RODO | TOP 10 czyli co powinieneś wiedzieć?

Niniejsza publikacja zawiera podstawowe informacje na temat Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO), które zacznie obowiązywać od 25 maja 2018 roku.

1.      Co to jest RODO?

 Z dniem 25 maja 2018 roku na terenie całej Unii Europejskiej zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 zwane Ogólnym Rozporządzeniem o Przetwarzaniu Danych lub RODO, którego celem jest ochrona danych osobowych osób fizycznych przetwarzanych zarówno w systemach informatycznych, jak i poza nimi.

 2.      RODO a prawo polskie i europejskie.

 RODO jako część prawa europejskiego będzie bezpośrednio stosowane w Polsce. Niemniej jednak, zgodnie z projektem Ministerstwa Cyfryzacji, z dniem 25 maja 2018 roku zostanie uchylona obecnie obowiązująca ustawa o ochronie danych osobowych a w jej miejsce zostanie uchwalona nowa ustawa, które jednak nie będzie w żaden istotny sposób wpływała na treść RODO. Dodatkowo zmianie ulegnie kilkadziesiąt ustaw sektorowych, w tym m. in. Kodeks pracy. 

RODO w takim samym zakresie będzie obowiązywał we wszystkich państwach Unii Europejskiej, wobec tego przepisy te będzie musiał stosować kontrahent z państw Unii Europejskiej. Może się również zdarzyć, że kontrahent z UE będzie wymagał od polskich przedsiębiorców oświadczeń na temat zgodności przetwarzania danych z RODO, tak jak obecnie żąda oświadczeń nt. ochrony środowiska czy przeciwdziałania zjawisku mobbingu.

3.      Kogo dotyczy RODO.

Zasady przetwarzania danych osobowych uregulowane w RODO muszą stosować wszyscy przedsiębiorcy, bez względu na zakres oraz przedmiot działalności.

Obowiązek wdrozenia RODO dotyczy  w szczególności:

- wszystkich pracodawców,

- wszystkich przedsiębiorców oferujących towary lub usługi na terytorium UE,

- organizacji pozarządowych,

- podmiotów leczniczych.

4.      Zasady RODO.

RODO wprowadza sześć z głównych zasad dotyczących przetwarzania danych osobowych:

a)       zgodności z prawem, rzetelności i przejrzystości;

b)      ograniczenia celu zbierania danych osobowych

c)       minimalizacji danych,

d)      prawidłowości,

e)       ograniczenia przechowywania,

f)        integralności i poufności.

Z ww. zasadami jest związana zasada rozliczalności, która polega na tym, że administrator danych osobowych jest odpowiedzialny za przetwarzanie danych zgodnie z ww. zasadami i musi być w stanie wykazać ich przestrzeganie. 

Administratorem jest w przypadku osób prawnych – jej organ zarządzający, a w przypadku osób fizycznych prowadzących działalność gospodarczą – ta osoba i to on ponosi odpowiedzialność za przestrzeganie zasad ochrony danych osobowych. Administrator może powołać również Inspektora Ochrony Danych Osobowych, który będzie odpowiedzialny m.in. za monitorowanie przestrzegania zasad RODO w przedsiębiorstwie. 

Dodatkowo administrator uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać.

 RODO wprowadza szereg nowych obowiązków a także instytucji, których poznanie przez przedsiębiorcę umożliwi dopiero stosowanie RODO w praktyce działalności przedsiębiorstwa.

 5.      Obowiązek powiadomienia o wycieku danych.

 W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – będzie miał obowiązek zgłosić takie naruszenie Prezesowi Urzędu Ochrony Danych Osobowych (tj. organowi, który zastąpi GIODO). Dodatkowo, jeżeli naruszenie ochrony danych osobowych może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator będzie miał również obowiązek zawiadomienia osoby, której dane dotyczą, o takim naruszeniu.

 6.      Uprawnienia osób, których dane zostały przetwarzane niezgodnie z RODO.

Na gruncie RODO osoba, która uważa, że jej dane są przetwarzane niezgodnie z RODO ma prawo zarówno do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (dawniej: GIODO) jak i do wniesienia powództwa do sądu przeciwko administratorowi.

Bez względu na powyższe, osoba taka ma również prawo do żądania odszkodowania, jeżeli uzna, że poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO.

Osoba, która uważa, że jej dane są przetwarzane niezgodnie z RODO, będzie miała prawo umocować podmiot, organizację lub zrzeszenie do wniesienia w jej imieniu skargi, a nawet żądania w jej imieniu odszkodowania, co może spowodować lawinę różnego rodzaju pism od takich organizacji.

7.      Kary pieniężne.

Ustawodawca unijny bardzo poważnie podszedł do ochrony danych osobowych zdając sobie sprawę, że tylko odpowiednio wysokie kary pieniężne zmobilizują przedsiębiorców do przestrzegania przepisów RODO.

Wobec czego uznał, że naruszenie przepisów dotyczących ochrony danych osobowych jest zagrożone, w zależności od przedmiotu naruszenia, karą pieniężną w wysokości do 10 mln EURO - 20 mln EURO, a w przypadku przedsiębiorstwa - w wysokości  od 4 % do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

 8.    TOP 10 RODO.

1)     72 h na reakcję przedsiębiorcy na wyciek danych,

2)     wprowadzenie kar w wysokości do 20 mln PLN/4 % światowego rocznego obrotu,

3)     wprowadzenie wytycznych dotyczących karania: skuteczne, proporcjonalne oraz odstraszające,

4)     nowe obowiązki: prowadzenie rejestru przetwarzania danych osobowych, nowe zasady dotyczące profilowania, nowa treść klauzuli informacyjnej i powiązanany z tym obowiązek dostosowania checkboxów,

5)     nowe uprawnienia osób, których dane są przetwarzane: prawo do przenoszenia danych, prawo do bycia zapomnianym,

6)     nowa instytucja: Inspektor Ochrony Danych Osobowych,

7)     nowe uprawnienie organizacji pozarządowych do zgłaszania do przedsiębiorców naruszeń dotyczących ochrony danych osobowych,

8)     brak wzoru dokumentów niezbędnych do wdrożenia – każdy przedsiębiorca musi samodzielnie opracować procedury i dokumentację by działać zgodnie z   RODO,

9)     powołanie nowego organu - Urzędu Ochrony Danych Osobowych z nowymi kompetencjami do przeprowadzania kontroli oraz karania,

10) umożliwienie osobom fizycznym występowanie z pozwem cywilnym o zasądzenie zadośćuczynienia za niezgodne z prawem przetwarzania jego danych osobowych.

 

 Wdrożenie zasad przetwarzania danych osobowych zgodnie z RODO jest wyzwaniem dla każdego przedsiębiorcy, szczególnie przetwarzającego dane dotyczące zdrowia. Niemniej jednak, wdrożenie tych zasad pozwoli na ograniczenie ryzyka i skupieniu się kontynuowaniu prowadzenia działalności.

 

 

 

Najnowsze Publikacje

Zaufali nam