2018-04-14

RODO – Rozporządzenie o Ochronie Danych Osobowych

rodo

Akt prawny który wszedł w życie 24 maja 2016 r. i będzie obowiązywał od 25 maja 2018 roku. RODO określa zasady przechowywania danych osobowych ich przetwarzania oraz wykorzystywania. Ustawa wprowadza nowe obowiązki, ale również dotkliwe sankcje finansowe.

 1. Kogo dotyczy RODO
  Rozporządzenie określa podmioty, których nie dotyczą postanowienia RODO:
  osoby fizyczne, które przetwarzają dane osobowe dla celów osobistych
  nie stosuje się przy przetwarzaniu danych osobowych w zakresie nieobjętym prawem unijnym
  nie dotyczy danych przetwarzanych przez instytucje unijne lub dyplomatyczne
  nie stosuje się przy przetwarzaniu danych zgromadzonych w celu zapobiegania, wykrywania ścigania przestępczości oraz wykonywania zasądzonych kar
 2. Prawa właściciela danych osobowych
  Obowiązkiem administratora danych osobowych według Rozporządzenia, jest dostosowanie systemów informatycznych. Administrator zobowiązany jest na każde żądanie osoby, której dane dotyczą, do:
  całkowitego usunięcia jej danych osobowych
  przeniesienia danych do wskazanego podmiotu
  udzielenia pełnych informacji o danych osobowych tej osobie, której dane dotyczą
  udzielenia wyczerpującej odpowiedzi na ewentualne pytania, w terminie 30 dni

Prawo do sprostowania
Rozporządzenie daje prawo wglądu do swoich danych osobowych. Zgodę na przetwarzanie danych osobowych można będzie:
cofnąć
ograniczyć
zmienić

Rozporządzenie wprowadza:
prawo do całkowitego usunięcia danych osobowych
prawo do przenoszenia danych osobowych do innego podmiotu
prawo do informacji
prawo do przeglądania swoich danych osobowych
prawo do sprzeciwu

 1. Obowiązek zgłaszania naruszeń
  72 godziny od zdarzenia, które z dużym prawdopodobieństwem może spowodować naruszenie praw i swobód osoby, której dotyczą, należy zawiadomić właściwy organu nadzoru. Można również powiadomić o zaistniuałej sytuacji osobę, której prawa zostały zagrożone naruszeniem.
 2. Odpowiedzialność przetwarzającego dane
  Podmioty przetwarzające dane osobowe są zobowiązane do oceny ryzyk związanych z przetwarzaniem danych, w szczególności z użyciem systemów informatycznych. Oznacza to konieczność oceny całokształtu zagrożeń wynikających z przetwarzania danych osobowych, oraz podjęcia czynności organizacyjnych aby zminimalizować zagrożenie. Podmioty muszą ocenić i wykazać, że przyjęte rozwiązania są wystarczające. Na podmiotach ciąży obowiązek przeszkolenia pracowników w zakresie ochrony danych osobowych, procedur, zasad. Działania te mają na celu zgodność działań podmiotu z Rozporządzeniem. Konieczne będzie poszerzenie klauzul dotyczących zgody na przetwarzanie danych osobowych o nowe przepisy, a zwłaszcza o obowiązek informacyjny. Za nieprzestrzeganie postanowień Rozporządzenia, odpowiedzialność ponosi przetwarzający dane. Przedsiębiorca może powołać Inspektora Ochrony Danych Osobowych, lub wykonywać te obowiązki poprzez firmę zewnętrzną, ale nie zwalniago to z odpowiedzialności Administratora danych osobowych.
 3. Kary finansowe
  10 mln Euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa
  20 mln Euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa
  100 tys zł kary administracyjnej, za naruszenia spowodowane przez administrację państwową

Kary te mają być nakładane proporcjonalnie, w zależności od wielkości naruszenia przepisów. Uprawniony do kontroli organ PIODO – Polski Inspektor Ochrony Danych Osobowych, będzie zwracał uwagę min. na:
jakich danych osobowych, to naruszenie dotyczy
działania, podjęte przez administratora
umyślność lub nieumyślność naruszenia
czas trwania, wagę i charakter

 1. Podstawa przetwarzania danych
  Przed rozpoczęciem przetwarzania danych osobowych należy:
  określić czy są i jakie są podstawy prawne do przetwarzania danych
  uzyskać dobrowolną zgodę podmiotu na rozpoczęcie przetwarzania danych osobowych
  oświadczenia i zgody muszą być czytelne i zrozumiałe
 2. Data Privacy Impact Assessment (DPIA)
  DPIA ? określenie zakresu ryzyka wiążące się z przetwarzaniem danych osobowych. Administrator danych osobowych musi podjąć adekwatne do ryzyka środki mające na celu zapobieżenie ryzyku.
 3. Przekazywanie danych poza EOG
  Obowiązkiem Administratora jest posiadanie wiedzy, czy przetwarzane dane będą użytkowane poza Europejskim Obszarem Gospodarczym oraz ustalenie podstaw do transferu danych poza EOG, przy jednoczesnym dopasowaniu procedur w tym zakresie do wymogów Rozporządzenia.
 4. Rejestry
  RODO narzuca obowiązek prowadzenia wewnętrznych rejestrów przetwarzania danych osobowych przez Administratorów, zawierających m.in.:
  informacje o przyczynach przetwarzania danych
  odbiorców danych
  kategorie podmiotów
  rejestry naruszeń
  rejestry transferów międzynarodowych
  rejestry zgód na przetwarzanie danych
 5. Pseudonimizacja
  Pseudonimizacja ? metoda służąca podniesieniu bezpieczeństwa danych osobowych, polegająca na takim przetwarzaniu danych osobowych ,by nie można ich było przypisać osobie, której dane dotyczą, chyba że za pomocą dodatkowych informacji, oznaczników itp.
 6. Profilowanie
  Profilowanie – przetwarzania danych osobowych, do analiz, prognoz, badań.
 7. Dane osobowe osób małoletnich
  Dane osób małoletnich podlegają szczególnej ochronie. Informacje muszą być formułowane w jasny, zrozumiały dla osoby małoletniej sposób. Do ukończenia 16 lat zgodę na przetwarzanie danych udzielają rodzice lub prawni opiekunowie.
 8. PUODO
  Organ: PUODO, Prezes Urzędu Ochrony Danych Osobowych.

Masz pytania? Zostaw nam wiadomość

Wypełnij formularz – odpowiemy najszybciej jak będzie to możliwe!