RODO w branży tapicerskiej — szansa czy zagrożenie dla biznesu?

Rozporządzenie  Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej zwane RODO) obowiązuje od 25 maja 2018 roku. Pomimo upływu 4 lat, RODO nadal powoduje problemu a wielu przedsiębiorców nie wie co ma robić. O RODO w branży tapicerskiej, jego szansach i zagrożeniach dla biznesu, z panem  Pawłem Bronisławem Ludwiczakiem — radcą prawnym — rozmawia Michaela Fuchs.

Michaela Fuchs: Co zmieniło w polskim biznesie RODO? W jakim stopniu go zrewolucjonizowało?

Paweł Ludwiczak:     RODO, co do zasady, wprowadziło jednolite zasady ochrony danych osobowych na terenie całej UE. Ponadto RODO zmieniło filozofię ochrony danych osobowych, ponieważ RODO w odróżnieniu od poprzednich regulacji nie wskazuje, przy pomocy jakich środków  zabezpieczać dane i jak zapewnić poprawność przetwarzania. Każdy z Państwa jest zobowiązany przeprowadzić wieloaspektową analizę, ocenę ryzyk związanych z przetwarzaniem danych osobowych i wdrożyć adekwatne rozwiązania w zakresie ochrony danych osobowych. Każdy też musi przetwarzać dane zgodnie z zasadami określonymi w RODO. 

Warto zauważyć, że RODO wprowadziło bardzo dotkliwe sankcje finansowe za naruszenie prawa ochrony danych osobowych – do 20 mln EUR lub 4% obrotu.

RODO nakłada cały szereg obowiązków na administratora, np. obowiązek informacyjny. Z drugiej strony RODO daje nam (jako osobom fizycznym) cały szereg uprawnień, m.in.:

1. prawo do wiedzy, kto przetwarza nasze dane osobowe, po co, jak długo itp. itd. (administratorzy mają obowiązki informacyjne),
2. prawo dostępu,
3. prawo do sprostowania danych,
4. prawo do usunięcia danych (bycia zapomnianym),
5. prawo do ograniczenia przetwarzania,
6. prawo do przenoszenia danych,
7. prawo sprzeciwu,
8. prawo cofnięcia zgody,
9. prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych, tj. Prezesa Urzędu Ochrony Danych Osobowych.

M.F.: Jakie są dane wrażliwe RODO?

P.L.: Stara ustawa o ochronie danych mówiła o danych wrażliwych, natomiast RODO mówi o danych osobowych szczególnej kategorii, tj.: ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

M.F.: W jakich sytuacjach może mieć zastosowanie RODO w branży tapicerskiej? 

P.L.: W każdej sytuacji, gdy przetwarzają dane osobowe np. swoich pracowników, klientów, kontrahentów itp.

M.F.: Czy reprezentanci branży tapicerskiej mogą być zwolnieni ze stosowania przepisów RODO?

P.L.: Zwracam uwagę, że RODO muszą stosować zarówno olbrzymie korporacje, jak i osoby prowadzące jednoosobową działalność gospodarczą. Kiedyś na gruncie nieobowiązującej ustawy były zwolnienia. Teraz od 4 lat nie ma zwolnień dla przedsiębiorców wpisanych do CEIDG.

M.F.: Co o RODO powinni wiedzieć tapicerzy, którzy planują otworzyć zakład tapicerski lub już go prowadzą? Czy ponoszą oni odpowiedzialność za ochronę danych osobowych? Jeśli tak, to w jakim zakresie?

P.L.: Jeżeli jakiś przedsiębiorca przetwarza dane osobowe, ponosi pełną odpowiedzialność zgodnie z RODO. Oczywiście inaczej wyglądają systemy ochrony danych osobowych w bankach a inaczej w zakładach tapicerskich. Wszystko zależy m.in. od ilości i rodzaju danych osobowych oraz sposób przetwarzania. 

M.F.:  W jaki sposób hurtownie tapicerskie, zarówno stacjonarne, jak i internetowe powinny stosować przepisy RODO?

P.L.: RODO wymaga wdrożenia i utrzymania skutecznego, efektywnego i adekwatnego systemu bezpieczeństwa danych osobowych. Na system składają się odpowiednie rozwiązania organizacyjne i techniczne. Na pewno sama dokumentacja to za mało. Warto w tym zakresie skorzystać z  pomocy eksperta.

