RODO - zmiany w ochronie danych osobowych w 2018 roku. Najważniejsze informacje

redaktor Bankier.pl

Już 25 maja 2018 r. wchodzi w życie RODO, czyli unijne rozporządzenie dotyczące ochrony danych osobowych. Nowe przepisy dotyczą każdego podmiotu działającego na terenie UE, począwszy od jednoosobowych działalności gospodarczych po duże międzynarodowe korporacje. Czasu na wprowadzenie zmian nie zostało wiele, a brak ich wdrożenia grozi wielomilionowymi karami.

W kwietniu 2016 r. uchwalono unijne Ogólne rozporządzenie o ochronie danych (RODO), które zastąpi przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych. Nowe regulacje mają na celu ujednolicenie przepisów na terenie całej UE. Dotyczą one wszystkich przedsiębiorców, których czeka wdrożenie nowych zasad. Wiąże się to z licznymi, dodatkowymi obowiązkami oraz koniecznością dostosowania procesów i zaplecza technologicznego.

RODO, czyli co to jest, kiedy wchodzi w życie, jakie zmiany wprowadza
RODO, czyli co to jest, kiedy wchodzi w życie, jakie zmiany wprowadza

Co to jest RODO?

General Data Protection Regulation (GDPR), czyli Ogólne rozporządzenie o ochronie danych osobowych (powszechnie używany skrót – RODO) zostało przyjęte przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 r. Nowe wytyczne dotyczą ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz ich przepływem.

Od kiedy wchodzi w życie?

Wspomniany akt prawny od 25 maja 2018 r. będzie regulował powyższe kwestie we wszystkich państwach członkowskich Unii Europejskiej.

RODO - dlaczego pojawią się zmiany?

Głównym celem RODO jest potwierdzenie faktu, że ochrona danych osobowych jest podstawowym prawem każdego obywatela. Rozporządzenie wprowadza szereg korzyści dla osób prywatnych, w tym większą transparentność w odniesieniu do użycia danych osobowych, tj. nakazuje upowszechnienie informacji kto, kiedy i w jakim procesie wykorzystał poszczególne dane.

Nowe przepisy zostały wprowadzone przede wszystkim w celu ujednolicenia zasad dotyczących ochrony danych osobowych obowiązujących na terenie całej UE. Podwalinami zmian były wyniki badania Komisji Europejskiej z 2015 r. Zostało ono przeprowadzone wśród obywateli 28 państw członkowskich na zlecenie Dyrekcji Generalnej ds. Sprawiedliwości i Konsumentów, a jego tematem była właśnie ochrona danych. Okazało się, że 67 proc. respondentów martwi fakt, że nie mają kontroli nad informacjami o sobie, które pojawiają się w internecie. Natomiast 89 proc. badanych uznało, że wszyscy mieszkańcy UE powinni mieć taki sam poziom ochrony swoich danych, niezależnie od kraju zamieszkania.  

Weź udział w konferencji "Pulsu Biznesu""RODO - marketing i sprzedaż w zgodzie z nowymi regulacjami"

Intencją wdrożenia RODO było zarówno zunifikowanie regulacji o ochronie danych osobowych, które obowiązują od 1995 r. i w dobie postępującej cyfryzacji mają coraz mniejsze zastosowanie praktyczne, jak i również wprowadzenie szerszej ochrony.

Kogo dotyczy RODO? Zakres podmiotowy

Obowiązek zastosowania się do RODO mają wszystkie firmy, które gromadzą i wykorzystują dane dotyczące osób fizycznych, tj. pracowników oraz klientów. Nowa regulacja dotyczy zatem podmiotów, które w jakikolwiek sposób zbierają i przetwarzają informacje z tych dwóch obszarów. Mogą to być zarówno duże korporacje, jednoosobowe firmy, jak i sklepy internetowe.

Co to są dane osobowe, co oznacza ich przetwarzanie?

Dane osobowe to każda informacja dotycząca osoby fizycznej, pozwalająca na określenie jej tożsamości. W związku z czym samo imię i nazwisko nie będzie stanowiło danych osobowych, do momentu powiązania go z nazwą firmy, w której osoba pracuje czy adresem zamieszkania. Dodatkowo RODO określa dane wrażliwe, tj. dotyczące zdrowia, poglądów politycznych czy orientacji seksualnej, które powinny być szczególnie chronione. Natomiast przetwarzanie danych osobowych to każda czynność związana z ich użyciem, czyli zapisywanie, kopiowanie czy przechowywanie w formie cyfrowej.

