyjazny i zrozumiały dla użytkownika, np. przy zapisywaniu się na newsletter.

COOKIES: może być ich wiele. Jest to zbieranie danych za pomocą: Google Analitics, Pixela Facebooka, Disqusa, YouTube’a itp.

Wszystkie te sposoby gromadzenia danych muszą być opisane. Np. “Wchodząc na moją stronę, godzisz się na to, że uploadując (ładując) film z Youtuba’a, wykorzystywane są pliki cookies z Youtube’a”.

Na koniec UWAGA: warto czytać regulaminy takich programów jak np. Google Analitics, w którym Google na swoich użytkowników przerzuca wszystkie obowiązki informacyjne związane z przetwarzaniem danych osobowych!

Uf… I tak dobrnęliśmy do końca… Albo początku, bo teraz mając powyższe wytyczne, zachęcam do działania! 🙂

Kinga Lalowicz

Kinga Lalowicz

Prawnik, CEO, prezes Fundacji Prawo dla Mam, która pomaga przedsiębiorczym mamom przetrwać w gąszczu przepisów prawnych. Specjalizuje się w prawie cywilnym, gospodarczym (w tym prawie spółek) oraz wszelkich sprawach dotyczących obrotu nieruchomościami. Urodzona szefowa, koordynatorka i organizatorka. Także mama, która wiedząc, jak ciężko spełniać się w tylu rolach, powołała fundację celem pomagania innym mamom będącym w podobnej sytuacji. Prowadzi fanpage Twój Wirtualny Prawnik.

WWW Fundacji Prawo dla Mam: http://prawodlamam.pl/