510 836 512

rodo@jhcadwokaci.pl
follow us
dodaj opinię

Artykuły i porady

RODO – zwięzły poradnik dla przedsiębiorcy

RODO – zwięzły poradnik dla przedsiębiorcy

  • 19 września 2018
  • Anna Sowa
  • Możliwość komentowania RODO – zwięzły poradnik dla przedsiębiorcy została wyłączona

Czym jest RODO?

RODO to rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku, w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Kiedy Rozporządzenie zacznie obowiązywać?

Od dnia 25 maja 2018 roku będą miały zastosowanie nowe przepisy wprowadzone rozporządzeniem.

Kogo dotyczą nowe przepisy?

Przepisy rozporządzenia odnoszą się do wszystkich podmiotów, prowadzących działalność na terenie Unii Europejskiej, które przetwarzają dane osób fizycznych (sklepy stacjonarne, biura podróży, salony kosmetyczne, biura księgowe, sklepy internetowe). Forma prawna działalności nie ma znaczenia, RODO obejmuje spółki, jednoosobowe działalności gospodarcze, a nawet oddziały znajdujących się na terenie Unii Europejskiej.

Kiedy rozpocząć proces wdrożenia RODO?

Całość przepisów znajdziemy w treści rozporządzenia, nie trzeba więc czekać na polska ustawę o ochronie danych osobowych. Proces wdrożenia należy rozpocząć jak najszybciej.

Czym są dane osobowe?
Dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Czym jest przetwarzanie danych osobowych?

Przetwarzanie oznacza operację wykonywaną na danych osobowych, jest to m.in. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Kiedy można przetwarzać dane osobowe?

Dane osobowe przetwarzamy gdy posiadamy zgodę osoby, której dane dotyczą, gdy przetwarzanie jest niezbędne do wykonania umowy, wypełnienia obowiązku prawnego ciążącego na administratorze, bądź do wypełniania celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez osobę trzecią.

Czym jest obowiązek informacyjny?

Osoba, której dane dotyczą, ma prawo do rzetelnej informacji na temat przetwarzania danych osobowych. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. Ponadto wszelkie informacje, zgodnie z zasadą przejrzystości mają być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.

Kim jest administrator danych?

Administrator jest organem, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Odpowiada on za naruszenie przepisów o ochronie danych osobowych.

Kim jest podmiot przetwarzający?

Podmiot przetwarzający to osoba fizyczna lub prawna, organ publiczny, jednostka organizacyjna lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Czym jest umowa powierzenia?
Podmiot przetwarzający działa na podstawie umowy z administratorem danych, nazwanej umową powierzenia, w której powinny zostać określone zasady przetwarzania danych. Na administratorze danych ciąży obowiązek wyboru takiego podmiotu, który gwarantuje odpowiednia ochronę danych osobowych.

Co dalej z Administratorem Bezpieczeństwa Informacji (ABI)?

ABI przekształci się w Inspektora Ochrony Danych (IOD). Powołanie go przez administratora danych albo podmiot przetwarzający jest obligatoryjne w ściśle określonych przypadkach.

Kiedy należy powołać Inspektora Ochrony Danych?

Przypadki, w których wyznaczenia IOD’a, jest obowiązkowe, zostały ściśle określone w przepisach rozporządzenia. Np. w sytuacji gdy główna działalność administratora danych lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

RODO a GIODO.

Generalnego Inspektora Ochrony Danych Osobowych (GIODO) zastąpi Prezes Urzędu Ochrony Danych Osobowych (UODO). Zmieni się nie tylko nazwa tego organu, ale także zwiększy się zakres jego obowiązków.

Czy jest minimalizacja danych osobowych?

Zasada minimalizacji oznacza przetwarzanie wyłącznie takich danych osobowych, które są niezbędne da osiągnięcia celu przetwarzania. Ilość danych osobowych powinna być ograniczona.

Jak długo mogę przetwarzać dane osobowe?

W zależności od podstawy prawnej przetwarzania, do momentu cofnięcia zgody, lub czasu koniecznego do wykonania umowy. Okres przetwarzania danych osobowych powinien obejmować również czas odpowiadający okresowi przedawnienia roszczeń.

Jak zabezpieczyć dane osobowe?

Rozporządzenie nie określa żadnych konkretnych środków zabezpieczenia danych osobowych, wskazuje jedynie, iż administrator, czy podmiot przetwarzający sam powinien dostosować środki zabezpieczające w zależności od zakresu, celu przetwarzania, ryzyka naruszenia danych osobowych, czy kosztów wdrożenia środków technicznych i organizacyjnych.

Czy zachować istniejącą dokumentację ochrony danych osobowych?

Rozporządzenie wielokrotnie odwołuje się do polityki ochrony danych. Istniejąca polityka bezpieczeństwa czy instrukcja zarządzania systemem informatycznym powinny być dalej stosowane po ich dostosowaniu do przepisów RODO.

Czym jest rejestr czynności przetwarzania?

Rejestr czynności przetwarzania jest jednym z obowiązkowych dokumentów dotyczących ochrony danych osobowych. Obowiązek prowadzenia rejestru dotyczy zarówno administratora jak i podmiotu przetwarzającego. Rejestr powinien zawierać dane administratora oraz IOD’a, cele przetwarzania, opis kategorii osób, oraz danych, kategorie odbiorców, planowany termin usunięcia danych, czy opis środków technicznych i organizacyjnych bezpieczeństwa danych osobowych.

RODO a zbiory danych.

Zbiory danych, od momentu rozpoczęcia stosowania nowych przepisów wprowadzonych rozporządzeniem nie będą podlegały rejestracji, a rejestr zbiorów danych zostanie zlikwidowany.

Jak przygotować się do stosowania przepisów RODO?

Przygotowując się do stosowania przepisów rozporządzenia należy sporządzić dokumentację, a także opracować środki techniczne i organizacyjne, które będą chronić przetwarzane dane osobowe. RODO nie daje gotowych rozwiązań, każdy podmiot sam powinien wypracować procedury oparte na zasadzie ryzyka i w ten sposób aby wykazać prawidłową ochronę danych osobowych.

Co zrobić gdy ochrona danych osobowych zostanie naruszona?

O naruszeniu ochrony danych osobowych, zwanym incydentem bezpieczeństwa, należy poinformować organ nadzorczy, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. W przypadku wysokiego ryzyka naruszenia praw i wolności, należy poinformować również osobę, której dane dotyczą.

Jak wysokie są kary za rażące naruszenie przepisów ochrony danych osobowych?

Za rażące naruszenie przepisów ochrony danych osobowych rozporządzenie przewiduje karę pieniężną w wysokości do 20.000.000,00 EUR, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Niższe kary do 10.000.000,00 EUR lub do 2%, przewidziane są w sprawach mniejszej wagi. Każdy przypadek naruszenia przepisów będzie rozpatrywany indywidualnie, brana będzie pod uwagę sala naruszeń, umyślny lub nieumyślny charakter naruszenia, kategoria danych osobowych, podjęte działania w celu zminimalizowania szkody, czy stopień współpracy z organem nadzorczym.

Tagi: , , ,