Rozporządzenie o ochronie danych osobowych (RODO) weszło w życie 25 maja 2018 roku i ma na celu ujednolicić przepisy dotyczące ochrony danych w całej Europie poprzez wprowadzenie nowego standardu. Należy pamiętać, że ten instrument prawny ma efekt eksterytorialny i jako taki dotyczy również firm zagranicznych, które działają w UE lub przetwarzają dane obywateli UE. Bez zwątpienia przedsiębiorstwa działające w sektorze gospodarki morskiej będą objęte RODO, ponieważ przetwarzają duże ilości danych osobowych, takich jak dane dotyczące pracowników, kontaktów biznesowych, pasażerów, załogi statków, wykonawców i wielu innych podmiotów. Warto zauważyć, że RODO nie tylko wiąże się z rygorystycznymi przepisami i potencjalnymi karami, ale także z wieloma wyzwaniami formalnoprawnymi dla przedsiębiorstw z branży morskiej z uwagi na transgraniczność świadczonych usług.
Nowe uprawnienia
Przede wszystkim RODO zapewnia szereg nowych praw obywatelom europejskim. Jednym z podstawowych założeń towarzyszących regulacjom zawartym w RODO jest to, że dane osobowe nie mogą być przetwarzane swobodnie, a jedynie w przypadku, gdy zaistnieje ku temu odpowiednia podstawa prawna. Jak stanowi art. 4 pkt. 11 RODO, „zgodę” należy rozumieć jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Zgoda od klientów może być odebrana w jeden z kilku sposobów, do których zalicza się:
- zgodę pisemną
- zgodę elektroniczną (z wykorzystaniem systemu informatycznego, np. poprzez formularz rejestracyjny dostępny poprzez stronę www. sklepu internetowego);
- zgodę ustną
Co ważne, przedsiębiorstwa muszą zapewnić, aby wycofanie zgody na przetwarzanie danych byłoby równie łatwe jak pobranie owej zgody. Jednocześnie należy mieć na uwadze również konieczność zapewnienia dodatkowych uprawnień jednostki wynikających z RODO, m.in.
- prawo dostępu do danych (art. 15 RODO);
- prawo do sprostowania danych (art. 16 RODO);
- prawo do usunięcia danych – „prawo do bycia zapomnianym” (art. 17 RODO);
- prawo do ograniczenia przetwarzania (art. 18 RODO);
- prawo do przenoszenia danych (art. 20 RODO);
- prawo do sprzeciwu (art. 21 RODO);
Ponadto RODO określa siedem kluczowych zasad, które powinny leżeć u podstaw przetwarzania danych:
- zgodność z prawem, rzetelność i przejrzystość – dane muszą zostać przetworzone zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której owe dane dotyczą;
- ograniczenie celu – dane muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
- minimalizacja danych - przetwarzanie danych osobowych powinno być adekwatne, stosowne oraz ograniczone do tego, co niezbędne jest do celów, w których są przetwarzane;
- prawidłowość - należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
- ograniczenie przechowywania - przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
- integralność i poufność – przetwarzanie powinno się odbywać w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.;
Samo pojęcie danych osobowych znajduje w treści RODO swoją własną definicję i oznacza wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Elementami, które pozwalają na identyfikację takiej osoby są w szczególności (choć nie wyłącznie) imię, nazwisko, numer identyfikacyjny (np. numer PESEL), dane o lokalizacji, identyfikator internetowy bądź elektroniczny (np. adres e-mail, numer telefonu).
Natomiast, przetwarzanie danych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechniania lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Skutki dla przedsiębiorców
W praktyce każdy współczesny przedsiębiorca, choćby działający na rynku w skali mikro, dokonuje każdego dnia dziesiątek czynności przetwarzania danych w rozumieniu RODO. Czynnościami takimi będzie chociażby prowadzenie korespondencji z klientami czy gromadzenie jedynie podstawowych i niezbędnych danych, takich jak numery do kontaktu telefonicznego czy adresy e-mail. W konsekwencji tego, każdy przedsiębiorca – bez względu na liczbę klientów bądź kontrahentów – powinien przetwarzać dane w sposób, który będzie w pełni zgodny z przepisami RODO. Wyłączenia spod stosowania RODO mają jedynie ograniczony charakter i dotyczą, m.in. obszaru obronności i bezpieczeństwa kraju czy czynności podejmowanych przez osoby fizyczne o wyłącznie osobistym charakterze (np. gromadzenie danych osobowych na potrzeby utrzymywania kontaktów prywatnych i rodzinnych).
