RODO - co to jest i kogo dotyczy
Co to jest RODO?
General Data Protection Regulation (GDPR), czyli Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) zostało przyjęte w kwietniu 2016 r. przez Parlament Europejski i Radę Unii Europejskiej i od 24 maja 2016 r. zastępuje polską ustawę o ochronie danych osobowych. Regulacja ta ma ujednolicić przepisy na terenie całej Unii Europejskiej, w szczególności w odniesieniu do przedsiębiorców. Przepisy rozporządzenia dotyczą ochrony danych osobowych osób fizycznych w związku z ich przetwarzaniem.
Kogo dotyczy RODO?
Rozporządzenie nie określa dokładnie, kogo dotyczą wprowadzane przepisy, ale wskazuje, do kogo się one nie odnoszą. Można jednak powiedzieć, że obowiązek zastosowania się do RODO mają wszystkie firmy, które gromadzą, a później wykorzystują dane dotyczące osób fizycznych. Najczęściej dotyczy to danych osobowych pracowników oraz klientów firmy. Przepisy rozporządzenia dotyczyć więc będą zarówno dużych korporacji, jednoosobowych firm, czy sklepów internetowych.
Podmioty, które rozporządzenie wymienia jako te, których RODO nie dotyczy to osoby fizyczne, które w działalności niemającej związku z działalnością zawodową lub handlową, przetwarzają dane osobowe, np. dane adresowe. Oprócz takich osób, przepisy rozporządzenia nie mają również zastosowania do:
- przetwarzania danych osobowych w ramach działalności, która jest poza zakresem prawa Unii Europejskiej,
- działalności związanej z przetwarzaniem danych przez instytucje unijne lub dyplomatyczne,
- działalności organów właściwych w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania przestępstw, wykonywania kar.
Co to są dane osobowe i czym jest zgoda na ich przetwarzanie?
Dane osobowe są to dane o osobie fizyczne, które pozwalają na określenie jej tożsamości. Pierwsze co przychodzi nam do głowy przy pytaniu czym są dane osobowe, to jest to, że dane osobowe to imię i nazwisko. Jednak poza samym imieniem i nazwiskiem danymi osobowymi są również:
- numer identyfikacyjny,
- dane o lokalizacji,
- identyfikator internetowy,
- i inne dane, które pozwalają na identyfikację osobę.
Oprócz danych osobowych, RODO określa również dane dotyczące zdrowia, poglądów politycznych, orientacji seksualnej. Są to dane z kategorii wrażliwych, które powinny być chronione w szczególny sposób.
Wprowadzane rozporządzenie nadaje osobom fizycznym szersze prawo w zakresie ochrony danych osobowych. Prawo to rozciąga się przede wszystkim na sferę przepływu i wykorzystywania danych osobowych szczególnie przez ułatwienie kontroli nad tym, co się z tymi danymi dzieje. W związku z tym RODO wprowadza następujące uprawnienia osoby fizycznej:
- prawo do bycia zapomnianym - oznacza prawo do całkowitego usunięcia danych,
- prawo do żądania przeniesienia danych - oznacza to, że każda osoba ma prawo żądać przekazania swoich danych osobowych innemu wskazanemu administratorowi,
- prawo dostępu i wglądu w swoje dane.
Przetwarzanie danych osobowych oznacza każdą czynność, która jest związana z ich użyciem. Chodzi tutaj przede wszystkim o zapisywanie, kopiowanie, czy też przechowywanie w formie cyfrowej. RODO uzupełnia w tym zakresie zasady uzyskiwania zgody od osób fizycznych. Do podstawowych zasad należą:
- zgoda na przetwarzanie danych osobowych musi być wyrażona konkretnemu podmiotowi;
- oświadczenie o udzieleniu zgody na przetwarzanie danych osobowych powinno być sformułowane w sposób prosty - tak aby jasno wynikała z niego zgoda na przetwarzanie danych;
- zgoda na przetwarzanie danych musi być dobrowolna;
- ze zgody musi wynikać cel, w jakim został udzielona, miejsce przetwarzania danych, a także okres przez jaki ona obowiązuje.