RODO - jakie zmiany dla osób fizycznych?

RODO kładzie szczególny nacisk na nadanie szerszych praw osobom fizycznym w zakresie ochrony ich danych osobowych. W związku z tym rozporządzenie wprowadziło przepisy, które ułatwiają obywatelom kontrolę przepływu i wykorzystania ich danych:

  • prawo do bycia zapomnianym, czyli prawo do całkowitego usunięcia danych,
  • uprawnienie do żądania przeniesienia danych, czyli przekazania ich bezpośrednio innemu, wskazanemu przez osobę fizyczną administratorowi,
  • wzmocnione prawo dostępu i wglądu obywatela w jego dane.

RODO a zgoda na przetwarzanie danych osobowych

Wraz z wdrożeniem RODO zostanie również rozszerzone prawo sprzeciwu wobec przetwarzania danych, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych.

RODO - jakie obowiązki ma przedsiębiorca?

Przedsiębiorcy mają obowiązek uwzględniać zasady ochrony danych osobowych oraz dobrać rozwiązania organizacyjne i techniczne, które zapewnią należyte ich przechowywanie. Rozporządzenie nie określa wprost, jakie konkretnie zabezpieczenia czy rozwiązania w zakresie ich ochrony powinny zostać wprowadzone przez firmy. Jednak należy pamiętać, że muszą być one zgodne z zasadami wynikającymi z RODO.

Firmy, których dotyczy rozporządzenie, nie uchronią się zatem przed koniecznością wymiany formularzy, zmiany klauzul i zgód na przetwarzanie danych osobowych klientów, zweryfikowania wewnętrznych procesów pod kątem bezpieczeństwa informacji, wdrożenia infrastruktury IT, przeszkolenia pracowników czy utworzenia stanowiska administratora danych osobowych.

Do podstawowych obowiązków, jakie muszą spełnić przedsiębiorstwa przetwarzające i administrujące dane osobowe, należą:

  • należyte zabezpieczenie przechowywanych danych,
  • przekazywanie klientom szczegółowych informacji o przetworzeniu ich danych osobowych,umożliwienie wglądu w historię zmiany danych, informowanie o celu zbierania danych,
  • uzyskanie zgody na wykorzystanie danych w kontekście konkretnego procesu biznesowego,
  • opracowanie i prowadzenie dokumentacji przetwarzania danych, w tym rejestru czynności przetwarzania i rejestru naruszeń,
  • wdrożenie zasady privacy by default, tj. wcielenie takich środków technicznych i organizacyjnych, które pozwolą na domyślne przetwarzanie tylko tych danych, które są niezbędne do określonego procesu,
  • obowiązek notyfikacyjny, polegający na konieczności zgłoszenia do organu nadzorczego incydentu naruszenia bezpieczeństwa, w ciągu 72 godzin od jego zajścia,
  • zapewnienie rozliczalności (na żądanie organu nadzorczego przedstawić dokumentację, która  wykaże przestrzeganie prawa),
  • udokumentowanie udzielenia zgody, tj. przechowywanie informacji o tym, kto wyraził zgodę, kiedy to zrobił, w jakim zakresie oraz jakie informacje zostały mu przekazane przy okazji odbierania zgody.

Jak zdobyć zgodę na przetwarzanie danych osobowych?

RODO uzupełnia zasady uzyskiwania zgód na przetwarzanie danych osobowych od osób fizycznych. Zgoda przede wszystkim musi być wyrażona konkretnemu podmiotowi. Dodatkowo oświadczenie o jej udzieleniu powinno być sformułowane w jasny i prosty sposób. RODO wymaga, aby pobierane zgody charakteryzowała dobrowolność. W związku z czym jej wyrażenie bądź brak zgody nie powinno wpływać na warunki zawieranej umowy. Dodatkowo musi zostać wyraźnie określony cel jej udzielenia, miejsce przetwarzania danych oraz czas, na jaki została wyrażona. Ponadto zbierane zgody mogą zostać wykorzystane wyłącznie w określonym celu, który został zapisany w treści oświadczenia. Osoba fizyczna powinna zostać również poinformowana o tożsamości administratora danych osobowych oraz możliwości cofnięcia zgody na przetwarzanie informacji.

