Zadzwoń: 22 4 600 300 801 40 40 40

RODO

RODO

RODO – wszystko, co musisz wiedzieć

Regulacja RODO wchodzi w życie już 25 maja 2018 roku. Co jednak dokładnie kryje się pod tym terminem? Kto musi przestrzegać nowych przepisów? W jaki sposób dokonać ich wdrożenia? Odpowiadamy na te i wiele innych pytań!

Dane osobowe mają obecnie bardzo wysoką wartość. W związku z tym powstają coraz to nowe przepisy, które mają za zadanie uregulować ich ochronę oraz wykorzystanie. Jednymi z nich jest rozporządzenie unijne RODO.

Dokładnie przepisami, o których mowa, jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Dokument ten został wydany 27 kwietnia 2016 roku i został opublikowany w Dzienniku Urzędowym Unii Europejskiej L 119 4 maja 2016.

RODO – co oznacza skrót?

Skrót RODO powstał od frazy Rozporządzenie Ogólne o Ochronie Danych Osobowych. W Polsce stosuje się najczęściej skrót RODO, natomiast w języku angielskim mamy do czynienia ze skrótem EU GDPR – European Union General Data Protection Regulation czy po prostu GDPR.

RODO – co to jest?

Rozporządzenie Ogólne o Ochronie Danych Osobowych to rozporządzenie unijne, które obejmuje przepisy o ochronie danych osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

Rozporządzenie to jest częścią całego pakietu zmian przygotowanych przez Unię Europejską, który dotyczy ochrony danych. Konieczność zmiany przepisów wynika głównie z coraz większego uczestnictwa nowych technologii w życiu człowieka.

Aktualnie coraz częściej korzystamy z mediów społecznościowych, chmury obliczeniowej, różnego rodzaju usług mobilnych, geolokalizacji. Dotychczas obowiązujące prawo nie obejmowało wszystkich tych obszarów, dlatego zaproponowano jego modernizację, dzięki której możliwa będzie prawidłowa ochrona danych osobowych.

Głównym zadaniem tej właśnie regulacji jest zapewnienie swobodnego przepływu danych osobowych pomiędzy krajami członkowskimi, a także wdrożenie nowych zasad, zgodnie z którymi przetwarzanie danych osobowych będzie ujednolicone na terenie całej Unii Europejskiej.

Jak powiedziała Věra Jourová, europejska komisarz ds. sprawiedliwości „Chcemy ustanowić światowy standard [...] Prywatność jest dla nas priorytetem”.

W związku z tym dotychczas obowiązujące przepisy dotyczące ochrony danych osobowych w krajach unijnych zostaną zastąpione przepisami RODO.

RODO – kiedy wchodzi w życie?

Regulacja wejdzie w życie 25 maja 2018 roku, po dwuletnim okresie przejściowym, który został pozostawiony firmom na dopasowanie się do nowych przepisów. Zastąpi wtedy dyrektywę 95/46/WE pochodzącą z 1995 roku.

Niestety, część firm, które będą musiały dostosować się do przepisów nowego rozporządzenia unijnego, pozostawiła ten obowiązek na ostatni moment.

RODO – co się zmieni?

RODO (GDPR) – Rozporządzenie o Ochronie Danych Osobowych wprowadza szereg zmian, które dotyczą ochrony danych osobowych.

Cały dokument RODO liczy sobie kilkadziesiąt stron, na których można znaleźć dokładne informacje dotyczące wprowadzanych zmian, a także ich konsekwencji. Poniżej prezentujemy główne informacje dotyczące zmian wprowadzonych przez nowe rozporządzenie unijne.

Zmiany RODO obejmują takie obszary jak:

  • pozyskiwanie zgody na przetwarzanie danych osobowych
  • obowiązek wyznaczania Inspektora Ochrony Danych
  • poszerzenie zakresu stosowania przepisów rozporządzenia na przedsiębiorców działających Unią Europejską
  • uproszczenie przepisów dotyczących międzynarodowego przekazywania danych osobowych
  • prawo dostępu do danych, poprawiania ich, uzupełniania i przenoszenia między systemami
  • dokonanie rozszerzenia definicji pojęcia danych osobowych, dzięki czemu może ona uwzględniać możliwości rozwoju technologicznego i pojawienie się nowych form identyfikacji, w tym takich jak dane genetyczne, dane biometryczne, dane dotyczące zdrowia
  • technologie takie jak pseudonimizacja oraz szyfrowanie
  • konieczność zgłaszania naruszeń odpowiedniemu organowi nadzorczemu, administratorowi danych i powiadamianie podmiotu danych o tym, że doszło do naruszenia
  • prawo do bycia zapomnianym
  • doprecyzowanie obowiązków podmiotów przetwarzających dane
  • ochrona prywatności w fazie projektowania

