LexDigital

9 zasad RODO - nowe podejście do ochrony danych osobowych

Rozporządzenie o ochronie danych osobowych (RODO) zacznie obowiązywać od 25 maja tego roku. Wprowadzi szereg zmian do już istniejących przepisów, ale również nowe rozwiązania mające na celu zwiększenie ochrony danych osobowych.

9 zasad RODO - nowe podejście do ochrony danych osobowych

Unijne rozporządzenie o ochronie danych osobowych ma na celu ujednolicić zróżnicowane zasady dotyczące przetwarzania danych między poszczególnymi państwami członkowskimi. Przygotowywana ustawa o ochronie danych osobowych będzie regulowała kwestie, w których RODO pozostawiło swobodę państwom członkowskim.

Rozporządzenie nie mówi wprost, w jaki sposób należy stosować przepisy i jak je wdrożyć. RODO daje administratorom danych osobowych dużą swobodę w działaniu. Samodzielność ma swoje dobre i złe strony. Administratorzy danych osobowych sami decydują o doborze odpowiednich zabezpieczeń i działaniu z danymi osobowymi. Wiąże się  to jednak z ryzykiem naruszenia danych i co za tym idzie ogromnymi stratami wizerunkowymi i finansowymi. 

Sprawdź, co się zmieni i na co zwrócić szczególną uwagę.

9 najważniejszych zasad RODO

1. Wyznaczenie inspektora ochrony danych (art. 37-39 RODO)

Inspektor ochrony danych będzie odpowiednikiem obecnego administratora bezpieczeństwa informacji. W obecnym porządku prawnym nie ma obowiązku powoływania ABI. Od 25 maja, niektóre podmioty będą zmuszone zatrudnić osobę pełniącą funkcję IOD. Rozporządzenie o ochronie danych osobowych w art. 37 jasno precyzuje sytuacje, kiedy administrator danych osobowych będzie musiał wyznaczyć inspektora. Kandydat na to stanowisko będzie musiał wykazać, że posiada wiedzę specjalistyczną w zakresie ochrony danych oraz doświadczenie w tej dziedzinie. IOD może być pracownikiem podmiotu przetwarzającego dane lub wykonywać zadania na podstawie umowy outsourcingowej.

2. Obowiązek informacyjny (art. 12-14 RODO)

Unijne rozporządzenie rozszerza katalog informacji, jakie administratorzy danych osobowych będą musieli udostępnić osobom, których dane pobierają i przetwarzają. Rozporządzenie nakazuje, aby obowiązek został przedstawiony w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Ważne, żeby został napisany jasnym i prostym językiem, szczególnie jeśli informacje kierowane są do dziecka.

Osoba, której dane dotyczą będzie miała prawo uzyskać informacje na temat przetwarzania jej danych. Administrator danych będzie zobowiązany, bez zbędnej zwłoki, najpóźniej w ciągu miesiąca, odpowiedzieć wnioskodawcy.

3. Nowe prawa obywateli (art. 15-21 RODO)

Rozporządzenie o ochronie danych osobowych przyznaje osobom, których dane są przetwarzane rozszerzone uprawnienia. Wiąże się to z dodatkowymi zadaniami nałożonymi na administratorów danych osobowych.

Prawa osób, których dane dotyczą:

  • prawo dostępu przysługujące osobie, której dane dotyczą,
  • prawo do sprostowania danych,
  • prawo do usunięcia danych („prawo do bycia zapomnianym”),
  • prawo do ograniczenia przetwarzania,
  • prawo do przenoszenia danych,
  • prawo do sprzeciwu.

Na szczególną uwagę zasługuje prawo do bycia zapomnianym, które nakłada na administratora obowiązek usunięcia danych osobowych w całości z jego systemu. W przypadku Internetu, oznacza to, że usunięte muszą zostać również wszelkie linki, kopie i repliki danych, nawet jeśli są one w posiadaniu innych podmiotów przetwarzających te dane w jego imieniu.

4. Rejestrowanie czynności przetwarzania (art. 30 RODO)

Administrator danych osobowych będzie miał obowiązek prowadzić rejestr czynności przetwarzania. Natomiast w przypadku procesorów, będzie istniała konieczność prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu ADO.