M.F.: Czy pracownicy zakładów tapicerskich, fabryk mebli tapicerowanych i hurtowni tapicerskich mogą odpowiadać za RODO? Jeżeli tak, to w jakim zakresie?

P.L.: W trakcie szkoleń mówię, że w organizacji każdy odpowiada za RODO. Oczywiście pracownik odpowiada tylko za swoje czyny lub zaniechania, np. przetwarzanie danych bez upoważnienia lub naruszenie zasad przetwarzania. Natomiast zatrudniający go podmiot ponosi odpowiedzialność za czyny lub zaniechania swego pracownika.

M.F.: O czym należy pamiętać w zakresie przepisów RODO przy otwieraniu sklepu internetowego?

P.L.: Mógłbym napisać długą checklistę. W dwóch zdaniach proszę pamiętać o zapewnieniu cyberbezpieczeństwa i przestrzeganiu przepisów. Nie tylko przepisów dotyczących danych osobowych, ale również np. przepisów o prawach konsumentów. Trzeba też umieć wykazać dokumentami, że przestrzega się zasad określonych w RODO.

M.F.: Kiedy może dojść do naruszenia RODO przy sprzedaży online oraz stacjonarnej?

P.L.: Myślę, że można by napisać książkę na ten temat. Zwykle (w dużym uproszczeniu) to jest:

1) błąd formalno-prawny – np. brak wypełnienia obowiązku informacyjnego lub nadmiarowe przetwarzanie,

2) błąd w zabezpieczeniach – gdy np. haker ukradnie dane klientów

3) błąd ludzi i niewykonanie jakiegoś obowiązku lub złamanie jakiegoś prawa.

M.F.:  Co grozi za nieprzestrzeganie RODO?

P.L.: Za naruszenie przepisów o ochronie danych osobowych, w tym RODO grozi:

1. odpowiedzialność karna,
2. odpowiedzialność cywilnoprawna,
3. odpowiedzialność administracyjna.

Zgodnie z art. 107 i art. 108 nowej ustawy o ochronie danych osobowych:

1. Osoba, która przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniona, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Jeżeli ww. czyn dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, taka osoba podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.
3. Za udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych, będzie grozić kara: grzywny, kara ograniczenia wolności albo kara pozbawienia wolności do lat dwóch.

Opisane przeze mnie przestępstwa są ścigane z urzędu.

Zgodnie z art. 79 i art. 82 RODO w związku z rozdziałem 10 nowej ustawy o ochronie danych osobowych:

1. Osoba, której prawa zostały naruszone, będzie mogła żądać zaniechania naruszenia swych  praw lub dopełnienia czynności niezbędnych do usunięcia jego skutków itd.
2. Osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, będzie miała prawo uzyskać, od administratora lub podmiotu przetwarzającego, odszkodowanie lub zadośćuczynienie za poniesioną szkodę.

Kwestia kar pieniężnych została uregulowana w art. 83 RODO i rozdziale 11 nowej ustawy o ochronie danych osobowych.

Za naruszenie:

1. obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 –39 oraz 42 i 43 RODO;
2. obowiązków podmiotu certyfikującego, o których mowa w art. 42 oraz 43 RODO;
3. obowiązków podmiotu monitorującego, o których mowa w art. 41 ust. 4 RODO;

może zostać nałożona kara pieniężna w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Za naruszenie:

1. podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9;
2. praw osób, których dane dotyczą, o których mowa w art. 12–22;
3. przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44–49;
4. wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX;
5. nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1.

może zostać nałożona kara pieniężna w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

M.F.: W jaki sposób branża tapicerska może się uchronić przed negatywnymi konsekwencjami braku ochrony danych osobowych?

P.L.: Wdrożyć i utrzymywać skuteczny system ochrony danych osobowych. Warto w tym zakresie skorzystać z pomocy ekspertów.

M.F.: Dziękuję za rozmowę. Życzę Panu wielu sukcesów w życiu prywatnym i zawodowym.

P.L.: Dziękuję za rozmowę.

Jeżeli ktoś z Państwa szukałby wiedzy o RODO, zapraszam na stronę www.ludwiczak-radcaprawny.pl Proszę kliknąć zakładkę: „FAQ o RODO”

 

#bezpłatna współpraca