Co to jest RODO?



Jak wszyscy wiemy, od 25 maja 2018 r. obowiązuje ogólne rozporządzenie o ochronie danych osobowych tzw. RODO czy GDPR (General Data Protection Regulation). Regulacja ta ma na celu ujednolicenia przepisów na terenie całej Unii Europejskiej. Zamierzeniem ustawodawców było podkreślenie, że ochrona danych osobowych stanowi główne i bezsprzeczne prawo każdego obywatela. Za pomocą wprowadzonej większej transparentności danych oraz szeregu istotnych regulacji, RODO będzie skutecznie chronić interesy osób fizycznych. RODO jest skierowane do wszystkich podmiotów, które gromadzą lub wykorzystują dane osobowe osób fizycznych.

Kogo dotyczy RODO?

RODO nie określa dokładnie, kogo dotyczą wprowadzane przepisy, ale wskazuje, do kogo się one nie odnoszą. Można jednak powiedzieć, że obowiązek zastosowania się do RODO mają wszystkie firmy, urzędy, szkoły, organizacje pozarządowe (i nie tylko!) które zbierają, a później wykorzystują dane dotyczące osób fizycznych. Najczęściej dotyczy to danych osobowych pracowników oraz kontrahentów. Przepisy rozporządzenia będą również stosowane przez duże korporacje, jednoosobowe firmy, czy sklepy internetowe.

Nowa regulacja nie dotyczy osób zmarłych, danych statystycznych oraz osób, które przetwarzają dane osobowe w celach osobistych.

Poniżej największe zmiany wynikające z RODO:

10 największych zmian RODO

1.   ODPOWIEDZIALNOŚĆ ZA PRZETWARZANIE DANYCH

Podmioty, które przetwarzają dane osobowe, będą ponosić bezpośrednią odpowiedzialność za przetwarzanie danych (w tym również za złamanie zapisów ustawy). Szczególne znaczenie odzwierciedla się w sytuacji np. kiedy przetwarzaniem danych w konkretnej firmie zajmuje się zewnętrzny podmiot, a nie stworzona do tego celu wewnętrzna komórka.

Powołanie Inspektora Ochrony Danych Osobowych, czy wynajęcie zewnętrznej firmy, nie zwolni przetwarzającego z odpowiedzialności. W związku z czym, każdy prezes, dyrektor, wójt, burmistrz, prezydent miasta powinien dobrze przygotować i wdrożyć procedury RODO. Szef organizacji odpowiada zarówno przed urzędem kontroli, jak i przed sądem cywilnym czy karnym. Nie może przekazywać tej odpowiedzialności na innych pracowników.

2.   ZWIĘKSZENIE PRAW OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE

RODO wprowadza dodatkowe prawa dla osób, których dane są przetwarzane tj.:

  • prawo dostępu do danych,
  • prawo sprostowania, uzupełnienia danych,
  • prawo do bycia zapomnianym,
  • prawo niestosowania marketingu bezpośredniego,
  • prawo niestosowania automatycznego podejmowania decyzji i profilowania,
  • prawo do przenoszenia danych.

3.   ZMIANA STATUSU I ROLI ABI NA IOD

Przed 25 maja 2018 r. nie było obowiązku powoływania Administratora Bezpieczeństwa Informacji (ABI), a RODO zmieniło tą kwestię i Administrator Bezpieczeństwa Informacji zmienił nazwę na Inspektora Ochrony Danych (IOD).

Nowe obowiązki IOD to:

  • rola punktu kontaktowego dla osób, których dane będą przetwarzane w sprawach dotyczących przetwarzania danych osobowych;
  • współpraca z organem nadzorczym tj. UODO.

IOD powinien posiadać wiedzę ekspercką w zakresie ochrony danych osobowych, aby odpowiednio kierować polityką bezpieczeństwa danych w organizacji.

