Rozporządzenie o Ochronie Danych Osobowych (RODO) to unijny, wiążący akt prawny. 24 maja 2016 r. wszedł w życie, jednak zacznie obowiązywać dopiero od 25 maja 2018 roku. RODO definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w trochę odmienny sposób niż dotychczas. Nowe przepisy wprowadzają szereg obowiązków, nowe rodzaje odpowiedzialności, ale też sankcje finansowe. Sprawdź, czy i w jakim stopniu dotyczy też ciebie.

1. KOGO NIE DOTYCZY RODO
Patrząc jedynie na kategorie przedsiębiorców, można stwierdzić, że RODO ma zastosowanie dla każdego. Jednak Rozporządzenie wyróżnia grupy podmiotów, których zakres RODO nie dotyczy. Są to między innymi osoby fizyczne, które w działalności czysto osobistej lub domowej, bez związku z działalnością zawodową lub handlową przetwarzają dane osobowe (na przykład przechowywanie danych adresowych, czy korespondencji prowadzonej z grupą znajomych). Rozporządzenie nie ma również zastosowania do przetwarzania danych osobowych w ramach działalności nieobjętej zakresem prawa Unii (np. kwestie związane z bezpieczeństwem narodowym), a także do działalności związanej z przetwarzaniem danych przez instytucje unijne czy też dyplomatyczne. Przepisów rozporządzenia nie stosuje się również do działalności właściwych organów w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Dropshipping a RODO. Kto odpowiada za ochronę danych klienta?
Dropshipping a RODO. Kto odpowiada za ochronę danych klienta?

Zobacz również

2. PRAWA PODMIOTU DANYCH
Zadaniem administratora danych osobowych będzie dostosowanie systemów informatycznych tak, aby na każde żądanie osoby, której dane dotyczą, można było między innymi usunąć całkowicie jej dane osobowe, czy przenieść je do innego usługodawcy. Przykładowo, zmieniając placówkę medyczną, możemy żądać, żeby obecny podmiot przetwarzający nasze dane wygenerował plik z wszystkimi naszymi danymi osobowymi, przekazał go nam, a następnie usunął je ze wszystkich swoich nośników, na których przechowuje dane osobowe. Administrator danych będzie miał również obowiązek udzielenia wszelkich informacji na temat danych osobowych osobie, której te dane dotyczą. W przypadku złożenia zapytania przez tę osobę, powstanie obowiązek udzielenia odpowiedzi na zadane pytanie w terminie miesiąca.

Umowa z biurem rachunkowym? Sprawdź, czy po wejściu w życie RODO będzie ważna
Umowa z biurem rachunkowym? Sprawdź, czy po wejściu w życie RODO będzie ważna

Zobacz również

3. INSPEKTOR OCHRONY DANYCH (IODO)
RODO tworzy nową funkcję, odpowiedzialną za bezpieczeństwo danych osobowych, ale również za raportowanie naruszeń do organu nadzoru. Część zadań realizowanych przez IODO ulegnie zmianie w porównaniu do tych wykonywanych obecnie przez Administratora Bezpieczeństwa Informacji (ABI), przy czym IODO nadal będzie przede wszystkim wspierać administratorów i podmioty przetwarzające w wykonywaniu przez nich obowiązków. Należy dodatkowo zaznaczyć, że funkcję ABI może pełnić tylko osoba fizyczna powołana przez administratora danych. Natomiast funkcję IODO może pełnić także jednostka organizacyjna powołana zarówno przez administratora, jak i procesora.

Szymielewicz: By skorzystać na RODO, trzeba połączyć interes firmy z interesem klienta
Szymielewicz: By skorzystać na RODO, trzeba połączyć interes firmy z interesem klienta

Zobacz również

4. OBOWIĄZEK ZGŁASZANIA NARUSZEŃ
W ciągu 72 godzin od wykrycia naruszenia mogącego skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone, trzeba zgłosić się do właściwego organu nadzoru (przypuszczalnie będzie to Urząd Ochrony Danych Osobowych). Warto podkreślić, że należy zgłaszać takie naruszenia, które z dużym prawdopodobieństwem powodują naruszenie praw i wolności osób, których dane dotyczą. Istnieje również możliwość zgłoszenia tej informacji do konkretnej osoby, której prawa i wolności zostały zagrożone naruszeniem.

Czytaj także: Jak przygotować się do RODO 2018 - nowe obowiązki pracodawców

5. BEZPOŚREDNIA ODPOWIEDZIALNOŚĆ PRZETWARZAJĄCEGO DANE
Za nieprzestrzeganie postanowień RODO, przetwarzający dane będzie ponosił bezpośrednią odpowiedzialność. Powołanie Inspektora Ochrony Danych Osobowych, czy wynajęcie firmy zewnętrznej w tym obszarze, nie zwalnia z tej odpowiedzialności. Oczywiście nadal powierzenie przetwarzania danych osobowych osobie trzeciej nie będzie zwalniało z odpowiedzialności administratora danych osobowych, czyli w sytuacji, gdy nasz podwykonawca (np. podmiot, któremu powierzyliśmy przetwarzanie danych w chmurze) nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełną odpowiedzialność za niewywiązanie się z obowiązków spoczywać będzie na nas, przy czym odpowiedzialność ta ma charakter solidarny.