Istotną zamianą jest brak możliwości udostępniania danych innemu podmiotowi bez odpowiedniej podstawy prawnej. Oznacza to, że działalność polegająca na sprzedawaniu baz danych osobowych oraz ich kupowaniu może być bardzo niebezpieczna dla zaangażowanych w proceder podmiotów. Jeśli osoby fizyczne nie wyrażą zgody na przekazanie swoich danych, takim podmiotom grożą wysokie kary.

Jak się przygotować do wprowadzenia w życie RODO?

Rozporządzenie nie określa konkretnych narzędzi, jakie należy wprowadzić w celu zabezpieczenia przechowywania danych osobowych. Działania, jakie podejmie firma, zależą wyłącznie od niej. Należy jednak mieć na uwadze, że muszą one być zgodne z nowym prawem. Ponadto RODO nakłada na przedsiębiorców wymóg należytej staranności.

Prawo do bycia zapomnianym - zmiany w RODO

Osoba fizyczna w każdym momencie może zażądać udostępnienia informacji o swoich danych osobowych, a także ich usunięcia. RODO rozszerzyło prawo do bycia zapomnianym, które oznacza całkowite wykasowanie danych z bazy instytucji. Może przysporzyć to wielu trudności przedsiębiorstwom, ponieważ zmusza je do usunięcia wszystkich informacji o danej osobie z systemów administratora. Dotyczy to także kopii, linków, odniesień i dokumentacji papierowej. Ponadto w sytuacji, gdy jakieś dane zostały wcześniej udostępnione, należy dołożyć wszelkich starań, aby wszystkie ich kopie i linki zostały skasowane i usunięte na dobre, nawet jeżeli są już w posiadaniu innych podmiotów.

Prawo do bycia zapomnianym istniało również w dotychczasowych przepisach. RODO natomiast upraszcza procedurę jego żądania – osoba fizyczna nie musi składać wniosku w formie pisemnej. Ponadto administrator danych musi przedstawić poświadczenie ich usunięcia. Mogą zostać zachowane jedynie dane statystyczne, ale niepozwalające na identyfikację osoby.

Jakie firmy muszą wyznaczyć Inspektora Ochrony Danych Osobowych?

W przedsiębiorstwach występowali Administratorzy Danych Osobowych, jak i Administratorzy Bezpieczeństwa Informacji. Dotychczasowe przepisy zostały zmodyfikowane przez RODO, które wprowadziło funkcję Inspektora Ochrony Danych Osobowych. Powołanie nowego stanowiska będzie obligatoryjne dla wszystkich instytucji publicznych (z wyłączeniem sądów), jednostek, których działalność polega na regularnym i automatycznym przetwarzaniu danych oraz jednostek, których główna działalność polega na przetwarzaniu danych wrażliwych, dotyczących przestępstw czy skazań za przestępstwa. Do obowiązków Inspektora należeć będzie bieżące monitorowanie zgodności przyjętych przez przedsiębiorstwo procedur z wymogami RODO. Dodatkowo osoba ta musi dysponować wiedzą ekspercką w zakresie ochrony danych osobowych. 

Co to jest obowiązek notyfikacyjny?

RODO wyprowadziło obowiązek prowadzenia przez przedsiębiorców rejestru naruszeń, w którym należy uwzględniać wszystkie incydenty związane z naruszeniem bezpieczeństwa przetwarzania danych osobowych. Administratorzy są zobowiązani do ich zgłaszania w ciągu 72 godzin do właściwego organu nadzoru (GIODO). Ponadto przedsiębiorstwa mają obowiązek powiadomienia o wycieku osoby, których dane osobowe zostały poważnie naruszone (chodzi głownie o cyberprzestępstwa, ataki hakerskie). Należy pamiętać, że niedopełnienie obowiązku notyfikacyjnego będzie mogło skutkować nałożeniem kary finansowej.

Na przedsiębiorcach będzie ciążył również obowiązek prowadzenia rejestru czynności przetwarzania, który zawierać ma informacje dotyczące celu gromadzenia oraz przetwarzania danych osobowych, komu zostały przekazane, środków bezpieczeństwa stosowanych w celu zagwarantowania poufność danych.

Kary za niedostosowanie się do RODO

Przedsiębiorstwa przetwarzające dane osobowe będą ponosić odpowiedzialność za złamanie przepisów RODO, włączając możliwość otrzymania kary finansowej w wysokości 10 mln euro lub 2 proc. rocznego światowego obrotu firmy osiągniętego w poprzednim roku obrotowym. W szczególnych przypadkach może ona wzrosnąć nawet do 20 mln euro bądź 4 proc. obrotu. Forma jej naliczania będzie zależała od tego, która wartość jest wyższa.

