1. KOGO NIE DOTYCZY RODO
Patrząc jedynie na kategorie przedsiębiorców, można stwierdzić, że RODO ma zastosowanie dla każdego. Jednak Rozporządzenie wyróżnia grupy podmiotów, których zakres RODO nie dotyczy. Są to między innymi osoby fizyczne, które w działalności czysto osobistej lub domowej, bez związku z działalnością zawodową lub handlową przetwarzają dane osobowe (na przykład przechowywanie danych adresowych, czy korespondencji prowadzonej z grupą znajomych). Rozporządzenie nie ma również zastosowania do przetwarzania danych osobowych w ramach działalności nieobjętej zakresem prawa Unii (np. kwestie związane z bezpieczeństwem narodowym), a także do działalności związanej z przetwarzaniem danych przez instytucje unijne czy też dyplomatyczne. Przepisów rozporządzenia nie stosuje się również do działalności właściwych organów w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
2. PRAWA PODMIOTU DANYCH
Zadaniem administratora danych osobowych będzie dostosowanie systemów informatycznych tak, aby na każde żądanie osoby, której dane dotyczą, można było między innymi usunąć całkowicie jej dane osobowe, czy przenieść je do innego usługodawcy. Przykładowo, zmieniając placówkę medyczną, możemy żądać, żeby obecny podmiot przetwarzający nasze dane wygenerował plik z wszystkimi naszymi danymi osobowymi, przekazał go nam, a następnie usunął je ze wszystkich swoich nośników, na których przechowuje dane osobowe. Administrator danych będzie miał również obowiązek udzielenia wszelkich informacji na temat danych osobowych osobie, której te dane dotyczą. W przypadku złożenia zapytania przez tę osobę, powstanie obowiązek udzielenia odpowiedzi na zadane pytanie w terminie miesiąca.
3. INSPEKTOR OCHRONY DANYCH (IODO)
RODO tworzy nową funkcję, odpowiedzialną za bezpieczeństwo danych osobowych, ale również za raportowanie naruszeń do organu nadzoru. Część zadań realizowanych przez IODO ulegnie zmianie w porównaniu do tych wykonywanych obecnie przez Administratora Bezpieczeństwa Informacji (ABI), przy czym IODO nadal będzie przede wszystkim wspierać administratorów i podmioty przetwarzające w wykonywaniu przez nich obowiązków. Należy dodatkowo zaznaczyć, że funkcję ABI może pełnić tylko osoba fizyczna powołana przez administratora danych. Natomiast funkcję IODO może pełnić także jednostka organizacyjna powołana zarówno przez administratora, jak i procesora.
zobacz także:
4. OBOWIĄZEK ZGŁASZANIA NARUSZEŃ
W ciągu 72 godzin od wykrycia naruszenia mogącego skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone, trzeba zgłosić się do właściwego organu nadzoru (przypuszczalnie będzie to Urząd Ochrony Danych Osobowych). Warto podkreślić, że należy zgłaszać takie naruszenia, które z dużym prawdopodobieństwem powodują naruszenie praw i wolności osób, których dane dotyczą. Istnieje również możliwość zgłoszenia tej informacji do konkretnej osoby, której prawa i wolności zostały zagrożone naruszeniem.
Czytaj także: Jak przygotować się do RODO 2018 - nowe obowiązki pracodawców
5. BEZPOŚREDNIA ODPOWIEDZIALNOŚĆ PRZETWARZAJĄCEGO DANE
Za nieprzestrzeganie postanowień RODO, przetwarzający dane będzie ponosił bezpośrednią odpowiedzialność. Powołanie Inspektora Ochrony Danych Osobowych, czy wynajęcie firmy zewnętrznej w tym obszarze, nie zwalnia z tej odpowiedzialności. Oczywiście nadal powierzenie przetwarzania danych osobowych osobie trzeciej nie będzie zwalniało z odpowiedzialności administratora danych osobowych, czyli w sytuacji, gdy nasz podwykonawca (np. podmiot, któremu powierzyliśmy przetwarzanie danych w chmurze) nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełną odpowiedzialność za niewywiązanie się z obowiązków spoczywać będzie na nas, przy czym odpowiedzialność ta ma charakter solidarny.
zobacz także:
Dodatkowo, tworzenie umów o powierzeniu przetwarzania będzie podlegało wymogom bardziej restrykcyjnym niż ma to miejsce dotychczas, RODO szczegółowo wskazuje bowiem, jaka powinna być zawartość umowy o powierzeniu, kiedy można powierzyć dalszemu podwykonawcy (podpowierzenie), tj. za zgodą administratora danych osobowych. Każdy przedsiębiorca, który przetwarza dane osobowe, musi się zatem liczyć z nowymi zasadami i obowiązkami i powinien dobrze przygotować się do wdrożenia RODO. W przypadku przedsiębiorców zatrudniających powyżej 250 pracowników, w myśl zasady proporcjonalności, obowiązki będą jednak wyższe, np. konieczność rejestrowania każdej czynności z zakresu przetwarzania danych osobowych, np. usunięcie danych, udostępnienie danych itd. powinno zostać zarejestrowane przez administratora danych.
