10 najważniejszych informacji o RODO. Sprawdź zmiany w obszarze danych osobowych w 2018

Rozporządzenie o Ochronie Danych Osobowych (RODO) to unijny, wiążący akt prawny. 24 maja 2016 r. wszedł w życie, jednak zacznie obowiązywać dopiero od 25 maja 2018 roku. RODO definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w trochę odmienny sposób niż dotychczas. Nowe przepisy wprowadzają szereg obowiązków, nowe rodzaje odpowiedzialności, ale też sankcje finansowe. Sprawdź, czy i w jakim stopniu dotyczy też ciebie.

1. KOGO NIE DOTYCZY RODO
Patrząc jedynie na kategorie przedsiębiorców, można stwierdzić, że RODO ma zastosowanie dla każdego. Jednak Rozporządzenie wyróżnia grupy podmiotów, których zakres RODO nie dotyczy. Są to między innymi osoby fizyczne, które w działalności czysto osobistej lub domowej, bez związku z działalnością zawodową lub handlową przetwarzają dane osobowe (na przykład przechowywanie danych adresowych, czy korespondencji prowadzonej z grupą znajomych). Rozporządzenie nie ma również zastosowania do przetwarzania danych osobowych w ramach działalności nieobjętej zakresem prawa Unii (np. kwestie związane z bezpieczeństwem narodowym), a także do działalności związanej z przetwarzaniem danych przez instytucje unijne czy też dyplomatyczne. Przepisów rozporządzenia nie stosuje się również do działalności właściwych organów w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Dropshipping a RODO. Kto odpowiada za ochronę danych klienta?

2. PRAWA PODMIOTU DANYCH
Zadaniem administratora danych osobowych będzie dostosowanie systemów informatycznych tak, aby na każde żądanie osoby, której dane dotyczą, można było między innymi usunąć całkowicie jej dane osobowe, czy przenieść je do innego usługodawcy. Przykładowo, zmieniając placówkę medyczną, możemy żądać, żeby obecny podmiot przetwarzający nasze dane wygenerował plik z wszystkimi naszymi danymi osobowymi, przekazał go nam, a następnie usunął je ze wszystkich swoich nośników, na których przechowuje dane osobowe. Administrator danych będzie miał również obowiązek udzielenia wszelkich informacji na temat danych osobowych osobie, której te dane dotyczą. W przypadku złożenia zapytania przez tę osobę, powstanie obowiązek udzielenia odpowiedzi na zadane pytanie w terminie miesiąca.

Umowa z biurem rachunkowym? Sprawdź, czy po wejściu w życie RODO będzie ważna

3. INSPEKTOR OCHRONY DANYCH (IODO)
RODO tworzy nową funkcję, odpowiedzialną za bezpieczeństwo danych osobowych, ale również za raportowanie naruszeń do organu nadzoru. Część zadań realizowanych przez IODO ulegnie zmianie w porównaniu do tych wykonywanych obecnie przez Administratora Bezpieczeństwa Informacji (ABI), przy czym IODO nadal będzie przede wszystkim wspierać administratorów i podmioty przetwarzające w wykonywaniu przez nich obowiązków. Należy dodatkowo zaznaczyć, że funkcję ABI może pełnić tylko osoba fizyczna powołana przez administratora danych. Natomiast funkcję IODO może pełnić także jednostka organizacyjna powołana zarówno przez administratora, jak i procesora.

Szymielewicz: By skorzystać na RODO, trzeba połączyć interes firmy z interesem klienta

4. OBOWIĄZEK ZGŁASZANIA NARUSZEŃ
W ciągu 72 godzin od wykrycia naruszenia mogącego skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone, trzeba zgłosić się do właściwego organu nadzoru (przypuszczalnie będzie to Urząd Ochrony Danych Osobowych). Warto podkreślić, że należy zgłaszać takie naruszenia, które z dużym prawdopodobieństwem powodują naruszenie praw i wolności osób, których dane dotyczą. Istnieje również możliwość zgłoszenia tej informacji do konkretnej osoby, której prawa i wolności zostały zagrożone naruszeniem.