Katarzyna Rostkowska

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
1 0 (usunięty)

(wiadomość usunięta przez moderatora)

! Odpowiedz
1 0 tosia333

Jestem właścicielką sklepu, ale przyznaję, że w ogóle nie znam się na takich sprawach, więc wolałam w kwestii wprowadzenia w swej firmie RODO zaufać specjalistom :) koleżanka poleciła mi SK ADMIN, ponieważ u niej zrobili wszystko profesjonalnie i sprawnie, ja także mogę ich polecić! link do ich strony: www.outsourcing-iod.pl/

! Odpowiedz
2 0 artur783

Powiem szczerze, że ja miałem problemy z wprowadzeniem u siebie RODO, zupełnie nie wiedziałem jak się za to zabrać żeby wszytko było zgodnie z prawem. Mój znajomy tez ma firmę i polecił mi, żebym zgłosił się do https://przepisy-rodo.pl bo oni zajmują się pomocą we wprowadzaniu nowych zasad ochrony danych osobowych. Tak zrobiłem i bardzo mi pomogli, wytłumaczyli mi jak to wszystko działa i co trzeba zrobić.

Pokaż cały komentarz ! Odpowiedz
2 0 (usunięty)

(wiadomość usunięta przez moderatora)

! Odpowiedz
11 0 mori

Tyle się mówi o bezpieczeństwie danych, ich szyfrowanie jest coraz łatwiejsze - bo dostępne są takie aplikacje jak usecryptSafe, a jednak takie wycieki danych się zdarzają. Czy to dane klientów czy dane dotyczące bezpieczeństwa. To nieudolność czy lekkomyślność? Dobrze że wchodzi RODO, dane osobowe będą bezpieczniejsze.

Pokaż cały komentarz ! Odpowiedz
12 5 aligru

A mnie się wydaje, że nadszedł wreszcie czas na przeprowadzenie bardzo dużych zmian w prawie o ochronie danych. Mało to się słyszy o wyciekach w ogromnych firmach? Nam się wydaje, że to nic nie znaczące incydenty, a prawda jest taka, że gdyby tak było, to żaden haker nie bawiłby się w takie rzeczy. Polecam w ogóle zapoznać się z tym, jak RODO poprawi sytuację konsumentów. Tu jest całkiem fajny poradnik https://qradar.pl/e-book/

Pokaż cały komentarz ! Odpowiedz
3 64 karbinadel

"Rozporządzenie nie określa konkretnych narzędzi, jakie należy wprowadzić w celu zabezpieczenia przechowywania danych osobowych. Działania, jakie podejmie firma, zależą wyłącznie od niej" - czyli znowu o interpretacji będzie decydował urzędas, a najbardziej obłowią się "eksperci", doradcy i inne pasożyty

! Odpowiedz
5 12 specjalnie_zarejstrowany1

Bedzie jak z kryptowalutami - jedni juz Cie pietnuja ze to nielegalne a drudzy doradzaja jak od tego zaplacic podatek :D

! Odpowiedz
45 22 eltor

"Czasu na wprowadzenie zmian nie zostało wiele, a brak ich wdrożenia grozi wielomilionowymi karami."

Miał rację minister poprzedniego rządu, mówiąc że Polska istnieje tylko teoretycznie. Co to za niepodległy kraj, co nad własnym prawodawstwem kontroli nie ma, a wprowadza prawa narzucone przez obcych "pod groźbą kary"

Pokaż cały komentarz ! Odpowiedz
15 50 karbinadel

Akurat regulacje, które zwiększają biurokrację oraz pozwalają na nakładanie wysokich kar, nasza władza wprowadza bardzo chętnie. Poza tym, prawa nie są "narzucone przez obcych", bo każdy kraj przystępujący do UE zobowiązuje się do ujednolicania przepisów w konkretnym zakresie

! Odpowiedz

Kalendarium przedsiębiorcy

  • Podatnicy podatku akcyzowego rozliczają akcyzę.

    Rozliczenie podatku od towarów i usług za poprzedni miesiąc - VAT 7.

Kalkulator płacowy

Oblicz wysokość pensji netto, należne składki oraz podatek.