zobacz także:
6. KARY FINANSOWE
- 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa
- 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa
- 100 tysięcy złotych kary administracyjnej, za naruszenia spowodowane przez administrację publiczną (według projektu z dnia 13.09.2017 roku ustawy o ochronie danych osobowych)
W RODO podany jest jedynie maksymalny wymiar kary. Należy mieć na uwadze, że kary te będą nakładane proporcjonalnie, w zależności od skali naruszenia przepisów.
zobacz także:
7. WERYFIKACJA PODSTAW PRZETWARZANIA
Według przepisów RODO, przed rozpoczęciem przetwarzania danych osobowych w pierwszej kolejności należy ustalić, czy istnieją podstawy prawne uprawniające do przetwarzania danych osobowych. Przykładowo, do rozpoczęcia przetwarzania danych osobowych, wymagana jest dobrowolna zgoda podmiotu, którego dane mają być przetwarzane. Ma to znaczenie szczególnie, w stosunkach prawa pracy, gdzie faktyczna pozycja ekonomiczna pracodawcy jest zwykle znacznie silniejsza niż pracownika i jest on w stanie wymóc na pracowniku określone zachowania.
zobacz także:
Dlatego, należy najpierw dostosować formularze zgód na przetwarzanie takich danych osobowych, a następnie przejrzeć również treść tych zgód, na podstawie, których dochodzi do przetwarzania danych osobowych. Formularze te muszą być sformułowane w sposób jasny i napisane przejrzystym językiem – zgodnie z zasadą przejrzystości, zgody udzielane zaś na zasadzie dobrowolności, co ma znaczenie szczególnie w stosunkach prawa pracy.
8. DATA PRIVACY IMPACT ASSESSMENT (DPIA)
Ocena skutków planowanych operacji przetwarzania dla ochrony danych – ma zastąpić dotychczasowy obowiązek dokonywania zgłoszeń zbiorów danych osobowych do GIODO. Głównym celem DPIA jest ustalenie prawdopodobieństwa oraz wagi ryzyka dla praw i wolności osób, które może wiązać się z planowanymi czynnościami przetwarzania, a także wdrożenie środków minimalizujących to ryzyko. Administrator danych osobowych samodzielnie ma dokonywać oceny procesów przetwarzania danych osobowych pod kątem ryzyka i oczywiście w pełni odpowiadać za trafność tej oceny oraz podjęcie środków mających na celu minimalizację albo wykluczenie ryzyka.
9. TRANSFER DANYCH POZA EUROPEJSKI OBSZAR GOSPODARCZY (EOG)
Administrator danych osobowych będzie musiał dokonać analizy i udzielić odpowiedzi na pytanie, czy dane przez niego przekazywane wychodzą poza Europejski Obszar Gospodarczy. Jeżeli odpowiedź będzie twierdząca, jego zadaniem będzie ustalenie podstaw do przekazywania danych do państwa trzeciego, a następnie dostosowanie procesu przekazywania danych do wymogów z RODO.
10. REJESTR DOTYCZĄCY PRZETWARZANIA DANYCH
W RODO nie ma prawnego obowiązku rejestracji zbiorów danych osobowych. Obowiązek dotyczy jedynie prowadzenia wewnętrznych rejestrów. Kontrolujący i przetwarzający dane, będą zobowiązani do tworzenia i utrzymywania rejestrów, które zawierać mają, m. in: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń, incydentów, rozwój
i utrzymanie zasad ochrony prywatności dla każdej linii produktowej, przechowywanie potwierdzonych zgód na przetwarzanie danych itd.
Artur Piechocki, radca prawny w APLaw
RODO: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Artur Piechocki – radca prawny w APLaw
RODO. Kto pomoże administratorom danych?
![TheaterWien Fot. Zyance [CC BY-SA 2.5]](https://g.gazetaprawna.pl/p/_wspolne/pliki/4398000/4398152-theaterwien-300-170.jpg)
Krzysztof(2018-01-03 11:19) Zgłoś naruszenie 1277
Przemysł "papierniczy" rozwija się w postępie geometrycznym. Uchwalane są przepisy prawne, które wymuszają popyt na tego typu usługi. Biur rachunkowych, wszelkiej maści doradców i prawników jest już więcej jak aptek i kantorów. Tworzenie biurokracji jest biegunowo sprzeczne z prawdziwym biznesem, bo jest jak pasożyt, który mu przeszkadza. Poza tym większość danych osobowych jest publicznie jawna. Każdy może się zalogować na portale rządowe CEIDG, GUS, KRS, VIES a większe spółki maja obowiązek publikacji bilansów w monitorze sądowym. Nawet PESEL można ściągnąć z bazy danych ksiąg wieczystych. Powstaje pytanie, po co chronić te dane, które są publicznie dostępne ???