Oprócz tego RODO wprowadza sankcje dla tych podmiotów, które naruszą nowe unijne przepisy dotyczące danych osobowych. Każda osoba, która będzie poszkodowana w wyniku naruszenia nowych przepisów, będzie mogła wtedy ubiegać się o odszkodowanie za poniesioną szkodę od administratora albo od podmiotu przetwarzającego dane.

Zgodnie z szacunkami przygotowanymi przez Unię Europejską, wdrożenie RODO i związane z nim ujednolicenie przepisów w całej Unii Europejskiej pozwoli na zaoszczędzenie nawet do 2,3 miliarda euro rocznie.

RODO – kto podlega?

Pod nowe Rozporządzenie o Ochronie Danych Osobowych podlegają tak naprawdę wszystkie firmy, które zajmują się gromadzeniem i wykorzystywaniem danych należących do osób fizycznych.

Są to zarówno duże korporacje, w tym banki, firmy ubezpieczeniowe czy inne instytucje finansowe, jak również niewielkie firmy prowadzone jednoosobowo, na przykład sklepy internetowe.

W związku z tym każda firma, która obecnie gromadzi i przetwarza dane osobowe, musi przygotować się na wejście w życie nowych przepisów RODO już 25 maja 2018 roku.

RODO – jak się przygotować?

W przepisach RODO nie znajdziemy dokładnych informacji technicznych, które wskazywałyby, jak należy postępować w związku z ochroną danych osobowych. W związku z tym interpretacja przepisów może być dość elastyczna, co jednak może też powodować trudności z ich wdrażaniem.

Wiele firm w celu dopasowania się do nowych przepisów korzysta z pomocy specjalistów w tym właśnie zakresie. Dzięki temu możliwe jest kompleksowe dopasowanie do nowych przepisów. Przedsiębiorcy mogą również samodzielnie dopasować się do nowych przepisów, dokonując niezbędnych zmian.

RODO – jak wdrożyć?

Przepisy RODO wprowadzają szereg zmian dotyczących przetwarzania danych osobowych. Zadaniem przedsiębiorcy jest zadbanie o to, aby wszystkie stosowane przez niego rozwiązania, procedury czy formularze są zgodne z nowym prawem.

Poniżej prezentujemy listę tych najbardziej istotnych, które muszą być wdrożone przez przedsiębiorców.

  1. Założenie rejestru naruszeń oraz czynności przetwarzania

Zgodnie z przepisami rozporządzenia przedsiębiorca będzie musiał założyć tak zwany rejestr naruszeń, w którym powinien zapisywać wszelkiego rodzaju incydenty związane z naruszeniem bezpieczeństwa przetwarzania danych.

Zgodnie z przepisami firmy będą miały również obowiązek informowania Prezesa Urzędu Ochrony Danych Osobowych (PUODO), który zastąpi Generalnego Inspektora Ochrony Danych Osobowych (GIODO) o tym, że doszło do takiego naruszenia – trzeba będzie zrobić to w terminie 72 godzin.

Dodatkowo przedsiębiorca musi prowadzić tak zwany rejestr czynności przetwarzania. Ma on obejmować informacje związane z celami gromadzenia i przetwarzania danych osobowych, dotyczące tego, komu są one przekazywane, jak gwarantowana jest ich poufność i jakie stosuje się wtedy środki bezpieczeństwa.

Od tych działań będzie zależało, czy przedsiębiorstwo będzie w stanie skutecznie zabezpieczać dane osobowe swoich klientów.

  1. Powołanie Inspektora Ochrony Danych Osobowych

Aktualnie w przedsiębiorstwach wyznacza się Administratorów Danych Osobowych (ADO) oraz Administratorów Bezpieczeństwa Informacji (ABI). W związku z wejściem w życie nowych przepisów Administrator Bezpieczeństwa Informacji zostanie zastąpiony funkcją Inspektora Ochrony Danych Osobowych.