Oprócz tych zasad, osoba, która udziela zgody na przetwarzanie danych osobowych, powinna zostać poinformowana o tym, kto jest administratorem jej danych osobowym, a także o tym, że istnieje możliwość cofnięcia takiej zgody.
Przepisy rozporządzenia będą umożliwiały ograniczenie prawa przetwarzania danych. Między innymi dotyczyć to będzie zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych.
Obowiązki przedsiębiorcy
Obowiązkiem każdego przedsiębiorcy jest stosowanie się do zasad ochrony danych osobowych. W tym celu muszą więc dobrać odpowiednie środki organizacyjne oraz techniczne, które umożliwią odpowiednie przechowywanie danych osobowych. Niestety przepisy tego rozporządzenia nie określają dokładnie jakie rozwiązania należy wprowadzić, aby należycie zabezpieczyć dane osobowe. Wiadomo tylko, że wszystko to musi być zgodne z zasadami wynikającymi z RODO.
Z przepisów rozporządzenia można wyprowadzić obowiązki, jakich muszą przestrzegać przedsiębiorcy oraz wszelkie firmy, które przetwarzają i administrują danymi osobowymi:
- odpowiednie zabezpieczenie przechowywanych danych osobowych,
- przekazywanie klientom informacji na temat przetwarzania ich danych osobowych, a także pozwolenie na wgląd w zmianach tych danych,
- uzyskanie zgodny na wykorzystanie danych osobowych,
- prowadzenie dokumentacji przetwarzania danych,
- wprowadzenie zasady privacy by default - która oznacza wprowadzenie takich środków (zarówno technicznych, jak i organizacyjnych) pozwalających na przetwarzanie tylko danych niezbędnych do określonej operacji,
- zgłoszenie organowi nadzorczemu naruszenia bezpieczeństwa danych - tzw. obowiązek notyfikacyjny, który należy wykonać w ciągu 72 godzin od zajścia zdarzenia naruszającego bezpieczeństwo danych,
- przedstawianie dokumentacji na żądanie organu nadzorczego, potwierdzającej przestrzeganie prawa,
- przechowywanie dokumentów, które potwierdzają, kto wyraził zgodę na przetwarzanie danych osobowych, kiedy oraz w jakim zakresie.
Prawo do bycia zapomnianym
Prawo do bycia zapomnianym istnieje w dotychczasowych przepisach, jednak RODO rozszerza je do całkowitego wykasowania danych z bazy instytucji, która zarządza Twoimi danymi osobowymi. Główną zmianą, która się tutaj pojawia jest to, że jeżeli chcesz skorzystać z prawa do bycia zapomnianym, to nie musisz już składać wniosku papierowego. Na żądanie osoby, która chce usunąć dane, osoba nimi zarządzająca będzie musiała usunąć każdą informację o tej osobie z wszelkich systemów, w tym także z kopii, linków i dokumentacji papierowej. W przypadku wcześniejszego udostępnienia danych osobowych i są one już w posiadaniu innego podmiotu, to przedsiębiorca, któremu przedstawiono żądanie usunięcia danych, musi dołożyć wszelkiej staranności, aby dane osobowe zostały trwale usunięte także u tych podmiotów.
Przedsiębiorca, administrator danych, bądź każda inna osoba, która ma prawo zarządzać danymi osobowymi, po usunięciu danych jest zobowiązania do przedstawienia zaświadczenia o ich usunięciu. Jedynymi danymi jakie mogą zostać zachowane to dane statystyczne, ale tylko takie, które nie pozwalają na identyfikację osoby.
Inspektor Ochrony Danych Osobowych
Inspektor Ochrony Danych Osobowych został wprowadzony nowymi przepisami RODO, którego głównymi obowiązkami będzie sprawdzanie zgodności procedur przyjętych w zakresie danych osobowych procedur przez dane przedsiębiorstwo z wymaganiami rozporządzenia.
