RODO, czyli ochrona danych 2.0. Nowe unijne przepisy oznaczają trudności dla przedsiębiorców
RODO, czyli Rozporządzenie o Ochronie Danych Osobowych to gorący temat. Wchodzi w życie już 25 maja 2018 i do tego czasu każdy powinien być już na nowe przepisy gotowy. I to dotyczy każdej, nawet najmniejszej firmy. W końcu każda firma ma Klientów, więc przetwarza ich dane.
Zmiany, jakie do tego czasu muszą wprowadzić firmy w krajach członkowskich są poważne, a w powietrzu wisi widmo wielomilionowych kar.
Jeśli jesteście zainteresowani tym tematem to zachęcamy do kontaktu z nami oraz do przeczytania poniższego artykułu
1. KOGO NIE DOTYCZY RODO
Patrząc jedynie na kategorie przedsiębiorców, można stwierdzić, że RODO ma zastosowanie dla każdego. Jednak Rozporządzenie wyróżnia grupy podmiotów, których zakres RODO nie dotyczy. Są to między innymi osoby fizyczne, które w działalności czysto osobistej lub domowej, bez związku z działalnością zawodową lub handlową przetwarzają dane osobowe (na przykład przechowywanie danych adresowych, czy korespondencji prowadzonej z grupą znajomych). Rozporządzenie nie ma również zastosowania do przetwarzania danych osobowych w ramach działalności nieobjętej zakresem prawa Unii (np. kwestie związane z bezpieczeństwem narodowym), a także do działalności związanej z przetwarzaniem danych przez instytucje unijne czy też dyplomatyczne. Przepisów rozporządzenia nie stosuje się również do działalności właściwych organów w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
2. PRAWA PODMIOTU DANYCH
Zadaniem administratora danych osobowych będzie dostosowanie systemów informatycznych tak, aby na każde żądanie osoby, której dane dotyczą, można było między innymi usunąć całkowicie jej dane osobowe, czy przenieść je do innego usługodawcy. Przykładowo, zmieniając placówkę medyczną, możemy żądać, żeby obecny podmiot przetwarzający nasze dane wygenerował plik z wszystkimi naszymi danymi osobowymi, przekazał go nam, a następnie usunął je ze wszystkich swoich nośników, na których przechowuje dane osobowe. Administrator danych będzie miał również obowiązek udzielenia wszelkich informacji na temat danych osobowych osobie, której te dane dotyczą. W przypadku złożenia zapytania przez tę osobę, powstanie obowiązek udzielenia odpowiedzi na zadane pytanie w terminie miesiąca.
3. INSPEKTOR OCHRONY DANYCH (IODO)
RODO tworzy nową funkcję, odpowiedzialną za bezpieczeństwo danych osobowych, ale również za raportowanie naruszeń do organu nadzoru. Część zadań realizowanych przez IODO ulegnie zmianie w porównaniu do tych wykonywanych obecnie przez Administratora Bezpieczeństwa Informacji (ABI), przy czym IODO nadal będzie przede wszystkim wspierać administratorów i podmioty przetwarzające w wykonywaniu przez nich obowiązków. Należy dodatkowo zaznaczyć, że funkcję ABI może pełnić tylko osoba fizyczna powołana przez administratora danych. Natomiast funkcję IODO może pełnić także jednostka organizacyjna powołana zarówno przez administratora, jak i procesora.
4. OBOWIĄZEK ZGŁASZANIA NARUSZEŃ
W ciągu 72 godzin od wykrycia naruszenia mogącego skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone, trzeba zgłosić się do właściwego organu nadzoru (przypuszczalnie będzie to Urząd Ochrony Danych Osobowych). Warto podkreślić, że należy zgłaszać takie naruszenia, które z dużym prawdopodobieństwem powodują naruszenie praw i wolności osób, których dane dotyczą. Istnieje również możliwość zgłoszenia tej informacji do konkretnej osoby, której prawa i wolności zostały zagrożone naruszeniem.
5. BEZPOŚREDNIA ODPOWIEDZIALNOŚĆ PRZETWARZAJĄCEGO DANE
Za nieprzestrzeganie postanowień RODO, przetwarzający dane będzie ponosił bezpośrednią odpowiedzialność. Powołanie Inspektora Ochrony Danych Osobowych, czy wynajęcie firmy zewnętrznej w tym obszarze, nie zwalnia z tej odpowiedzialności. Oczywiście nadal powierzenie przetwarzania danych osobowych osobie trzeciej nie będzie zwalniało z odpowiedzialności administratora danych osobowych, czyli w sytuacji, gdy nasz podwykonawca (np. podmiot, któremu powierzyliśmy przetwarzanie danych w chmurze) nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełną odpowiedzialność za niewywiązanie się z obowiązków spoczywać będzie na nas, przy czym odpowiedzialność ta ma charakter solidarny. Dodatkowo, tworzenie umów o powierzeniu przetwarzania będzie podlegało wymogom bardziej restrykcyjnym niż ma to miejsce dotychczas, RODO szczegółowo wskazuje bowiem, jaka powinna być zawartość umowy o powierzeniu, kiedy można powierzyć dalszemu podwykonawcy (podpowierzenie), tj. za zgodą administratora danych osobowych. Każdy przedsiębiorca, który przetwarza dane osobowe, musi się zatem liczyć z nowymi zasadami i obowiązkami i powinien dobrze przygotować się do wdrożenia RODO. W przypadku przedsiębiorców zatrudniających powyżej 250 pracowników, w myśl zasady proporcjonalności, obowiązki będą jednak wyższe, np. konieczność rejestrowania każdej czynności z zakresu przetwarzania danych osobowych, np. usunięcie danych, udostępnienie danych itd. powinno zostać zarejestrowane przez administratora danych.
6. KARY FINANSOWE
– 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa
– 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa
– 100 tysięcy złotych kary administracyjnej, za naruszenia spowodowane przez administrację publiczną (według projektu z dnia 13.09.2017 roku ustawy o ochronie danych osobowych)
W RODO podany jest jedynie maksymalny wymiar kary. Należy mieć na uwadze, że kary te będą nakładane proporcjonalnie, w zależności od skali naruszenia przepisów.
7. REJESTR DOTYCZĄCY PRZETWARZANIA DANYCH
W RODO nie ma prawnego obowiązku rejestracji zbiorów danych osobowych. Obowiązek dotyczy jedynie prowadzenia wewnętrznych rejestrów. Kontrolujący i przetwarzający dane, będą zobowiązani do tworzenia i utrzymywania rejestrów, które zawierać mają, m. in: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń, incydentów, rozwój
i utrzymanie zasad ochrony prywatności dla każdej linii produktowej, przechowywanie potwierdzonych zgód na przetwarzanie danych itd.
źródło: http://prawo.gazetaprawna.pl
Materiały Prasowe
Artur Piechocki, radca prawny w APLaw