Pokaż odpowiedzi (1)Odpowiedzbelfer stary(2018-05-14 22:04) Zgłoś naruszenie 70
W dobie komputerów, internetu powinna być znikoma ilość papierologii. Jest jednak odwrotnie. W instytucjach tony papierów, segregatorów, dokumentów, przepisów, sprawozdań, analiz, raportów, podsumowań analiz i raportów. Jak zaczynałem pracę w szkole było ok. 300 uczniów i jeden dyrektor i jeden telefon (na korbkę). Dzieci się uczyły z książek i zeszytów. Teraz uczniów 150, dyrektor, 3 pracownice administracji, nad nimi czuwa w gminie z 10 pracowników BOSSa itp. Komputerów, drukarek, cała masa. Brakuje już miejsca na segregatory. Każdy nauczyciel ma ze 20 różnych teczek, w których są inne "podteczki". Każdy uczeń ma też niezły "zbiorek" papierów na swój temat. Ja już prawie nie uczę i nie uczę się, bo muszę coś opisywać, analizować, ankietować, raportować, podliczać, ewaluować (okropne nowosłowo). Jaki to wszystko ma sens? DO czego to prowadzi?
liberal(2018-01-16 13:33) Zgłoś naruszenie 1008
Unia wycofała się z mierzenia krzywizny ogórka, to znalazła sobie wirtualnego konika. Jak przedsiębiorca nie znający się na informatyce ma ocenić zagrożenia i miejsca wycieku danych osobowych. Toż to firmy informatyczne mają z tym problemy, a co dopiero mówić o Panu Wacku budowlańcu, co miesi beton na budowie i go rozkłada. I jeszcze Pan Wacek za to odpowiada i nie może się z odpowiedzialności zwolnić nawet , jak wynajmie eksperta. Nasze życie zaczynają opanowywać gangi eksperckie - prawniczy, finansowy, podatkowy, geodezyjny, dopłat unijnych, informatyczny, urbanistyczny, zusowski, medyczny i każdy gang tworzy prawo wg. swoich partykularnych interesów. A ty obywatelu płać i płacz. Już nawet drzewka w tym kraju nie można posadzić bo musi być z certyfikowanego ośrodka.
OdpowiedzAndrzejC(2018-01-17 10:25) Zgłoś naruszenie 531
Nie wiem skąd Autor nabrał przekonania (pkt.2) , że można wziąć dokumentacje z placówki medycznej i zażądać jej usunięcia. Podmiot ma obowiązek ją przechowywać przez 20 lat i udostepniać, nie istnieje procedura przekazania dokumentacji z potwierdzeniem jej przyjęcia przez inny podmiot(tylko w razie likwidacji) ,a poza tym placówka medyczna nie może wyzbnyć sie dokumentacji, gdyż jest to jedyny dowód w razie sporu. A spór może zaistnieć w momencie zgłoszenia szkody, a to nastąpić może wiele lat po udzieleniu świadczenia. Myląca informacja i to bardzo-prawo do bycia zapomnianym nie b edzie dotyczyło medycyny
Pokaż odpowiedzi (2)OdpowiedzRocco(2018-12-06 09:36) Zgłoś naruszenie 00
Pełna zgoda z tym co napisał AndrzejC. To tylko pokazuje, że autor tekstu jest typowym teoretykiem, a nie praktykiem. Szkoda, bo nawet na tym poziomie powinien wiedzieć, że żądanie usunięcia danych ma ograniczone zastosowanie. Gazeta prawna to jednak nie pudelek i ktoś powinien weryfikować takie teksty, bo potem przychodzą ludzie do przychodni i powołując się na takie głupoty żądają usunięcia danych.
arma(2018-04-03 16:05) Zgłoś naruszenie 21
Nie tylko medycyny, również firm telekomunikacyjnych, bankowych i zapewne długo by wymieniać. Jak zwykle prawo tworzone w Brukseli przez ludzi oderwanych od rzeczywistości. Chodzi o pieniądze wyciągane od firm w postaci kar, dla zwykłego zjadacza chleba i tak nic nie ulegnie zmianie.
Łukasz(2018-03-09 11:20) Zgłoś naruszenie 390
"(46) A On rzekł: Biada i wam, uczonym w Prawie! Nakładacie bowiem na ludzi takie ciężary, że nie mogą ich udźwignąć, a sami nawet palcem tych ciężarów nie tkniecie. "
OdpowiedzInformatyk(2018-02-23 11:19) Zgłoś naruszenie 383
A może zamiast narzekać lepiej się skrzyknąć i zablokować głupie prawo?
