LexDigital

9 najważniejszych zasad RODO czyli nowe podejście do ochrony danych osobowych

Rozporządzenie o ochronie danych osobowych (RODO) zacznie obowiązywać od 25 maja tego roku. Wprowadzi szereg zmian do już istniejących przepisów, ale również nowe rozwiązania mające na celu zwiększenie ochrony danych osobowych.

9 najważniejszych zasad RODO czyli nowe podejście do ochrony danych osobowych

Unijne rozporządzenie o ochronie danych osobowych ma na celu ujednolicić zróżnicowane zasady dotyczące przetwarzania danych między poszczególnymi państwami członkowskimi. Przygotowywana ustawa o ochronie danych osobowych będzie regulowała kwestie, w których RODO pozostawiło swobodę państwom członkowskim.

Rozporządzenie nie mówi wprost, w jaki sposób należy stosować przepisy i jak je wdrożyć. RODO daje administratorom danych osobowych dużą swobodę w działaniu. Samodzielność ma swoje dobre i złe strony. Administratorzy danych osobowych sami decydują o doborze odpowiednich zabezpieczeń i działaniu z danymi osobowymi. Wiąże się  to jednak z ryzykiem naruszenia danych i co za tym idzie ogromnymi stratami wizerunkowymi i finansowymi. 

Sprawdź, co się zmieni i na co zwrócić szczególną uwagę.

9 najważniejszych zasad RODO

1. Wyznaczenie inspektora ochrony danych (art. 37-39 RODO)

Inspektor ochrony danych będzie odpowiednikiem obecnego administratora bezpieczeństwa informacji. W obecnym porządku prawnym nie ma obowiązku powoływania ABI. Od 25 maja, niektóre podmioty będą zmuszone zatrudnić osobę pełniącą funkcję IOD. Rozporządzenie o ochronie danych osobowych w art. 37 jasno precyzuje sytuacje, kiedy administrator danych osobowych będzie musiał wyznaczyć inspektora. Kandydat na to stanowisko będzie musiał wykazać, że posiada wiedzę specjalistyczną w zakresie ochrony danych oraz doświadczenie w tej dziedzinie. IOD może być pracownikiem podmiotu przetwarzającego dane lub wykonywać zadania na podstawie umowy outsourcingowej.

2. Obowiązek informacyjny (art. 12-14 RODO)

Unijne rozporządzenie rozszerza katalog informacji, jakie administratorzy danych osobowych będą musieli udostępnić osobom, których dane pobierają i przetwarzają. Rozporządzenie nakazuje, aby obowiązek został przedstawiony w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Ważne, żeby został napisany jasnym i prostym językiem, szczególnie jeśli informacje kierowane są do dziecka.

Osoba, której dane dotyczą będzie miała prawo uzyskać informacje na temat przetwarzania jej danych. Administrator danych będzie zobowiązany, bez zbędnej zwłoki, najpóźniej w ciągu miesiąca, odpowiedzieć wnioskodawcy.

3. Nowe prawa obywateli (art. 15-21 RODO)

Rozporządzenie o ochronie danych osobowych przyznaje osobom, których dane są przetwarzane rozszerzone uprawnienia. Wiąże się to z dodatkowymi zadaniami nałożonymi na administratorów danych osobowych.

Prawa osób, których dane dotyczą:

  • prawo dostępu przysługujące osobie, której dane dotyczą,
  • prawo do sprostowania danych,
  • prawo do usunięcia danych („prawo do bycia zapomnianym”),
  • prawo do ograniczenia przetwarzania,
  • prawo do przenoszenia danych,
  • prawo do sprzeciwu.

Na szczególną uwagę zasługuje prawo do bycia zapomnianym, które nakłada na administratora obowiązek usunięcia danych osobowych w całości z jego systemu. W przypadku Internetu, oznacza to, że usunięte muszą zostać również wszelkie linki, kopie i repliki danych, nawet jeśli są one w posiadaniu innych podmiotów przetwarzających te dane w jego imieniu.

4. Rejestrowanie czynności przetwarzania (art. 30 RODO)

Administrator danych osobowych będzie miał obowiązek prowadzić rejestr czynności przetwarzania. Natomiast w przypadku procesorów, będzie istniała konieczność prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu ADO.