Inspektor Ochrony Danych Osobowych uzyska również nowe uprawnienia, między innymi będzie posiadał większe możliwości dotyczące egzekwowania obowiązków dotyczących przetwarzania danych osobowych.

  1. Wyznaczenie współadministratora danych osobowych

Wymagane będzie również wyznaczenie współadministratora danych osobowych – chodzi tutaj o przynajmniej dwóch administratorów, którzy razem ustalają cele i sposoby przetwarzania danych osobowych.

Prawo do dokonania takiego podziału otrzymają podmioty należące do tej samej grupy kapitałowej.

  1. Uzyskanie zgody na przetwarzanie danych

Przepisy wskazują, również, że zgoda na przetwarzanie danych osobowych powinna być dobrowolna, konkretna, specyficzna, czyli udzielona na konkretne użycie danych, a także świadoma oraz jej wycofanie powinno być łatwe.

Zgody uzyskane przed wejściem w życie nowych przepisów zachowają ważność, jeśli spełniają wymogi RODO.

  1. Zwiększenie praw osób, których dane są przetwarzane

Jednym z naczelnych celów RODO było zwiększenie praw tych osób, które udostępniają swoje dane osobowe. W związku z tym osoby takie uzyskują nowe prawa, do których zaliczają się między innymi:

  • prawo do bycia zapomnianym – dotyczy osób, które nie chcą, aby ich dane były przetwarzane
  • łatwiejszy dostęp do danych – osoby mogą otrzymać łatwiejszy dostęp do szerszego zakresu informacji o przetwarzaniu ich danych
  • silniejsza ochrona praw dzieci – rozporządzenie RODO wskazuje, że dzieci zasługują na szczególną ochronę, ponieważ są mniej świadome zagrożeń i konsekwencji wynikających z udostępnienia danych osobowych; przepisy przewidują, że zgoda na przetwarzanie danych dziecka poniżej 16. roku życia musi być wyrażona przez osobę sprawującą władzę rodzicielską lub opiekę – państwa członkowskie mogą jednak obniżyć ten próg do 13. roku życia – w Polsce zachowano granicę 16 lat
  1. Wdrożenie procedur „privacy by design” oraz „privacy by default”

Następną ważną zmianą związaną z RODO jest wdrożenie procedury określanej jako „privacy by design”. Mamy tutaj do czynienia z uwzględnianiem w nowych procesach bezpieczeństwa przetwarzania danych, zatem przy nowych projektach konieczne jest przeanalizowanie ryzyka, jakie dany projekt niesie z punktu widzenia ochrony danych osobowych.

Rozporządzenie zakłada również wdrożenie procedury nazywanej „privacy by default”. W tym przypadku administrator będzie miał obowiązek dokonać wdrożenia takich środków organizacyjnych i technicznych, aby domyślnie dochodziło do przetwarzania tylko tych danych osobowych, które są niezbędne dla konkretnego celu przetwarzania.

  1. Przenoszenie danych między instytucjami

Zgodnie z nowymi przepisami każdy obywatel, którego dane są przetwarzane, będzie mógł wystąpić do administratora danych, czyli do przedsiębiorcy, aby przekazać dane osobowe w formie pliku. Dane te będą mogły być następnie przenoszone pomiędzy usługodawcami.

RODO – kary administracyjne

Jak wspomnieliśmy wcześniej, Rozporządzenie o Ochronie Danych Osobowych wprowadza również szereg kar administracyjnych, które mogą dotyczyć podmiotów nieprzestrzegających nowych przepisów.

W rozporządzeniu znalazły się dwa przedziały kar dla Administratorów Danych (ADO), czyli przedsiębiorstw.