Pokaż odpowiedzi (2)OdpowiedzInformatyk(2018-02-28 14:51) Zgłoś naruszenie 30
RODO jest ogólne - a wszystko zależy od tego co nasi mędrcy w parlamencie wymyślą ustawy jeszcze nie ma a termin tuż tuż dało się zablokować ACTA? rozumiem, że duże firmy telekomunikacyjne ale dlaczego małe instytucje publiczne, które zatrudniają kilku pracowników muszą produkować związana z tym makulaturę - Dom Kultury Biblioteka itp
Klik(2018-02-24 09:02) Zgłoś naruszenie 72
Raczej się nie da zablokować bo to prawo unijne, mające prymat nad wewnętrznym. Chcieliśmy Unii ? No to ją mamy!
Tosiek(2018-02-27 12:30) Zgłoś naruszenie 362
To jest chore. To jakby karać poszkodowanego że dał się okraść. Czy nie było by prościej stwożyć przepisy które będą karać za wykożystywanie danych bez zgody właściciela ? Dziś firmy wykożystujące dane są bezkarne. A my mamy stawać na głowie i ponosić koszty zabezpieczeń. Nik nie kradnie rzeczy bezużytecznych.
Pokaż odpowiedzi (2)OdpowiedzMalew(2018-05-23 20:10) Zgłoś naruszenie 00
Panie Tosiek, zmień Pan wszystkie ż na rz i w swojej opinii i wtedy się możesz Pan mądrzyć OK?
1342(2018-03-02 10:29) Zgłoś naruszenie 41
O kurcze! Weź słownik ortograficzny
gr(2018-01-28 18:32) Zgłoś naruszenie 295
Tak prawnicy znalezli sposób na dorabianie. czekajmy w domach na zapytanie czy nie chcemy zarobić na niczym. Cwaniaczka po upływie odpowiedniego okresu beda filtrować świat czy usunął naze dane ,a jak nie to kasa..... Co za bzdury!!! kto za to ma zapłacić?
Odpowiedzprecz z biurokracją(2018-02-28 14:33) Zgłoś naruszenie 223
to teraz ludzie nie będą pracować - tylko wypełniać formularze o tym co by zrobili gdyby mieli czas na pracę - chore w Chinach mają fabryki w Europie - dyrektywy
OdpowiedzEmbargo (2018-02-23 18:25) Zgłoś naruszenie 181
A wzory formularzy dotyczace RODO można gdzieś znaleźć czy pracodawca sam decyduje jaka ma byś treść
OdpowiedzQq(2018-04-16 22:34) Zgłoś naruszenie 186
RODO - taki sam bełkot jak katecheza na lekcji religii ...
Odpowiedzco następne, ustawa o średnicy jajka(2018-05-06 09:15) Zgłoś naruszenie 101
IODO, SRODO - kolejny unijny bełkot o niczym.
OdpowiedzMM(2018-02-28 10:18) Zgłoś naruszenie 61
IOD może być "jednostką"? Skąd to wynika - bo nie z rozporządzenia...? W motywach i treści normatywnej RODO traktuje o "osobie".
OdpowiedzTad(2018-01-29 00:52) Zgłoś naruszenie 20
Pierwszy artykół w sieci w którym znalazłem informacje na temat kar finansowych dla przedsiębiorstw nie stosujących RODO.Gdybyście znaleźli więcej tego typu artykułów proszę wrzucajcie w linku.No może poza magazynem nowej sprzedaży bo tego akurat czytam sporo.
Pokaż odpowiedzi (1)Odpowiedzanna(2018-02-05 13:10) Zgłoś naruszenie 10
Toż masz ustawę a tam jak wół stoi że kara do 4% przychodu rocznego firmy.
za(2018-04-19 15:06) Zgłoś naruszenie 10
super że jak ktoś ma merytoryczny komentarz za to sie go nie umieszcza
OdpowiedzMelwita(2018-04-13 01:43) Zgłoś naruszenie 133
Pracuję w małej firmie i przyznaję, że trochę obawialiśmy się wprowadzenia RODO. po prostu nie wiedzieliśmy, z czym to się je. Skorzystaliśmy już z pomocy RODOzgodni i jesteśmy spokojni, gotowi na wprowadzanie zmian :)
Pokaż odpowiedzi (2)Odpowiedzksięgowy (2018-04-27 07:29) Zgłoś naruszenie 20
Czyli macie regulamin wygaszania monitora i zmiany haseł co tydzień , tak?
ana(2018-04-17 16:51) Zgłoś naruszenie 12
ile zapłaciłaś?