Powołanie Inspektora Ochrony Danych Osobowych będzie obowiązkowe dla:
- wszystkich instytucji publicznych, z wyłączeniem sądów;
- jednostek, które przetwarzają dane dotyczące przestępstw, czy skazań za przestępstwa;
- jednostek, których działalność polega na automatycznym przetwarzaniu danych.
Obowiązek notyfikacyjny
Obowiązek notyfikacyjny oznacza obowiązek zgłoszenia naruszenia danych osobowych do właściwego organu nadzoru w ciągu 72 godzin od dnia naruszenia. Poza informowaniem organu nadzoru, obowiązek notyfikacyjny dotyczy również informowania o naruszeniu tej osoby, której to naruszenie dotyczy.
W związku z obowiązkiem informowania o naruszeniach bezpieczeństwa przetwarzania danych osobowych, RODO nakłada na przedsiębiorców obowiązek prowadzenia rejestru naruszeń, w którym trzeba wskazać wszelkie tego typu naruszenia. Oprócz rejestru naruszeń, dodatkowym obowiązkiem dla przedsiębiorcy będzie także prowadzenie rejestru czynności przetwarzania, w którym zawierane mają być informacje na temat celu, w jakim gromadzone są dane osobowe, a także celu, w jakim są one przetwarzane. Rejestr czynności przetwarzania dotyczy jednak tylko takich pracodawców, którzy zatrudniają 250 lub więcej pracowników.
Kary za niedostosowanie się do RODO
Każde przedsiębiorstwo, które przetwarza dane osobowe, czy to swoich klientów, czy pracowników - będzie odpowiedzialne za przestrzeganie przepisów RODO oraz za ich złamanie. Karą za nieprzestrzeganie przepisów zawartych w rozporządzeniu jest kara finansowa, która może przybrać wysokość:
-
10 mln euro lub 2% rocznego światowego obrotu firmy osiągniętego w poprzednim roku obrotowym - dotyczy to w szczególności naruszeń:
1) zasad ochrony danych,
2) w przetwarzaniu danych,
3) rejestracji czynności przetwarzania,
4) zasad współpracy z organem nadzorczym,
5) zasad bezpieczeństwa danych.
-
20 mln euro lub 4% rocznego światowego obrotu firmy osiągniętego w poprzednim roku obrotowym - dotyczy takich naruszeń jak:
1) zasad przetwarzania danych osobowych,
2) warunków wyrażania zgody na przetwarzanie danych,
3) naruszenia dostępu danych dla tych osób, których dane są przetwarzane,
4) naruszeń prawa osób do korygowania i usuwania przetwarzania danych.
Przy nakładaniu kary pieniężnej za naruszenie przepisów rozporządzenia pod uwagę mają być brane takie czynniki jak:
- szkodliwość naruszenia - należy tutaj zwrócić uwagę na czas trwania naruszenia, ilość poszkodowanych osób, cel i zakres przetwarzanych danych;
- czy naruszenie było umyślne, czy nieumyślne;
- jakie działania podjął administrator, żeby zminimalizować szkodę;
- wcześniejsze naruszenia;
- próby usunięcia naruszenia.
Podsumowanie
Przepisy Rozporządzenia o Ochronie Danych Osobowych nie określają, co jako przedsiębiorca będziesz musiał zrobić aby należycie zabezpieczyć i przechowywać dane osobowe. Działania jakie tym celu podejmiesz zależą wyłącznie od Ciebie, ale musisz jednak pamiętać, że nie mogą być one sprzeczne z rozporządzeniem.
Gotowe biznesplany
Planujesz założyć firmę?
Kup przykładowy biznesplan!
Cena już od: 29 zł
Zobacz listę biznesplanów ›lub
Zleć napisanie wniosku do Urzędu Pracy ›Oceń ten artykuł: