RODO

Polub nas i bądź na bieżąco z naszym doradztwem

RODO

Rozwój nowych technologii i bardzo szybki postęp w zakresie cyfryzacji przynoszą wiele korzyści ale też niebezpieczeństw, głównie związanych z pobieraniem, przetwarzaniem, przesyłaniem, czy publikowaniem danych osobowych. Każdy przedsiębiorca musi, z mocy obowiązującego prawa, zadbać o to aby dane osobowe pracowników, kontrahentów, dostawców, odbiorców, współpracowników etc. były należycie chronione. W celu poprawy sytemu bezpieczeństwa jak również ujednolicenia prawa Unia Europejska opracowała tzw. RODO.

Czym jest RODO ?

RODO jest to Rozporządzenie o Ochronie Danych Osobowych z dnia 27 kwietnia 2016 roku. Dokument dotyczy ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Rozporządzenie zostało opracowane aby unowocześnić regulacje o ochronie danych osobowych, które obowiązują od 1995 r. i w dobie postępującej cyfryzacji mają coraz mniejsze zastosowanie w praktyce. Jednocześnie nowe przepisy zostały stworzone w taki sposób, aby były aktualne niezależnie od rozwoju technologii.

Od kiedy i dla kogo RODO

RODO zacznie obowiązywać od 25 maja 2018 r. i znajduje zastosowanie dla każdego, kto przetwarza dane osobowe obywateli Unii Europejskiej poza:

  • osobami fizycznymi, które w działalności czysto osobistej lub domowej, bez związku z działalnością zawodową lub handlową przetwarzają dane osobowe (na przykład przechowywanie danych adresowych, czy korespondencji prowadzonej z grupą znajomych),
  • przetwarzaniem danych osobowych w ramach działalności nieobjętej zakresem prawa Unii (np. kwestie związane z bezpieczeństwem narodowym),
  • działalnością związaną z przetwarzaniem danych przez instytucje unijne czy dyplomatyczne,
  • działalnością właściwych organów w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Każdy inny podmiot, który przetwarza dane osobowe zobowiązany jest więc zastosować RODO bez względu na wielkość firmy, charakter przedsięwzięcia, osiągane dochody, wielkość zatrudnienia, stosowane systemy bezpieczeństwa itp.

Przykład:

Pan Marcin prowadzi jednoosobową działalność gospodarczą, nie zatrudnia pracowników a swoje usługi świadczy wyłącznie na rzecz innych przedsiębiorców, w tym prowadzących jednoosobową działalność. W związku z powyższym przedsiębiorca zapisuje dane osobowe  kontrahentów, celem obsługi zamówień klientów oraz wystawiania faktur VAT za świadczone usługi. Czy w  takiej sytuacji przedsiębiorcę obowiązuje RODO?

Odp: Pan Marcin jest administratorem danych osobowych w rozumieniu RODO i musi stosować przepisy rozporządzenia. 

