Nowe prawo dotyczyć też będzie obowiązków tych, którzy prowadzą sklepy detaliczne. Obejmuje ona bowiem wszystkich przedsiębiorców, którzy w swojej działalności gromadzą i przetwarzają jakiekolwiek dane osobowe osób fizycznych, klientów, pracowników czy kandydatów na pracowników. RODO obowiązuje bezpośrednio w każdym kraju UE, bez potrzeby jego implementacji do prawa krajowego.
Wymagania zawarte w RODO mieć będą wpływ na bardzo wiele obszarów działalności każdej firmy, poniżej przedstawiamy najistotniejsze.
Obowiązki informacyjneRODO wymaga od przedsiębiorców, aby wszystkie osoby, których dane przetwarzane są przez nich – co dotyczy także pracowników – były w znacznie szerszym zakresie niż dotychczas informowane, co się z tymi danymi dzieje. Obowiązki obejmują nie tylko moment pozyskiwania danych, ale także i późniejszego do nich dostępu dla tych osób.
I tak, osoby fizyczne, których dane znajdują się w posiadaniu przedsiębiorcy mieć będą szerokie prawo do żądania od przedsiębiorcy dokładnych informacji o tym, w jaki sposób ich dane osobowe są przechowywane i wykorzystywane. Osoby, których dane dotyczą, będą miały między innymi:
- rozbudowane prawo do żądania sprostowania i usuwania danych („prawo do bycia zapomnianym”),
- prawo do przeniesienia kopii danych z bazy przedsiębiorcy,
- prawo do sprzeciwu przetwarzania danych.
Ważne jest, aby wszelkie informacje udzielane przez przedsiębiorców osobom, których dane on wykorzystuje, będą musiały być przejrzyste, rzetelne i czytelne, co jest wymaganiem tylko pozornie błahym, bo to na przedsiębiorcy będzie ciążył obowiązek wykazania, że informacje udzielone uprawnionym takie właśnie były.
Umowy powierzania danych osobowychRODO wymaga, żeby przedsiębiorcy, którzy korzystając z usług innych podmiotów (np. informatyków) przekazują im, choćby na chwilę, dostęp do własnej bazy danych osobowych zawierali z takimi podmiotami umowy o powierzenie przetwarzania danych. Przedsiębiorcy ponosić będą odpowiedzialność za działania podmiotu przetwarzającego – na zasadzie winy w wyborze. Powinni zostać wybierani tacy usługodawcy, którzy gwarantują przestrzeganie przepisów RODO i stosują środki bezpieczeństwa adekwatne do ryzyka związanego z pracą na danych.
Obowiązek prowadzenia rejestru czynnościRODO nie przewiduje już obowiązku zgłaszania przez administratora danych rejestru danych osobowych do GIODO, który dziś jest w znacznej mierze obowiązkiem martwym. Przedsiębiorcy będą natomiast zobowiązani do prowadzenia rejestru czynności przetwarzania danych osobowych. Powinien on odnotowywać szereg informacji dotyczących wykorzystania poszczególnych informacji o osobach, jakie są dokonywane na danych osobowych („przetwarzanie danych”).
Przepisy RODO przewidziały wyjątek od obowiązku prowadzenia rejestru czynności przetwarzania: nie będzie miał zastosowania w sytuacji, gdy administrator danych zatrudnia mniej niż 250 osób, chyba że przetwarzanie, którego dokonuje, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego, obejmuje szczególne kategorie danych osobowych lub obejmuje pewne kategorie danych osobowych.
Biorąc pod uwagę, że proces przetwarzania danych osobowych u przedsiębiorcy zatrudniającego na stałe pracowników nie odbywa się sporadycznie, należy zakładać, że większość sklepikarzy detalicznych będzie musiała prowadzić przedmiotowy rejestr.
Nowe obowiązki w zakresie bezpieczeństwa danychPrzedsiębiorcy będą musieli wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewnią odpowiadający potencjalnym zagrożeniom poziom bezpieczeństwa. RODO nie wskazuje obowiązkowych środków, a jedynie mówi, że powinny być one adekwatne do ryzyka naruszenia danych osobowych. Niestety jest wymogiem mało precyzyjnym i wymaga szczególnej ostrożności przy interpretacji jego treści. Zgodnie z zasadą rozliczalności to przedsiębiorca będzie musiał udowodnić, że zastosowane środki są adekwatne do ryzyka, więc zalecana jest tu szczególna ostrożność.
RODO wymienia środki bezpieczeństwa przykładowo, są nimi między innymi:
- pseudonimizacja,
- szyfrowanie danych osobowych,
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych oraz organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Obowiązek zgłoszenia naruszenia danych osobowychRODO nakazuje przedsiębiorcom, by o wszystkich przypadkach naruszenia danych informowali urząd regulatora (dzisiejsze GIODO), a niekiedy także zainteresowane osoby, których dane dotyczą. Wszelkie nieprawidłowości w tym zakresie trzeba będzie zgłosić organowi nadzorczemu bez zbędnej zwłoki, jeżeli to możliwe – nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia. Dotyczy to wszystkich przypadków niekontrolowanego wycieku danych, także w taki sposób, jak zgubienie nośnika danych typu płyta CD czy pendrive.
Obowiązek powołania inspektora ochrony danychRODO zmienia rolę administratora bezpieczeństwa informacji i zastępuje go inspektorem ochrony danych. Powołanie inspektora ochrony danych w sektorze prywatnym będzie obowiązkowe jednak tylko wtedy gdy wymaga regularnego i systematycznego monitorowania osób w szerokim zakresie lub gdy na dużą skalę przetwarzane są dane wrażliwe. Biorąc pod uwagę specyfikę branży, należy przypuszczać, że w stosunku do przedsiębiorców nie prowadzących dużej sieci sklepów detalicznych obowiązek ten nie będzie miał zastosowanie.
PodsumowanieJak widać z powyższego, mikro, mali i średni przedsiębiorcy będą zwolnieni z części obowiązków, które przewiduje RODO. Złagodzeniu ulega też część dotychczas istniejących obowiązków. Sporo jest jednak nowych zmian, a biorcą pod uwagę wysokie kary, jakie teraz będą grozić oraz zasadę rozliczalności, właściciele sklepów detalicznych powinni przygotować się do przewidzianych w RODO zmian z odpowiednim wyprzedzeniem i starannością, w szczególności, że proces przygotowania nie zawsze będzie procesem łatwym i szybkim. Unijny ustawodawca zdając sobie sprawę ze skali wyzwania, dał przedsiębiorcom dwa lata na wdrożenie nowych zasad, a okres ten obecnie dobiega końcowi.
Adam Tula, adwokat
Rykowski & Gniewkowski Kancelaria Adwokatów i Radców Prawnych Sp.k.