Czytaj także: Jak przygotować się do RODO 2018 - nowe obowiązki pracodawców

5. BEZPOŚREDNIA ODPOWIEDZIALNOŚĆ PRZETWARZAJĄCEGO DANE
Za nieprzestrzeganie postanowień RODO, przetwarzający dane będzie ponosił bezpośrednią odpowiedzialność. Powołanie Inspektora Ochrony Danych Osobowych, czy wynajęcie firmy zewnętrznej w tym obszarze, nie zwalnia z tej odpowiedzialności. Oczywiście nadal powierzenie przetwarzania danych osobowych osobie trzeciej nie będzie zwalniało z odpowiedzialności administratora danych osobowych, czyli w sytuacji, gdy nasz podwykonawca (np. podmiot, któremu powierzyliśmy przetwarzanie danych w chmurze) nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełną odpowiedzialność za niewywiązanie się z obowiązków spoczywać będzie na nas, przy czym odpowiedzialność ta ma charakter solidarny.

RODO: Jak przygotować się do nowych zasad chronienia przetwarzanych danych osobowych [PORADNIK]

Dodatkowo, tworzenie umów o powierzeniu przetwarzania będzie podlegało wymogom bardziej restrykcyjnym niż ma to miejsce dotychczas, RODO szczegółowo wskazuje bowiem, jaka powinna być zawartość umowy o powierzeniu, kiedy można powierzyć dalszemu podwykonawcy (podpowierzenie), tj. za zgodą administratora danych osobowych. Każdy przedsiębiorca, który przetwarza dane osobowe, musi się zatem liczyć z nowymi zasadami i obowiązkami i powinien dobrze przygotować się do wdrożenia RODO. W przypadku przedsiębiorców zatrudniających powyżej 250 pracowników, w myśl zasady proporcjonalności, obowiązki będą jednak wyższe, np. konieczność rejestrowania każdej czynności z zakresu przetwarzania danych osobowych, np. usunięcie danych, udostępnienie danych itd. powinno zostać zarejestrowane przez administratora danych.

6. KARY FINANSOWE

- 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa
- 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa
- 100 tysięcy złotych kary administracyjnej, za naruszenia spowodowane przez administrację publiczną (według projektu z dnia 13.09.2017 roku ustawy o ochronie danych osobowych)
W RODO podany jest jedynie maksymalny wymiar kary. Należy mieć na uwadze, że kary te będą nakładane proporcjonalnie, w zależności od skali naruszenia przepisów.

Koniec z szantażami „na RODO”. Próba nabrania przedsiębiorców będzie uznana za przestępstwo

7. WERYFIKACJA PODSTAW PRZETWARZANIA
Według przepisów RODO, przed rozpoczęciem przetwarzania danych osobowych w pierwszej kolejności należy ustalić, czy istnieją podstawy prawne uprawniające do przetwarzania danych osobowych. Przykładowo, do rozpoczęcia przetwarzania danych osobowych, wymagana jest dobrowolna zgoda podmiotu, którego dane mają być przetwarzane. Ma to znaczenie szczególnie, w stosunkach prawa pracy, gdzie faktyczna pozycja ekonomiczna pracodawcy jest zwykle znacznie silniejsza niż pracownika i jest on w stanie wymóc na pracowniku określone zachowania.

Prowadzisz jednoosobową działalność gospodarczą i pracujesz na umowie o współpracy? RODO obowiązuje także Ciebie

Dlatego, należy najpierw dostosować formularze zgód na przetwarzanie takich danych osobowych, a następnie przejrzeć również treść tych zgód, na podstawie, których dochodzi do przetwarzania danych osobowych. Formularze te muszą być sformułowane w sposób jasny i napisane przejrzystym językiem – zgodnie z zasadą przejrzystości, zgody udzielane zaś na zasadzie dobrowolności, co ma znaczenie szczególnie w stosunkach prawa pracy.