W chwili obecnej każda firma działająca w branży morskiej musi przestrzegać przepisów RODO, jeżeli chodzi o prawa obywateli UE. Będzie to miało duży wpływ na te przedsiębiorstwa zarówno pod względem zaangażowania czasowego, jak i pod względem finansowym.
1. Formalizm i koszty
Przedsiębiorstwa, które chcą jak najlepiej dostosować się do nowego prawa, będą zmuszone wdrożyć wiele nowych procedur. Wszystkie działania dotyczące przetworzenia danych osobowych powinny zostać wdrożone w drodze odpowiednich procedur wewnętrznych i należycie udokumentowane. Zaleca się w tym celu przygotowania odpowiedniej dokumentacji wskazującej na podjęte środki służące należytemu wdrożeniu i stosowaniu RODO (dokumentacja taka może obejmować, m.in. odpowiednie certyfikaty bezpieczeństwa i poświadczające kompetencje osób mających dostęp do danych osobowych, wytycznych kierowanych do kadry pracowniczej, raportów i analiz ryzyka, poświadczenia stosowanych środków zabezpieczających systemy teleinformatyczne, itd.).
Zgodnie z art. 30 ust. 1 RODO, każdy administrator zobowiązany jest do prowadzenia rejestru czynności przetwarzania danych osobowych, za który odpowiada. Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych nie obejmuje jedynie podmiotów zatrudniających mniej niż 250 pracowników. Obowiązek taki obejmuje także i te podmioty, jeżeli przetwarzanie danych, m.in.:
- może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
- nie ma charakteru sporadycznego;
- obejmuje szczególne kategorie danych osobowych (np. dane dotyczące rasy, światopoglądu, wyznawanej religii, przynależności do związków zawodowych, etc.).
Z uwagi na konieczność udokumentowania czynności przetwarzania, aby zapewnić zgodność z postanowieniami RODO i biorąc pod uwagę obowiązek współpracy z organem nadzoru, rekomenduje się prowadzenie rejestru czynności przetwarzania danych osobowych.
Z dniem 25 maja 2018 roku instytucja administratora bezpieczeństwa informacji (ABI), przewidziana w Ustawie o ochronie danych osobowych (UODO) została zastąpiona przez inspektora ochrony danych (IOD). Jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, RODO przewiduje obligatoryjne powołanie IOD. Administrator/podmiot przetwarzający musi zgodnie z RODO przeprowadzić analizę czy ma on obowiązek powołania inspektora ochrony danych. Nawet jednak, jeżeli obowiązek taki wprost nie wynika z RODO, wedle stanowiska Grupy Roboczej (organu opiniującego i współtworzącego treść RODO), wyznaczenie inspektora jest mocno rekomendowane. Powołanie takiej osoby daje bowiem dodatkowe gwarancje bezpieczeństwa – poświadcza zachowanie należytej staranności co do zabezpieczenia danych osobowych. Jak stanowi art. 37 ust. 5 RODO, inspektor ochrony danych (IOD) powinien zostać wyznaczony na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania zadań oznaczonych przez rozporządzenie.
Innymi słowy, RODO wymaga od przedsiębiorstw stworzenia nowego stanowiska i zatrudnienia eksperta w tej dziedzinie.
Jak można sobie wyobrazić, te niezbędne zmiany będą czasochłonne i pociągną za sobą nieuniknione koszty. Według szacunków, 500 największych światowych korporacji poniesie koszty rzędu 7,8 miliarda dolarów na dostosowanie swoich procedur do RODO.
2. Kary
Brak zgodności z RODO pociąga za sobą potencjalnie bardzo wysokie koszty, ponieważ organy regulacyjne będą miały prawo do nałożenia kary na przedsiębiorstwo, które narusza wymogi RODO do 4% całkowitego światowego obrotu tego podmiotu, co w przypadku przedsiębiorstw z branży morskiej, które działają na całym świecie, może skutkować niebotycznymi karami.
Administrator – w razie naruszenia praw jednostek – narażony jest na odpowiedzialność cywilnoprawną oraz administracyjnoprawną. W zakresie pierwszego z rodzajów odpowiedzialności znaczenie mają przede wszystkim art. 79-82 RODO, zgodnie z którymi osoby, których prawa zostały naruszone mają prawo, m.in. wystąpić do sądu z żądaniem nakazania administratorowi zaniechania naruszeń bądź nakazania określonego zachowania albo wystąpić do sądu o zasądzenie odszkodowania w razie wyrządzenia przez administratora szkody majątkowej bądź zadośćuczynienia za wyrządzoną krzywdę w razie wyrządzenia przez administratora szkody niemajątkowej.