Nowy obowiązek będzie spoczywał na większości administratorów danych osobowych i podmiotów przetwarzających dane. Takie rejestry będą musiały prowadzić podmioty które:

  • zatrudniają powyżej 250 pracowników,
  • przetwarzają szczególne kategorie danych (dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby),
  • przetwarzają dane w sposób, który narusza lub może naruszać prawa i wolności osób, których dane dotyczą,
  • przetwarzają dane w sposób ciągły, czyli nie mają charakteru sporadycznego,
  • przetwarzają wyroki skazujące lub informacje o naruszeniu przepisów prawa.

5. Zgoda (art. 7 RODO)

Administrator danych osobowych musi wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie danych osobowych. Rozporządzenie nakazuje, iż zgoda musi być wyrażona konkretnemu podmiotowi. Oświadczenie zgody musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii. Ważne, aby było przygotowane w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Osoba, której dane dotyczą, musi mieć zapewnione prawo do wycofania zgody w tak samo łatwy sposób, jak doszło do jej wyrażenia.

6. Ocena skutków dla ochrony danych (art. 35 RODO)

Kolejnym, nowym obowiązkiem spoczywającym na administratorze danych osobowych, które nakłada rozporządzenie o ochronie danych osobowych, jest przeprowadzenie oceny skutków dla ochrony danych (DPIA). RODO wymaga, aby przedsiębiorcy przetwarzający dane osobowe, przeprowadzili analizy wpływu działań na danych osobowych na ryzyko naruszenia praw osób, których dotyczą. Przeprowadzenie oceny będzie konieczne w dwóch przypadkach: stwierdzenia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych oraz kiedy zadecyduje o tym organ nadzorczy (Prezes Urzędu Ochrony Danych Osobowych – obecnie GIODO).

7. Ograniczone profilowanie (art. 22 RODO)

Rozporządzenie reguluje zasady dotyczące zautomatyzowanego podejmowania decyzji. Głównie chodzi o profilowanie, które wg art. 4 pkt. 4 RODO oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych. Polega to na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej. Wykorzystywane w szczególności do analizy lub prognozy efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Rozporządzenie o ochronie danych osobowych uwzględnia możliwość profilowania w 3 przypadkach:

  • jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem,
  • wynika z przepisów prawa,
  • osoba, której dane dotyczą wyraziła na to zgodę.

8. Zgłoszenie naruszeń (art. 33 RODO)

Administrator danych będzie miał obowiązek zgłosić naruszenie ochrony danych osobowych do właściwego organu nadzorczego. Rozporządzenie o ochronie danych osobowych przewiduje na to 72 godziny od stwierdzenia naruszenia. Obowiązek nie powstaje w przypadku, kiedy istnieje małe prawdopodobieństwo, że incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. W przeciwnym razie, ADO będzie musiał powiadomić nie tylko organ nadzorczy, ale również wszystkie osoby, których dane dotyczą. Administrator danych samodzielnie będzie musiał ocenić, czy naruszenie powinno zostać zgłoszone.

9. Kary za niewłaściwe przetwarzanie danych osobowych (art. 83 RODO)

Naruszenie przepisów o ochronie danych osobowych to straty wizerunkowe, ale również finansowe. Obecne przepisy umożliwiają nałożenie na przedsiębiorców jednorazowej grzywny nieprzekraczającej 50 tys. zł. Rozporządzenie o ochronie danych osobowych przewiduje kary nawet do 20 milionów euro bądź 4 proc. obrotu światowego w związku z wyciekiem bądź incydentem związanym z danymi osobowymi. Kary pieniężne w każdym przypadku mają być odstraszające, proporcjonalne i skuteczne. Będą zależały od charakteru, wagi i czasu trwania naruszenia oraz innych czynników takich jak np. próba zminimalizowania ryzyka.

RODO to największa reforma w ochronie danych osobowych od prawie 20 lat. Ilość zmian oraz nowych obowiązków, jakie RODO nakłada na administratorów danych osobowych, wymaga całościowej zmiany w podejściu do ochrony danych osobowych w organizacji. Tylko w taki sposób, zapewnią sobie gotowość, aby funkcjonować w nowej rzeczywistości prawnej.


Sprawdź również:


Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.