RODO: Pracodawca skontroluje służbowy komputer i telefon

8. DATA PRIVACY IMPACT ASSESSMENT (DPIA)
Ocena skutków planowanych operacji przetwarzania dla ochrony danych – ma zastąpić dotychczasowy obowiązek dokonywania zgłoszeń zbiorów danych osobowych do GIODO. Głównym celem DPIA jest ustalenie prawdopodobieństwa oraz wagi ryzyka dla praw i wolności osób, które może wiązać się z planowanymi czynnościami przetwarzania, a także wdrożenie środków minimalizujących to ryzyko. Administrator danych osobowych samodzielnie ma dokonywać oceny procesów przetwarzania danych osobowych pod kątem ryzyka i oczywiście w pełni odpowiadać za trafność tej oceny oraz podjęcie środków mających na celu minimalizację albo wykluczenie ryzyka.

RODO: Eksperci uspokajają, za to szpitale są pełne obaw

9. TRANSFER DANYCH POZA EUROPEJSKI OBSZAR GOSPODARCZY (EOG)
Administrator danych osobowych będzie musiał dokonać analizy i udzielić odpowiedzi na pytanie, czy dane przez niego przekazywane wychodzą poza Europejski Obszar Gospodarczy. Jeżeli odpowiedź będzie twierdząca, jego zadaniem będzie ustalenie podstaw do przekazywania danych do państwa trzeciego, a następnie dostosowanie procesu przekazywania danych do wymogów z RODO.

10 problemów na ostatnie godziny. Jakie zmiany w zakładzie pracy wymusza RODO

10. REJESTR DOTYCZĄCY PRZETWARZANIA DANYCH
W RODO nie ma prawnego obowiązku rejestracji zbiorów danych osobowych. Obowiązek dotyczy jedynie prowadzenia wewnętrznych rejestrów. Kontrolujący i przetwarzający dane, będą zobowiązani do tworzenia i utrzymywania rejestrów, które zawierać mają, m. in: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń, incydentów, rozwój
i utrzymanie zasad ochrony prywatności dla każdej linii produktowej, przechowywanie potwierdzonych zgód na przetwarzanie danych itd.

Media

RODO: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Artur Piechocki – radca prawny w APLaw

Źródło: Źródło zewnętrzne

Tematy:

dane osobowe tajemnica ustawa RODO przetwarzanie danych

Zgłoś błąd na stronie

Drukuj

Zapisz się na newsletter Obserwuj na Facebooku

Reklama

Pokaż:

