Od czasu wprowadzenia RODO w 2018 roku, wokół tego zagadnienia powstało wiele mitów i nieporozumień. Warto je rozwiać, aby lepiej zrozumieć filozofię, która kryje się za rozporządzeniem. Zrozumienie tego powinno ułatwić wdrożenie i stosowanie przepisów dot. ochrony danych osobowych.
Poniżej przedstawiamy siedem najpopularniejszych mitów.
Mit numer 1: RODO dotyczy tylko dużych firm
W rzeczywistości RODO dotyczy każdej organizacji, która przetwarza dane osobowe obywateli Unii Europejskiej, niezależnie od jej wielkości. Oznacza to, że zarówno małe firmy, jednoosobowe działalności gospodarcze, jak i wielkie korporacje muszą przestrzegać tych samych zasad dotyczących ochrony danych osobowych. Każda firma musi mieć odpowiednie procedury i zabezpieczenia, aby chronić dane swoich klientów, pracowników, współpracowników, kontrahentów itd.
Mit numer 2: RODO jest tylko kolejną biurokratyczną formalnością
Choć RODO wiąże się z koniecznością spełnienia wielu formalnych wymogów, jego głównym celem jest realna ochrona prywatności osób fizycznych. RODO zapewnia każdej osobie szereg szereg praw (m.in. prawo do uzyskania kopii danych, prawo do zapomnienia). Wymagania, które przedsiębiorcom stawia RODO mają na celu właśnie zwiększenie bezpieczeństwa danych osobowych, które w czasach sztucznej inteligencji są zagrożone bardziej niż kiedykolwiek. Na RODO warto spojrzeć właśnie z tej perspektywy – RODO to tylko przykry obowiązek – to większe bezpieczeństwo każdej osoby fizycznej (także i Twoje).
Mit numer 3: jeśli firma jest spoza Unii Europejskiej, to nie musi przestrzegać RODO
RODO ma zasięg globalny. Oznacza to, że jeśli firma spoza Unii Europejskiej przetwarza dane osobowe obywateli Unii Europejskiej (klientów, pracowników, kontrahentów itp.), musi przestrzegać RODO. W praktyce oznacza to, że nawet firmy z siedzibą w USA, Chinach czy Australii muszą dbać o zgodność z RODO, jeśli przetwarzają dane obywateli Unii Europejskiej.
Mit numer 4: RODO zmusza firmy do usuwania wszystkich danych osobowych na żądanie osób fizycznych
Chociaż prawo do bycia zapomnianym jest jednym z kluczowych praw ustanowionych przez RODO, nie oznacza to, że firmy muszą usunąć wszystkie dane osobowe na każde żądanie. Istnieją pewne wyjątki, np. gdy przechowywanie danych jest niezbędne do spełnienia obowiązków prawnych, prowadzenia działalności gospodarczej czy dochodzenia roszczeń prawnych. Firmy muszą jednak jasno informować użytkowników o powodach, dla których dane nie mogą zostać usunięte.
Mit numer 5: RODO to działka Compliance/ Działu prawnego/ IT
Mit numer 6: do przetwarzania danych osobowych wymagana jest zawsze zgoda osoby, której dane dotyczą
Chociaż zgoda jest jedną z podstaw prawnych przetwarzania danych osobowych, nie jest jedyną. RODO przewiduje kilka innych podstaw, takich jak np.: niezbędność przetwarzania danych do zawarcia lub wykonania umowy z osobą, której dane dotyczą, konieczność wypełnienia obowiązku prawnego, ochrona żywotnych interesów, wykonanie zadania realizowanego w interesie publicznym lub uzasadniony interes administratora danych. Ważne jest, aby móc wykazać na jakiej podstawie firma przetwarza poszczególne dane (jest to także niezbędne z perspektywy realizacji obowiązków informacyjnych, a także zapewnienia rozliczalności).
Mit numer 7: kary za naruszenie RODO są nieuniknione
Kary za naruszenie RODO mogą być wysokie, ale można ich uniknąć. Przede wszystkim, organ nadzorczy (w Polsce tym organem jest PUODO) ma możliwość stosowania różnych środków, takich jak np. ostrzeżenia, upomnienia czy nakazanie określonego działania. Kary finansowe są stosowane zwykle w przypadku poważnych naruszeń lub braku współpracy z PUODO. Kluczowe jest proaktywne działanie i współpraca z organem nadzorczym, a nie zamiatanie naruszeń pod dywan (PUODO może przecież dowiedzieć się o naruszeniu także od podmiotu danych).
Podsumowanie
RODO przyniosło wiele istotnych zmian w zakresie ochrony danych osobowych, które mają realny wpływ z jednej strony na biznes, a z drugiej na osoby fizyczne. Choć wokół RODO narosło wiele mitów, ich rozwianie pozwala lepiej zrozumieć filozofię rozporządzenia i ułatwić jego wdrożenie i stosowanie.
Obowiązki dotyczą nie tylko dużych firm, ale każdej organizacji przetwarzającej dane obywateli UE, niezależnie od jej wielkości czy lokalizacji.
Celem RODO jest nie tylko spełnianie „biurokratycznych” wymogów, ale przede wszystkim zwiększenie bezpieczeństwa ochrony danych osobowych, które w dobie sztucznej inteligencji, są zagrożone bardziej niż kiedykolwiek. Sprawa dotyczy każdego z nas.