Nowy obowiązek będzie spoczywał na większości administratorów danych osobowych i podmiotów przetwarzających dane. Takie rejestry będą musiały prowadzić podmioty które:

  • zatrudniają powyżej 250 pracowników,
  • przetwarzają szczególne kategorie danych (dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby),
  • przetwarzają dane w sposób, który narusza lub może naruszać prawa i wolności osób, których dane dotyczą,
  • przetwarzają dane w sposób ciągły, czyli nie mają charakteru sporadycznego,
  • przetwarzają wyroki skazujące lub informacje o naruszeniu przepisów prawa.

5. Zgoda (art. 7 RODO)

Administrator danych osobowych musi wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie danych osobowych. Rozporządzenie nakazuje, iż zgoda musi być wyrażona konkretnemu podmiotowi. Oświadczenie zgody musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii. Ważne, aby było przygotowane w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Osoba, której dane dotyczą, musi mieć zapewnione prawo do wycofania zgody w tak samo łatwy sposób, jak doszło do jej wyrażenia.

6. Ocena skutków dla ochrony danych (art. 35 RODO)

Kolejnym, nowym obowiązkiem spoczywającym na administratorze danych osobowych, które nakłada rozporządzenie o ochronie danych osobowych, jest przeprowadzenie oceny skutków dla ochrony danych (DPIA). RODO wymaga, aby przedsiębiorcy przetwarzający dane osobowe, przeprowadzili analizy wpływu działań na danych osobowych na ryzyko naruszenia praw osób, których dotyczą. Przeprowadzenie oceny będzie konieczne w dwóch przypadkach: stwierdzenia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych oraz kiedy zadecyduje o tym organ nadzorczy (Prezes Urzędu Ochrony Danych Osobowych – obecnie GIODO).

7. Ograniczone profilowanie (art. 22 RODO)

Rozporządzenie reguluje zasady dotyczące zautomatyzowanego podejmowania decyzji. Głównie chodzi o profilowanie, które wg art. 4 pkt. 4 RODO oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych. Polega to na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej. Wykorzystywane w szczególności do analizy lub prognozy efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Rozporządzenie o ochronie danych osobowych uwzględnia możliwość profilowania w 3 przypadkach:

  • jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem,
  • wynika z przepisów prawa,
  • osoba, której dane dotyczą wyraziła na to zgodę.

8. Zgłoszenie naruszeń (art. 33 RODO)

Administrator danych będzie miał obowiązek zgłosić naruszenie ochrony danych osobowych do właściwego organu nadzorczego. Rozporządzenie o ochronie danych osobowych przewiduje na to 72 godziny od stwierdzenia naruszenia. Obowiązek nie powstaje w przypadku, kiedy istnieje małe prawdopodobieństwo, że incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. W przeciwnym razie, ADO będzie musiał powiadomić nie tylko organ nadzorczy, ale również wszystkie osoby, których dane dotyczą. Administrator danych samodzielnie będzie musiał ocenić, czy naruszenie powinno zostać zgłoszone.

9. Kary za niewłaściwe przetwarzanie danych osobowych (art. 83 RODO)

Naruszenie przepisów o ochronie danych osobowych to straty wizerunkowe, ale również finansowe. Obecne przepisy umożliwiają nałożenie na przedsiębiorców jednorazowej grzywny nieprzekraczającej 50 tys. zł. Rozporządzenie o ochronie danych osobowych przewiduje kary nawet do 20 milionów euro bądź 4 proc. obrotu światowego w związku z wyciekiem bądź incydentem związanym z danymi osobowymi. Kary pieniężne w każdym przypadku mają być odstraszające, proporcjonalne i skuteczne. Będą zależały od charakteru, wagi i czasu trwania naruszenia oraz innych czynników takich jak np. próba zminimalizowania ryzyka.

RODO to największa reforma w ochronie danych osobowych od prawie 20 lat. Ilość zmian oraz nowych obowiązków, jakie RODO nakłada na administratorów danych osobowych, wymaga całościowej zmiany w podejściu do ochrony danych osobowych w organizacji. Tylko w taki sposób, zapewnią sobie gotowość, aby funkcjonować w nowej rzeczywistości prawnej.


Sprawdź również:


Polecane

Audyt RODO

Audyt RODO

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO

Szkolenie RODO

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Popularne

Audyt RODO

Audyt RODO

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO

Szkolenie RODO

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD szymon.matylla@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Szymona Matylli na adres szymon.matylla@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineJULAFibar GroupPixersWykop.plGPD AgencyNetguruTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.