RODO: Jak przygotować się do nowych zasad chronienia przetwarzanych danych osobowych [PORADNIK]
RODO: Jak przygotować się do nowych zasad chronienia przetwarzanych danych osobowych [PORADNIK]

Zobacz również

Dodatkowo, tworzenie umów o powierzeniu przetwarzania będzie podlegało wymogom bardziej restrykcyjnym niż ma to miejsce dotychczas, RODO szczegółowo wskazuje bowiem, jaka powinna być zawartość umowy o powierzeniu, kiedy można powierzyć dalszemu podwykonawcy (podpowierzenie), tj. za zgodą administratora danych osobowych. Każdy przedsiębiorca, który przetwarza dane osobowe, musi się zatem liczyć z nowymi zasadami i obowiązkami i powinien dobrze przygotować się do wdrożenia RODO. W przypadku przedsiębiorców zatrudniających powyżej 250 pracowników, w myśl zasady proporcjonalności, obowiązki będą jednak wyższe, np. konieczność rejestrowania każdej czynności z zakresu przetwarzania danych osobowych, np. usunięcie danych, udostępnienie danych itd. powinno zostać zarejestrowane przez administratora danych.

6. KARY FINANSOWE

- 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa
- 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa
- 100 tysięcy złotych kary administracyjnej, za naruszenia spowodowane przez administrację publiczną (według projektu z dnia 13.09.2017 roku ustawy o ochronie danych osobowych)
W RODO podany jest jedynie maksymalny wymiar kary. Należy mieć na uwadze, że kary te będą nakładane proporcjonalnie, w zależności od skali naruszenia przepisów.


Koniec z szantażami „na RODO”. Próba nabrania przedsiębiorców będzie uznana za przestępstwo
Koniec z szantażami „na RODO”. Próba nabrania przedsiębiorców będzie uznana za przestępstwo

Zobacz również

7. WERYFIKACJA PODSTAW PRZETWARZANIA
Według przepisów RODO, przed rozpoczęciem przetwarzania danych osobowych w pierwszej kolejności należy ustalić, czy istnieją podstawy prawne uprawniające do przetwarzania danych osobowych. Przykładowo, do rozpoczęcia przetwarzania danych osobowych, wymagana jest dobrowolna zgoda podmiotu, którego dane mają być przetwarzane. Ma to znaczenie szczególnie, w stosunkach prawa pracy, gdzie faktyczna pozycja ekonomiczna pracodawcy jest zwykle znacznie silniejsza niż pracownika i jest on w stanie wymóc na pracowniku określone zachowania.

Prowadzisz jednoosobową działalność gospodarczą i pracujesz na umowie o współpracy? RODO obowiązuje także Ciebie
Prowadzisz jednoosobową działalność gospodarczą i pracujesz na umowie o współpracy? RODO obowiązuje także Ciebie

Zobacz również

Dlatego, należy najpierw dostosować formularze zgód na przetwarzanie takich danych osobowych, a następnie przejrzeć również treść tych zgód, na podstawie, których dochodzi do przetwarzania danych osobowych. Formularze te muszą być sformułowane w sposób jasny i napisane przejrzystym językiem – zgodnie z zasadą przejrzystości, zgody udzielane zaś na zasadzie dobrowolności, co ma znaczenie szczególnie w stosunkach prawa pracy.

RODO: Pracodawca skontroluje służbowy komputer i telefon
RODO: Pracodawca skontroluje służbowy komputer i telefon

Zobacz również

8. DATA PRIVACY IMPACT ASSESSMENT (DPIA)
Ocena skutków planowanych operacji przetwarzania dla ochrony danych – ma zastąpić dotychczasowy obowiązek dokonywania zgłoszeń zbiorów danych osobowych do GIODO. Głównym celem DPIA jest ustalenie prawdopodobieństwa oraz wagi ryzyka dla praw i wolności osób, które może wiązać się z planowanymi czynnościami przetwarzania, a także wdrożenie środków minimalizujących to ryzyko. Administrator danych osobowych samodzielnie ma dokonywać oceny procesów przetwarzania danych osobowych pod kątem ryzyka i oczywiście w pełni odpowiadać za trafność tej oceny oraz podjęcie środków mających na celu minimalizację albo wykluczenie ryzyka.

RODO: Eksperci uspokajają, za to szpitale są pełne obaw
RODO: Eksperci uspokajają, za to szpitale są pełne obaw

Zobacz również

9. TRANSFER DANYCH POZA EUROPEJSKI OBSZAR GOSPODARCZY (EOG)
Administrator danych osobowych będzie musiał dokonać analizy i udzielić odpowiedzi na pytanie, czy dane przez niego przekazywane wychodzą poza Europejski Obszar Gospodarczy. Jeżeli odpowiedź będzie twierdząca, jego zadaniem będzie ustalenie podstaw do przekazywania danych do państwa trzeciego, a następnie dostosowanie procesu przekazywania danych do wymogów z RODO.

10 problemów na ostatnie godziny. Jakie zmiany w zakładzie pracy wymusza RODO
10 problemów na ostatnie godziny. Jakie zmiany w zakładzie pracy wymusza RODO

Zobacz również

10. REJESTR DOTYCZĄCY PRZETWARZANIA DANYCH
W RODO nie ma prawnego obowiązku rejestracji zbiorów danych osobowych. Obowiązek dotyczy jedynie prowadzenia wewnętrznych rejestrów. Kontrolujący i przetwarzający dane, będą zobowiązani do tworzenia i utrzymywania rejestrów, które zawierać mają, m. in: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń, incydentów, rozwój
i utrzymanie zasad ochrony prywatności dla każdej linii produktowej, przechowywanie potwierdzonych zgód na przetwarzanie danych itd.

Media

RODO: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Artur Piechocki – radca prawny w APLaw