Najnowsze Popularne Najstarsze

co następne, ustawa o średnicy jajka
2018-05-06 09:15
IODO, SRODO - kolejny unijny bełkot o niczym.
10
1
zgłoś
za
2018-04-19 15:06
super że jak ktoś ma merytoryczny komentarz za to sie go nie umieszcza
1
0
zgłoś
Qq
2018-04-16 22:34
RODO - taki sam bełkot jak katecheza na lekcji religii ...
18
6
zgłoś
Melwita
2018-04-13 01:43
Pracuję w małej firmie i przyznaję, że trochę obawialiśmy się wprowadzenia RODO. po prostu nie wiedzieliśmy, z czym to się je. Skorzystaliśmy już z pomocy RODOzgodni i jesteśmy spokojni, gotowi na wprowadzanie zmian :)
1
33
pokażukryj odpowiedzi (2)
zgłoś
- księgowy
  (2018-04-27 07:29)
  Czyli macie regulamin wygaszania monitora i zmiany haseł co tydzień , tak?
  2
  0
  zgłoś
- ana
  (2018-04-17 16:51)
  ile zapłaciłaś?
  1
  2
  zgłoś
Łukasz
2018-03-09 11:20
"(46) A On rzekł: Biada i wam, uczonym w Prawie! Nakładacie bowiem na ludzi takie ciężary, że nie mogą ich udźwignąć, a sami nawet palcem tych ciężarów nie tkniecie. "
39
0
zgłoś
precz z biurokracją
2018-02-28 14:33
to teraz ludzie nie będą pracować - tylko wypełniać formularze o tym co by zrobili gdyby mieli czas na pracę - chore w Chinach mają fabryki w Europie - dyrektywy
22
3
zgłoś
MM
2018-02-28 10:18
IOD może być "jednostką"? Skąd to wynika - bo nie z rozporządzenia...? W motywach i treści normatywnej RODO traktuje o "osobie".
6
1
zgłoś
Tosiek
2018-02-27 12:30
To jest chore. To jakby karać poszkodowanego że dał się okraść. Czy nie było by prościej stwożyć przepisy które będą karać za wykożystywanie danych bez zgody właściciela ? Dziś firmy wykożystujące dane są bezkarne. A my mamy stawać na głowie i ponosić koszty zabezpieczeń. Nik nie kradnie rzeczy bezużytecznych.
36
2
pokażukryj odpowiedzi (2)
zgłoś
- Malew
  (2018-05-23 20:10)
  Panie Tosiek, zmień Pan wszystkie ż na rz i w swojej opinii i wtedy się możesz Pan mądrzyć OK?
  0
  0
  zgłoś
- 1342
  (2018-03-02 10:29)
  O kurcze! Weź słownik ortograficzny
  4
  1
  zgłoś
Embargo
2018-02-23 18:25
A wzory formularzy dotyczace RODO można gdzieś znaleźć czy pracodawca sam decyduje jaka ma byś treść
18
1
zgłoś
Informatyk
2018-02-23 11:19
A może zamiast narzekać lepiej się skrzyknąć i zablokować głupie prawo?
38
3
pokażukryj odpowiedzi (2)
zgłoś
- Informatyk
  (2018-02-28 14:51)
  RODO jest ogólne - a wszystko zależy od tego co nasi mędrcy w parlamencie wymyślą ustawy jeszcze nie ma a termin tuż tuż dało się zablokować ACTA? rozumiem, że duże firmy telekomunikacyjne ale dlaczego małe instytucje publiczne, które zatrudniają kilku pracowników muszą produkować związana z tym makulaturę - Dom Kultury Biblioteka itp
  3
  0
  zgłoś
- Klik
  (2018-02-24 09:02)
  Raczej się nie da zablokować bo to prawo unijne, mające prymat nad wewnętrznym. Chcieliśmy Unii ? No to ją mamy!
  7
  2
  zgłoś
Tad
2018-01-29 00:52
Pierwszy artykół w sieci w którym znalazłem informacje na temat kar finansowych dla przedsiębiorstw nie stosujących RODO.Gdybyście znaleźli więcej tego typu artykułów proszę wrzucajcie w linku.No może poza magazynem nowej sprzedaży bo tego akurat czytam sporo.
2
0
pokażukryj odpowiedzi (1)
zgłoś
- anna
  (2018-02-05 13:10)
  Toż masz ustawę a tam jak wół stoi że kara do 4% przychodu rocznego firmy.
  1
  0
  zgłoś
gr
2018-01-28 18:32
Tak prawnicy znalezli sposób na dorabianie. czekajmy w domach na zapytanie czy nie chcemy zarobić na niczym. Cwaniaczka po upływie odpowiedniego okresu beda filtrować świat czy usunął naze dane ,a jak nie to kasa..... Co za bzdury!!! kto za to ma zapłacić?
29
5
zgłoś
AndrzejC
2018-01-17 10:25