Najważniejsze zmiany, które wprowadza RODO
  1. NOWE I ROZSZERZONE PRAWA – nowe przepisy wprowadzają m.in.: „prawo do bycia zapomnianym” (skierowane do obywateli, którzy życzą sobie, by ich dane osobowe zostały usunięte), uprawnienie do żądania przeniesienia danych oraz wzmocnione prawo dostępu i wglądu obywatela w jego dane. Osoby, których dane dotyczą, będą także miały rozszerzone prawo sprzeciwu wobec przetwarzania ich danych, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem ich danych.
  2. ,,DOTKLIWE” KARY FINANSOWE – za brak wdrożenia i przestrzegania nowych przepisów dot. ochrony danych osobowych firmy mogą zostać ukarane karą pieniężną od 10 do 20 mln euro lub od 2% do 4%  wartości rocznego światowego obrotu przedsiębiorstwa.
    W administracji publicznej wysokość kary przewidywana jest na poziomie 100.000 zł.
    Kary będą nakładane proporcjonalnie w zależności od skali naruszenia przepisów.
  3. BEZPOŚREDNIA ODPOWIEDZIALNOŚĆ PRZETWARZAJĄCEGO DANE – za nieprzestrzeganie postanowień RODO, przetwarzający dane będzie ponosił bezpośrednią odpowiedzialność. Powołanie Inspektora Ochrony Danych Osobowych, czy wynajęcie firmy zewnętrznej w tym obszarze, nie zwalnia z tej odpowiedzialności.
  4. FUNKCJA IOD – to nowa osoba w organizacji, odpowiedzialna za bezpieczeństwo danych jak również raportowanie naruszeń do urzędu kontroli. Dotychczasowy administrator danych osobowych (ABI) przestaje istnieć. Powołanie IOD jest obligatoryjne dla podmiotów, które prowadząc swoją działalność, przetwarzają takie rodzaje danych, których brak należytego zabezpieczenia może spowodować naruszenie praw i wolności osób fizycznych np. dzieci.
  5. OKREŚLONY CZAS ZGŁASZANIA NARUSZEŃ – obowiązkiem administratorów danych będzie zgłaszanie w ciągu 72 godzin od wykrycia do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Może także wystąpić konieczność zawiadomienia konkretnej osoby, bez zbędnej zwłoki, o przypadku wystąpienia dużego ryzyka naruszenia jej praw lub swobód.
  6. OGRANICZENIA W PROFILOWANIU – wprowadzone zostały ograniczenia w zakresie profilowania włączając w to obowiązek otrzymania zgody na profilowanie przed rozpoczęciem zbierania danych, surowy obowiązek informowania o profilowaniu oraz konieczność akceptacji braku zgody na profilowanie.
  7. OBOWIĄZEK PROWADZENIA REJESTRU NARUSZEŃ – IOD musi dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
  8. OBOWIĄZEK INWENTARYZACJI DANYCH OSOBOWYCH – administratorzy danych będą musieli prowadzić wewnętrzny rejestr czynności przetwarzania danych, zawierający m.in. informacje takie jak: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, rejestry naruszeń, osoby odpowiedzialne za poszczególne procesy przetwarzania itd.
  9. OBOWIĄZEK ANALIZY RYZYKA – Przeprowadzenie analizy ryzyka będzie obowiązkowe przed podjęciem działań „wysokiego ryzyka”, takich jak np.: przetwarzanie danych dotyczących zdrowia (fizycznego, psychicznego, korzystania z usług medycznych), danych dzieci, danych wrażliwych.
  10. NOWE PROCEDURY I KLAUZULE – RODO nie wskazuje wprost jakie dokumenty, procedury i polityki należy wdrożyć. Ogólnie wspomina, że to podmiot musi się wykazać starannością w zabezpieczeniu tych procesów, aby podczas przetwarzania danych osobowych nie doszło do nieprawidłowości.
RODO a GIODO

Wraz z początkiem obowiązywania RODO, Generalny Inspektor Ochrony Danych Osobowych (GIODO) zostanie zastąpiony nowym organem o nazwie: Prezes Urzędu Ochrony Danych Osobowych (PUODO), który będzie swoje zadania realizował przy pomocy Urzędu Ochrony Danych Osobowych (UODO). PUODO będzie tym samym organem nadzorczym w rozumieniu RODO i „dyrektywy policyjnej”.

Nowy organ nadzorczy, z prawnego punktu widzenia, jest nowym organem państwowym, będącym następcą prawnym Generalnego Inspektora. Nazwa nowego organu również nie jest przypadkowa. Z uwagi na wprowadzenie w Rozporządzeniu funkcji inspektora ochrony danych osobowych, pozostawienie nazewnictwa organu w postaci Generalnego Inspektora Ochrony Danych Osobowych mogłoby wprowadzać w błąd w zakresie powiązania IOD  (powołanych przez administratorów danych) z organem nadzorczym.



Podstawa prawna:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016.680 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych uchylającego decyzję ramową Rady 2008/977/WSiSW.

RODO
5 (100%) 2 votes

Polub nas i bądź na bieżąco z naszym doradztwem

Leave a Comment