RODO 2018 - co to jest i kogo dotyczy - najważniejsze informacje

18 maja 2018
Co to jest RODO. Jakie zmiany wprowadzi. Kogo dotyczyć. Jakie sankcje grożą za niedostosowanie się. Najważniejsze informacje w pigułce.
Co to jest RODO i kogo dotyczy
 
25 maja 2018 roku weszło w życie RODO czyli Rozporządzenie o Ochronie Danych Osobowych.

Zostało ono przyjęte w kwietniu 2016 przez Parlament Europejski i Radę Unii Europejskiej po czterech latach dyskusji.


Co to oznacza dla Ciebie jako przedsiębiorcy?

 

Czy RODO dotyczy również Twojej firmy?

Nowe przepisy będą dotyczyć wszystkich firm na terenie Unii Europejskiej, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Co więcej, RODO dotyczy również firm z poza obszaru UE, a które oferują swoje produkty i usługi klientom z Unii Europejskiej.

RODO zwiększa prawa osób fizycznych w zakresie przetwarzania ich danych oraz wymusza zmianę podejścia przedsiębiorstw do organizacji i zapewnienia ochrony danych osobowych.

Dostosowanie się do wytycznych RODO będzie konieczne dla firm, które zatrudniają powyżej 250 pracowników. W przypadku mniejszych firm rozporządzenie obejmuje tylko te podmioty, które podczas przetwarzania danych osobowych mogą naruszyć prawa lub wolność osób oraz te, które przetwarzają dane wrażliwe.

RODO nie obejmuje:

  • osób fizycznych, które przetwarzają dane osobowe niezwiązane z dzialalnością zawodową, na przykład przechowują korespondencję prowadzoną z grupą znajomych

  • organów związanych z bezpieczeństwem narodowym

  • instytucji unijnych i dyplomatycznych

  • organów zapobiegających przestępczości.
     

Inspektor Ochrony Danych Osobowych (IODO)

Dodatkowym fachowym wsparciem dla administratorów danych i podmiotów przetwarzających mają być inspektorzy ochrony danych. Ich zadaniem, tak jak administratorów bezpieczeństwa informacji (ABI) będzie zapewnienie właściwej ochrony danych osobowych.

Nowe przepisy istotnie wzmacniają rolę i pozycję inspektorów ochrony danych. Wyznaczenie inspektora ochrony danych, stanie się w wielu przypadkach obowiązkiem, a nie jak dotąd, uprawnieniami administratora danych.
Dodatkowo funkcję ABI może pełnić tylko osoba fizyczna powołana przez administratora danych. Natomiast funkcję IODO może pełnić także jednostka organizacyjna powołana zarówno przez administratora, jak i procesora.

Inspektor będzie zobowiązany do:

  • informowania administratorów oraz pracowników o obowiązkach jakie spoczywają na nich na mocy przepisów oraz Rozporządzenia

  • monitorowania przestrzegania założeń Rozporządzenia i innych przepisów UE

  • szkolenia personelu uczestniczącego w operacjach przetwarzania

  • udzielania wskazówek administratorowi podczas wdrażania odpowiednich technik mających na celu skuteczne zabezpieczenie danych osobowych

  • przeprowadzania systematycznych audytów w firmie

  • bycie osobą kontaktową dla osób, których dane przetwarza administrator jak i dla organu nadzorczego czyli GIODO i będzie zobowiązany z nim współpracować.

 

Każdy przedsiębiorca powinien zastanowić się i rozstrzygnąć, czy ma obowiązek powołać w swojej firmie funkcję Inspektora Danych Osobowych (IDO).

Obowiązek ten jest konieczny w trzech kategoriach podmiotów: 

  • w podmiotach publicznych (z wyjątkiem sądów), w tym prywatnych realizujących zadania publiczne;

  • w podmiotach przetwarzających dane w sposób, który wymaga monitorowania osób, których dane dotyczą;

  • w podmiotach przetwarzających dane wrażliwe.
     

 
 

Obowiązki administratora

Obowiązkiem administratora danych osobowych będzie dostosowanie systemów informatycznych, aby dane można było całkowicie usunąć lub  przenieść do innego przedsiębiorstwa. Administrator danych będzie także zobowiązany udzielać informacji dotyczących danych osobowych osobie, której to dotyczy. Gdy osoba złoży zapytanie koordynator ma obowiązek udzielenia odpowiedzi na to pytanie w terminie miesiąca.

Naruszenia muszą być zgłaszane

RODO wprowadza obowiązek zgłaszania naruszeń. W ciągu 72 godzin od wykrycia naruszenia trzeba zgłosić się do właściwego organu nadzoru (Urząd Ochrony Danych Osobowych). Do organu nadzoru należy zgłaszać takie naruszenia, które z dużym prawdopodobieństwem powodują naruszenie praw i wolności osób, których dane dotyczą. Można również zgłaszać tą informacji do konkretnej osoby, której prawa i wolności zostały zagrożone naruszeniem.

Za zaniedbania administrator odpowie bezpośrednio

Nieprzestrzeganie zaleceń RODO wiąże się z poważnymi sankcjami. Z bezpośredniej odpowiedzialności nie zwalnia nawet zlecenie przetwarzania danych podwykonawcy - w takim przypadku zleceniodawca i podwykonawca odpowiedzą solidarnie.

Oprócz tego umowa z podwykonawcami będzie musiała spełniać nowe, bardziej restrykcyjne warunki określone w rozporządzeniu. Ponadto w firmach zatrudniających powyżej 250 pracowników każda czynność związana z przetwarzaniem danych osobowych (udostępnienie, usunięcie itp.) będzie musiała zostać zarejestrowana.

Warto zatem odpowiednio przygotować się do wprowadzenia RODO w swojej firmie.

 

Kary odstraszają

Przewidziane sankcje w przypadku złamania postanowień RODO są, delikatnie mówiąc, niemałe.

Są to kolejno:

  • 10 mln euro bądź 2% rocznego globalnego obrotu przedsiębiorstwa

  • 20 mln euro bądź 4% rocznego globalnego obrotu przedsiębiorstwa

  • kara administracyjna w wysokości 100 tysięcy złotych za naruszenia z winy administracji publicznej.

Kary będą proporcjonalne do wagi naruszenia.

Czym jest DPIA?

DPIA (Data Privacy Impact Assessment) - jest to ocena wagi skutków planowanych operacji z udziałem danych osobowych. Jej celem jest określenie poziomu ryzyka oraz zagrożeń związanych z wyciekiem danych.

Pozwala to zminimalizować to ryzyko i ewentualne konsekwencje. Ocena procesów przetwarzania danych jest zadaniem administratora danych osobowych. Jest on również odpowiedzialny za trafność tej oceny i działania minimalizujące ryzyko.

Przetwarzanie danych osobowych - tylko po weryfikacji!

Zanim Twoja firma będzie mogła zacząć przetwarzanie danych osobowych, będziesz musiał wykazać, iż posiadasz ku temu podstawy prawne. Wymagana będzie też bezpośrednia zgoda osoby, której dane będą przetwarzane.

Dotyczy to także umów o pracę. Formularze umów mają być zmodyfikowane tak, by były jasne i przejrzyste, a ich treść zgodna ze szczegółowymi wytycznymi RODO.