Ponadto, podmiot przetwarzający dane osobowe narażony jest również na sankcje administracyjnoprawne, przybierające formę kar pieniężnych, takich jak:
- kara pieniężna do 10 mln euro, a w przypadku przedsiębiorstwa lub grupy przedsiębiorstw o łącznym światowym obrocie przekraczającym 500 mln euro – do 2% całkowitego światowego obrotu z poprzedniego roku;
- kara pieniężna do 20 mln euro, a w przypadku przedsiębiorstwa lub grupy przedsiębiorstw o łącznym światowym obrocie przekraczającym 500 mln euro – do 4% całkowitego światowego obrotu z poprzedniego roku.
3. Państwa Członkowskie nie są jeszcze przygotowane
Już w 1995 r. UE wprowadziła przepisy dotyczące ochrony danych osobowych. W związku z tym RODO jest instrumentem prawnym, który znajduje swoje początki w poprzednim stuleciu. Mimo to, tylko kilka Państw Członkowskich jest faktycznie przygotowanych na RODO w nowym kształcie. Jedynie Francja, Niemcy, Austria, Słowacja i Szwecja wdrożyły odpowiednie ustawodawstwo krajowe w celu dostosowania dotychczasowych systemów prawnych do nowego prawa Unijnego.
Podstawowym aktem prawnym regulującym problematykę ochrony danych osobowych na gruncie polskiego porządku prawnego wciąż pozostaje Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 nr 133 poz. 883). Stan ten w znacznym stopniu uległ jednak zmianie wraz z wejściem w życie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
Powyższe nie oznacza jednak, iż polski ustawodawca całkowicie zrezygnował z wprowadzania wewnętrznych regulacji krajowych. W dniu 5 kwietnia 2018 r. do Sejmu wpłynął bowiem projekt nowej ustawy o ochronie danych osobowych, przewidujący powołanie, tzw. Prezesa Urzędu Ochrony Danych Osobowych (zastąpi dotychczas istniejącego Głównego Inspektora Ochrony Danych Osobowych) oraz określający, m.in. tryb i zakres postępowania przed w/w organem. Należy spodziewać się również szeregu innych krajowych rozwiązań, które uszczegóławiać będą kwestie poruszane w RODO. Wedle ostatnich dostępnych informacji, z dniem 11 kwietnia 2018 r. projekt ustawy skierowany został do pierwszego czytania w Sejmie. Mimo to należy pamiętać, iż nowa ustawa o ochronie danych osobowych nie została uchwalona przed 25 maja 2018 r.
Wnioski
Reasumując należy podkreślić, że nie jest wskazanym wstrzymywanie się przez przedsiębiorcę z branży morskiej z dostosowywaniem swojej organizacji i polityki do RODO aż do czasu uchwalenia nowej ustawy o ochronie danych osobowych. RODO zostało wprowadzone w formie rozporządzenia UE– hierarchicznie najważniejszego spośród aktów Unii Europejskiej – co oznacza, że przepisy RODO wiążą bezpośrednio, są bezpośrednio stosowane i wywołują bezpośredni skutek. Innymi słowy, począwszy od dnia 25 maja 2018 r., RODO obowiązuje w kształcie przewidzianym ww. rozporządzeniem, a podmioty z branży morskiej dokonujące czynności związanych, m.in. z gromadzeniem i przetwarzaniem danych osobowych, będą bezwzględnie zmuszone dostosować się do tych przepisów. W innym przypadku może dojść do naliczenia bardzo wysokich kar przez organy kontrolne.
Na tym etapie trudno określić jaki będzie finalny kształt polskich przepisów dotyczących RODO i jaka będzie ich praktyka stosowania, ale z pewnością jako bezwzględne minimum należy potraktować wymogi zawarte w ww. rozporządzeniu UE.
Radca prawny - Mateusz Romowicz
Współautorką jest asystenka Gabriele Vilemo Gotkovic.
http://www.kancelaria-gdynia.eu
www.facebook.com/Legal.Marine.Mateusz.Romowicz
Autorzy pracują w Kancelarii Radcy Prawnego Legal Consulting - Mateusz Romowicz.