Nie wiem skąd Autor nabrał przekonania (pkt.2) , że można wziąć dokumentacje z placówki medycznej i zażądać jej usunięcia. Podmiot ma obowiązek ją przechowywać przez 20 lat i udostepniać, nie istnieje procedura przekazania dokumentacji z potwierdzeniem jej przyjęcia przez inny podmiot(tylko w razie likwidacji) ,a poza tym placówka medyczna nie może wyzbnyć sie dokumentacji, gdyż jest to jedyny dowód w razie sporu. A spór może zaistnieć w momencie zgłoszenia szkody, a to nastąpić może wiele lat po udzieleniu świadczenia. Myląca informacja i to bardzo-prawo do bycia zapomnianym nie b edzie dotyczyło medycyny
53
1
pokażukryj odpowiedzi (2)
zgłoś
- Rocco
  (2018-12-06 09:36)
  Pełna zgoda z tym co napisał AndrzejC. To tylko pokazuje, że autor tekstu jest typowym teoretykiem, a nie praktykiem. Szkoda, bo nawet na tym poziomie powinien wiedzieć, że żądanie usunięcia danych ma ograniczone zastosowanie. Gazeta prawna to jednak nie pudelek i ktoś powinien weryfikować takie teksty, bo potem przychodzą ludzie do przychodni i powołując się na takie głupoty żądają usunięcia danych.
  0
  0
  zgłoś
- arma
  (2018-04-03 16:05)
  Nie tylko medycyny, również firm telekomunikacyjnych, bankowych i zapewne długo by wymieniać. Jak zwykle prawo tworzone w Brukseli przez ludzi oderwanych od rzeczywistości. Chodzi o pieniądze wyciągane od firm w postaci kar, dla zwykłego zjadacza chleba i tak nic nie ulegnie zmianie.
  2
  1
  zgłoś
liberal
2018-01-16 13:33
Unia wycofała się z mierzenia krzywizny ogórka, to znalazła sobie wirtualnego konika. Jak przedsiębiorca nie znający się na informatyce ma ocenić zagrożenia i miejsca wycieku danych osobowych. Toż to firmy informatyczne mają z tym problemy, a co dopiero mówić o Panu Wacku budowlańcu, co miesi beton na budowie i go rozkłada. I jeszcze Pan Wacek za to odpowiada i nie może się z odpowiedzialności zwolnić nawet , jak wynajmie eksperta. Nasze życie zaczynają opanowywać gangi eksperckie - prawniczy, finansowy, podatkowy, geodezyjny, dopłat unijnych, informatyczny, urbanistyczny, zusowski, medyczny i każdy gang tworzy prawo wg. swoich partykularnych interesów. A ty obywatelu płać i płacz. Już nawet drzewka w tym kraju nie można posadzić bo musi być z certyfikowanego ośrodka.
100
8
zgłoś
Krzysztof
2018-01-03 11:19
Przemysł "papierniczy" rozwija się w postępie geometrycznym. Uchwalane są przepisy prawne, które wymuszają popyt na tego typu usługi. Biur rachunkowych, wszelkiej maści doradców i prawników jest już więcej jak aptek i kantorów. Tworzenie biurokracji jest biegunowo sprzeczne z prawdziwym biznesem, bo jest jak pasożyt, który mu przeszkadza. Poza tym większość danych osobowych jest publicznie jawna. Każdy może się zalogować na portale rządowe CEIDG, GUS, KRS, VIES a większe spółki maja obowiązek publikacji bilansów w monitorze sądowym. Nawet PESEL można ściągnąć z bazy danych ksiąg wieczystych. Powstaje pytanie, po co chronić te dane, które są publicznie dostępne ???
127
7
pokażukryj odpowiedzi (1)
zgłoś
- belfer stary
  (2018-05-14 22:04)
  W dobie komputerów, internetu powinna być znikoma ilość papierologii. Jest jednak odwrotnie. W instytucjach tony papierów, segregatorów, dokumentów, przepisów, sprawozdań, analiz, raportów, podsumowań analiz i raportów. Jak zaczynałem pracę w szkole było ok. 300 uczniów i jeden dyrektor i jeden telefon (na korbkę). Dzieci się uczyły z książek i zeszytów. Teraz uczniów 150, dyrektor, 3 pracownice administracji, nad nimi czuwa w gminie z 10 pracowników BOSSa itp. Komputerów, drukarek, cała masa. Brakuje już miejsca na segregatory. Każdy nauczyciel ma ze 20 różnych teczek, w których są inne "podteczki". Każdy uczeń ma też niezły "zbiorek" papierów na swój temat. Ja już prawie nie uczę i nie uczę się, bo muszę coś opisywać, analizować, ankietować, raportować, podliczać, ewaluować (okropne nowosłowo). Jaki to wszystko ma sens? DO czego to prowadzi?
  7
  0
  zgłoś

Reklama

10 najważniejszych informacji o RODO. Sprawdź zmiany w obszarze danych osobowych w 2018

Komentarze (28)

Pokaż:

Zobacz więcej