4.   NOWE OBOWIĄZKI ADMINISTRATORA DANYCH

  • wprowadzenie odpowiednich zabezpieczeń przechowywanych danych osobowych;
  • przekazywanie klientom informacji na temat przetwarzania ich danych osobowych, a także pozwolenie na wgląd w zmianach tych danych (obowiązek informacyjny);
  • uzyskanie wyraźnej zgody na przetwarzanie danych osobowych;
  • prowadzenie dokumentacji przetwarzania danych;
  • wprowadzenie zasady privacy by default – która oznacza wprowadzenie takich środków (zarówno technicznych, jak i organizacyjnych) pozwalających na przetwarzanie tylko danych niezbędnych do określonej operacji;
  • zgłoszenie organowi nadzorczemu naruszenia bezpieczeństwa danych w ciągu 72 godzin od zajścia zdarzenia naruszającego bezpieczeństwo danych ( obowiązek notyfikacyjny);
  • przedstawianie dokumentacji na żądanie organu nadzorczego, potwierdzającej przestrzeganie prawa;
  • przechowywanie dokumentów, które potwierdzają, kto wyraził zgodę na przetwarzanie danych osobowych, kiedy oraz w jakim zakresie.

5.   REJESTR CZYNNOŚCI PRZETWARZANIA

Od 25 maja 2018 r. nie ma konieczności zgłaszania do organu nadzorczego zbiorów danych osobowych. Pojawia się za to obowiązek prowadzenia rejestru czynności przetwarzania wewnątrz organizacji w formie elektronicznej i papierowej.

6.   DANE WRAŻLIWE

Pojęcie danych wrażliwych zostały dokładniej określone przez ustawodawcę powiększając zestaw o dane genetyczne i biometryczne.

7.   RAPORTOWANIE NARUSZEŃ

RODO wprowadza obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w ciągu do 72 godzin od naruszenia, bezpośrednio do organu nadzorczego. W niektórych przypadkach istnieje konieczność poinformowania o incydencie konkretne osoby, których dane „wyciekły”. Inspektor Ochrony Danych prowadzi rejestr naruszeń.

8.   ODPOWIEDZIALNOŚĆ FINANSOWA

RODO wprowadza kary finansowe za brak wdrożenia i przestrzegania nowych przepisów dot. ochrony danych osobowych.

W przypadku firm, kary pieniężne wynoszą od 10 do 20 mln euro lub od 2% do 4% wartości rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa.

W przypadku administracji publicznej, wysokość kary przewidywana jest na poziomie 100.000 złotych (ustawa o ochronie danych osobowych z dnia 10 maja 2018 r.).

Kary będą nakładane proporcjonalnie w zależności od skali naruszenia przepisów.

9.   PRZETWARZANIE DANYCH OSOBOWYCH DZIECI

Administrator Danych powinien zapewnić możliwość wyrażenia zgody przez opiekuna prawnego dziecka na wykorzystanie jego danych (w szczególności w usługach świadczonych elektronicznie/Internet) oraz mieć świadomość, że zgoda wyrażona przez dziecko może być nieważna, zwłaszcza jeżeli dotyczy celów marketingowych, czy też aktywności dzieci w mediach społecznościowych.

10.   ZASADA OKREŚLONEGO CELU

Zgodnie z RODO, dane osobowe mogą być pozyskiwane oraz przetwarzane jedynie w konkretnych, prawnie uzasadnionych celach. Zbieranie, gromadzenie oraz przetwarzanie danych w sposób z nimi niezgodny nie jest możliwe. Cel przetwarzania danych musi być konkretny i jasno określony już na etapie ich pozyskiwania, a udzielona przez właściciela zgoda obowiązuje wyłącznie do jednego, konkretnego procesu przetwarzania. Konieczność ponownego przetworzenia danych wiąże się z potrzebą pozyskania kolejnej zgody.



Wspierajmy, to co Polskie PL


BGB -

bgb.com.pl

Ochrona Danych i Bezpieczeństwo Informacji

Copyright © 2019 Wszelkie prawa zastrzezone bgb.com.pl   Code & Design tomek8904

Tekst oryginalny


Tekst oryginalny