2018-04-14

RODO – Rozporządzenie o Ochronie Danych Osobowych

rodo

Akt prawny który wszedł w życie 24 maja 2016 r. i będzie obowiązywał od 25 maja 2018 roku. RODO określa zasady przechowywania danych osobowych ich przetwarzania oraz wykorzystywania. Ustawa wprowadza nowe obowiązki, ale również dotkliwe sankcje finansowe.

  1. Kogo dotyczy RODO
    Rozporządzenie określa podmioty, których nie dotyczą postanowienia RODO:
    osoby fizyczne, które przetwarzają dane osobowe dla celów osobistych
    nie stosuje się przy przetwarzaniu danych osobowych w zakresie nieobjętym prawem unijnym
    nie dotyczy danych przetwarzanych przez instytucje unijne lub dyplomatyczne
    nie stosuje się przy przetwarzaniu danych zgromadzonych w celu zapobiegania, wykrywania ścigania przestępczości oraz wykonywania zasądzonych kar
  2. Prawa właściciela danych osobowych
    Obowiązkiem administratora danych osobowych według Rozporządzenia, jest dostosowanie systemów informatycznych. Administrator zobowiązany jest na każde żądanie osoby, której dane dotyczą, do:
    całkowitego usunięcia jej danych osobowych
    przeniesienia danych do wskazanego podmiotu
    udzielenia pełnych informacji o danych osobowych tej osobie, której dane dotyczą
    udzielenia wyczerpującej odpowiedzi na ewentualne pytania, w terminie 30 dni

Prawo do sprostowania
Rozporządzenie daje prawo wglądu do swoich danych osobowych. Zgodę na przetwarzanie danych osobowych można będzie:
cofnąć
ograniczyć
zmienić

Rozporządzenie wprowadza:
prawo do całkowitego usunięcia danych osobowych
prawo do przenoszenia danych osobowych do innego podmiotu
prawo do informacji
prawo do przeglądania swoich danych osobowych
prawo do sprzeciwu

  1. Obowiązek zgłaszania naruszeń
    72 godziny od zdarzenia, które z dużym prawdopodobieństwem może spowodować naruszenie praw i swobód osoby, której dotyczą, należy zawiadomić właściwy organu nadzoru. Można również powiadomić o zaistniuałej sytuacji osobę, której prawa zostały zagrożone naruszeniem.
  2. Odpowiedzialność przetwarzającego dane
    Podmioty przetwarzające dane osobowe są zobowiązane do oceny ryzyk związanych z przetwarzaniem danych, w szczególności z użyciem systemów informatycznych. Oznacza to konieczność oceny całokształtu zagrożeń wynikających z przetwarzania danych osobowych, oraz podjęcia czynności organizacyjnych aby zminimalizować zagrożenie. Podmioty muszą ocenić i wykazać, że przyjęte rozwiązania są wystarczające. Na podmiotach ciąży obowiązek przeszkolenia pracowników w zakresie ochrony danych osobowych, procedur, zasad. Działania te mają na celu zgodność działań podmiotu z Rozporządzeniem. Konieczne będzie poszerzenie klauzul dotyczących zgody na przetwarzanie danych osobowych o nowe przepisy, a zwłaszcza o obowiązek informacyjny. Za nieprzestrzeganie postanowień Rozporządzenia, odpowiedzialność ponosi przetwarzający dane. Przedsiębiorca może powołać Inspektora Ochrony Danych Osobowych, lub wykonywać te obowiązki poprzez firmę zewnętrzną, ale nie zwalniago to z odpowiedzialności Administratora danych osobowych.
  3. Kary finansowe
    10 mln Euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa
    20 mln Euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa
    100 tys zł kary administracyjnej, za naruszenia spowodowane przez administrację państwową

Kary te mają być nakładane proporcjonalnie, w zależności od wielkości naruszenia przepisów. Uprawniony do kontroli organ PIODO – Polski Inspektor Ochrony Danych Osobowych, będzie zwracał uwagę min. na:
jakich danych osobowych, to naruszenie dotyczy
działania, podjęte przez administratora
umyślność lub nieumyślność naruszenia
czas trwania, wagę i charakter

  1. Podstawa przetwarzania danych
    Przed rozpoczęciem przetwarzania danych osobowych należy:
    określić czy są i jakie są podstawy prawne do przetwarzania danych
    uzyskać dobrowolną zgodę podmiotu na rozpoczęcie przetwarzania danych osobowych
    oświadczenia i zgody muszą być czytelne i zrozumiałe
  2. Data Privacy Impact Assessment (DPIA)
    DPIA ? określenie zakresu ryzyka wiążące się z przetwarzaniem danych osobowych. Administrator danych osobowych musi podjąć adekwatne do ryzyka środki mające na celu zapobieżenie ryzyku.
  3. Przekazywanie danych poza EOG
    Obowiązkiem Administratora jest posiadanie wiedzy, czy przetwarzane dane będą użytkowane poza Europejskim Obszarem Gospodarczym oraz ustalenie podstaw do transferu danych poza EOG, przy jednoczesnym dopasowaniu procedur w tym zakresie do wymogów Rozporządzenia.
  4. Rejestry
    RODO narzuca obowiązek prowadzenia wewnętrznych rejestrów przetwarzania danych osobowych przez Administratorów, zawierających m.in.:
    informacje o przyczynach przetwarzania danych
    odbiorców danych
    kategorie podmiotów
    rejestry naruszeń
    rejestry transferów międzynarodowych
    rejestry zgód na przetwarzanie danych
  5. Pseudonimizacja
    Pseudonimizacja ? metoda służąca podniesieniu bezpieczeństwa danych osobowych, polegająca na takim przetwarzaniu danych osobowych ,by nie można ich było przypisać osobie, której dane dotyczą, chyba że za pomocą dodatkowych informacji, oznaczników itp.
  6. Profilowanie
    Profilowanie – przetwarzania danych osobowych, do analiz, prognoz, badań.
  7. Dane osobowe osób małoletnich
    Dane osób małoletnich podlegają szczególnej ochronie. Informacje muszą być formułowane w jasny, zrozumiały dla osoby małoletniej sposób. Do ukończenia 16 lat zgodę na przetwarzanie danych udzielają rodzice lub prawni opiekunowie.
  8. PUODO
    Organ: PUODO, Prezes Urzędu Ochrony Danych Osobowych.

Masz pytania? Zostaw nam wiadomość

Wypełnij formularz – odpowiemy najszybciej jak będzie to możliwe!