Niedawno przy okazji wypełniania formularza covidowego w jednej z firm, (swoją drogą całkiem solidnie przygotowanego) znalazłem dwie formułki RODO umieszczone w stopce. Z uwagi na to, że dokument był w języku polskim i angielskim, również i one znalazły się w dwóch wersjach językowych. Zabawne było to, że o ile w polskim tekście występował (co zrozumiałe) skrót RODO, o tyle również w angielskim tłumaczeniu znalazł się skrót… a jakże (!) „RODO”.
Zacznijmy od tego, że choć dla niektórych brzmi chyba „międzynarodowo”, skrót jest właściwy jedynie dla języka polskiego od nazwy aktu prawnego „Ogólne rozporządzenie o ochronie danych”. W języku angielskim będzie to już „GDPR” od General Data Protection Regulation. Taki szczegół, a jednak ważny, bowiem gość z Londynu wczytujący się w drobny druczek na dole kartki raczej nie rozszyfrowałby naszego skrótu. I tak „nasze” RODO to w Niemczech i Austrii to Datenschutz-Grundverordnung oznaczane jako „DSGVO” lub „DS-GVO”, a we Francji Règlement général sur la protection des données z jeszcze innym oznaczeniem „RGPD”. Skomplikowane? Nikt nie obiecywał, że będzie łatwo.
>>> CZYTAJ TAKŻE: BDO. Co to jest? Czy muszę wpisać się do BDO?
RODO (ang. GDPR) to obowiązujące od maja 2018 roku rozporządzenie UE, które zawiera przepisy chroniące osoby fizyczne w związku z wszechobecnym dziś przetwarzaniem danych osobowych oraz przepisy regulujące swobodny przepływ takich danych na terenie Unii Europejskiej.
Chodzi o to, by dane dotyczące mnie, Ciebie Czytelniku, Twojego kontrahenta, pracownika czy klienta były chronione. W opinii prawodawców powinniśmy wiedzieć, kto przetwarza (straszne słowo) nasze dane, przez jaki czas może to robić, kto może mieć w nie wgląd oraz tak ogólnie, do czego informacje na nasz temat mają być komukolwiek potrzebne. Tyle teorii. Prawdziwy popłoch stworzyła groźba sankcji, która sprawiła, że klauzule RODO znalazły się wszędzie. Najdziwniejsze miejscem, w jakim je znalazłem był załącznik do wizytownika pewnego PR-owca, który odbierając wizytówkę, grzecznie poprosił o podpis w tabelce. Profeska!
Odpowiedzialność karna, cywilnoprawna i administracyjna - taki oręż wymierzony przeciwko nam, jeśli zbagatelizujemy przepisy rozporządzenia o ochronie danych. Napiszemy już teraz: nie warto.
Zacznijmy od odpowiedzialności karnej. Jeżeli będziemy przetwarzali dane osobowe, mimo że w danym przypadku będzie to prawnie niedopuszczalne, albo nie będziemy mieli co do tego uprawnień, w najlepszym wypadku zapłacimy grzywnę, w nieco gorszym - spadnie na nas kara ograniczenia wolności. Jeśli nasz występek zostanie zaliczony do najgrubszego kalibru, pójdziemy do więzienia nawet do lat dwóch.
CZYTAJ TAKŻE: Raport BIK Przedsiębiorca. Co to jest BIK Firmowy
Bardzo podobny katalog kar czeka tych, którzy złamią przepisy w zakresie ujawniającym pochodzenie rasowe bądź etniczne, poglądy polityczne, religię, światopogląd, przynależność do związków zawodowych, danych genetycznych lub biometrycznych przetwarzanych, by kogoś jednoznacznie zidentyfikować, danych dotyczących stanu zdrowia, seksualności lub orientacji seksualnej. Z tą różnicą, że pewnie grzywna będzie większa. Wśród możliwych kar jest także ograniczenie wolności oraz pobawienie wolności do lat trzech.
Kara spotka również tych, którzy w jakimś stopniu udaremniają lub utrudniają kontrolerom sprawdzenie przestrzegania przepisów RODO. Wówczas w grę wchodzi także grzywna, ograniczenie wolności lub nawet dwa lata za kratami.
Za złamanie przepisów RODO możemy narazić się także na poniesienie odpowiedzialności cywilnoprawnej. W jakich sytuacjach? Jeżeli zostaną naruszone czyjeś prawa z zakresu ochrony danych osobowych, wówczas taka osoba może zażądać zaniechania takich działań, oraz domagać się usunięcia ich skutków. Gorzej, jeśli w takich okolicznościach poniesie ona jakąś szkodę - majątkową czy niemajątkową w wyniku naruszenia rozporządzenia. W takiej sytuacji administrator lub podmiot przetwarzający jej dane będzie musiał zapłacić stosowne odszkodowanie lub zadośćuczynienie.
CZYTAJ TAKŻE: Kontrola pracowników zdalnych. Z legalnością działań może być kłopot
Mamy świadomość, że teraz obudzimy demony, które podgrzewały atmosferę przed majem 2018 roku, kiedy RODO zawitało do naszego systemu prawnego. Będzie bowiem o legendarnych już karach pieniężnych, które reguluje słynny już artykuł 83 RODO oraz 11 rozdział polskiej ustawy o ochronie danych osobowych. Otóż – za naruszenie obowiązków administratora i podmiotu przetwarzającego, jakie wskazuje rozporządzenie, a także obowiązków podmiotów certyfikujących i monitorujących może zostać nałożona kara sięgająca 10.000.000 euro (Nie. Nie wcisnęło nam się zero). W przypadku przedsiębiorstwa kara może sięgnąć 2 proc. całkowitego rocznego (globalnego) obrotu, licząc z poprzedniego roku obrotowego. I teraz uwaga: zastosowana będzie kwota wyższa.
Z kolei naruszenie podstawowych zasad przetwarzana, np. warunków zgody, praw osób, których dane dotyczą, przekazywania danych osobowych podmiotowi w państwie trzecim lub organizacji międzynarodowej oraz za naruszenie „nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy” kara może osiągnąć… 20.000.000 euro, a w przypadku przedsiębiorstwa 4% jego całkowitego rocznego obrotu (na zasadach jak wyżej).
Być może, ten artykuł miejscami był napisany zbyt lekko, w stosunku do katalogu kar i wagi wyzwania, przed jakim znalazły się firmy. Jak pokazuje doświadczenie polskich przedsiębiorców, wielu z nich poradziło sobie z tym obszarem. Nie można jednak dopuścić, by problem został potraktowany po macoszemu. Czasem na błahym mailingu lub przesyłaniu informacji gospodarczych, katalogów lub ofert, można popaść w niemałe tarapaty, dlatego co jakiś czas zalecamy przejrzenie zagadnień związanych z RODO w firmie. Tak, dla własnego spokoju. Czarna wołga, na unijnych blachach naprawdę jeździ.