Kara do 10 milionów euro (dla przedsiębiorcy – lub do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego)

Kara ta związana jest z naruszeniami dotyczącymi między innymi niewywiązywania się Administratora Danych ze swoich obowiązków, w tym takich jak:

  • obowiązek informacyjny
  • brak uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych
  • niepoprawnie prowadzony rejestr czynności przetwarzania lub jego brak
  • nieprzeprowadzenie oceny skutków dla ochrony danych
  • niewłaściwe zabezpieczenie systemów informatycznych
  • brak powołania Inspektora Ochrony Danych, gdy był taki obowiązek
  • i innych naruszeń określonych w przepisach

Kara do 20 mln euro (dla przedsiębiorcy – lub do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego)

Tak wysoka kara naliczana jest w przypadku złamania przez ADO podstawowych zasad przetwarzania danych osobowych, do których zaliczają się:

  • niedopilnowanie warunków pozyskania zgody na przetwarzanie danych
  • łamanie praw osób, do których dane należą
  • niewłaściwe przekazywania danych osobowych odbiorcom w państwach trzecich lub organizacjach międzynarodowych
  • i inne naruszenia przedstawione w przepisach prawa

Jak zaznaczyliśmy wcześniej, osoba, która poniosła szkodę w związku z naruszeniem przepisów RODO, będzie miała także prawo wystąpienia z roszczeniem o odszkodowanie za poniesioną szkodę. W takiej sytuacji Administrator Danych ma prawo do udowodnienia swojej niewinności, jeśli do powstania szkody nie doszło w wyniku jego działań czy niedopatrzeń.

Jaka różnica RODO a GIODO?

W związku z wprowadzeniem nowych przepisów pojawia się również pytanie – czy zmieni się dotychczasowa funkcja GIODO, czyli Generalnego Inspektora Ochrony Danych Osobowych?

W marcu Rada Ministrów przyjęła nowy projekt ustawy o ochronie danych osobowych, w którym znajduje się między innymi zapis, że dojdzie do powołania Prezesa Urzędu Ochrony Danych Osobowych (PUODO), który zastąpi dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

Zgodnie z przepisami Prezes Urzędu Ochrony Danych Osobowych (PUODO) będzie niezależnym organem zajmującym się sprawami związanymi z ochroną danych osobowych. Będzie on powoływany na kadencję przez Sejm za zgodą Senatu i będzie można odwołać go jedynie w wyjątkowych przypadkach. PUODO ma posiadać również prawo do samodzielnego nadawania sobie statutów oraz będzie mógł korzystać z pomocy funkcjonariuszy innych organów kontroli państwowej i policji.

Gdy nowa ustawa wejdzie w życie, moc utraci dotychczasowa ustawa o ochronie danych osobowych z 29 sierpnia 1997 roku.

RODO – jak wpłynie na przedsiębiorczość?

Zgodnie z szacunkami, nowe przepisy RODO mają dobrze wpłynąć na przedsiębiorczość, między innymi poprzez rozwój innowacyjności oraz powstanie nowych perspektyw biznesowych.

Chociaż obecnie przedsiębiorcy nie są pozytywnie nastawieni do zmian, to jednak w przyszłości ujednolicenie przepisów dotyczących ochrony danych osobowych może przynieść ze sobą bardzo dobre rezultaty. Pozytywnymi konsekwencjami wprowadzenia RODO są między innymi:

  • wprowadzenie jednego, konkretnego zestawu reguł, który pozwoli na łatwiejsze i tańsze prowadzeni biznesu nie tylko w jednym kraju, ale w różnych krajach Unii Europejskiej
  • konieczność dopasowania się przez firmy z państw trzecich oferujące swoje usługi na terenie Unii Europejskiej do nowych przepisów, co przełoży się na wyrównanie konkurencyjności
  • dzięki prawu do przenoszenia danych możliwy będzie efektywniejszy rozwój przedsiębiorstw i start-upów, które będą mogły uzyskać dostęp do różnych danych, zachęcając klientów nowymi rozwiązaniami w dziedzinie bezpieczeństwa
  • możliwość łatwiejszego dochodzenia swoich praw w różnych krajach Unii Europejskiej
  • możliwość łatwiejszej wymiany informacji w przypadku procesów egzekwowania prawa karnego, co pozwala na skuteczniejsze zapobieganie przestępczości zgodnie z tak zwaną Dyrektywą Policyjną

Przypominamy, RODO wchodzi w życie już 25 maja 2018 roku – przedsiębiorcy, którzy do tego czasu nie zdążą z dostosowaniem się do nowych przepisów mogą narazić się na wysokie kary, co dotyczy zarówno rynkowych gigantów, jak również mniejszych przedsiębiorstw. Warto zatem już teraz dopasować swoją firmę do nowych przepisów i bezpiecznie prowadzić dalszą działalność!

Ten wpis znajduje się w kategorii