eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoPrawo dla biznesu › 10 najważniejszych informacji na temat RODO

10 najważniejszych informacji na temat RODO

2018-06-17 00:22

10 najważniejszych informacji na temat RODO

RODO © 3d_generator - Fotolia.com

Głównym celem ogólnego rozporządzenia o ochronie danych, które zmodernizowało zasady zawarte w dyrektywie z 1995 r., jest zwiększenie ochrony danych osobowych.

Przeczytaj także: RODO w blogosferze - o czym trzeba pamiętać?

Niewątpliwie, do pozytywnych aspektów tej transformacji zaliczyć możemy:
  • wzmocnienie praw osób fizycznych, których dane dotyczą;
  • ujednolicenie przepisów w zakresie ochrony danych osobowych na terenie UE;
  • uatrakcyjnienie rynku UE względem państw trzecich;
  • wyznaczenie standardów bezpieczeństwa adekwatnych do wyzwań XXI wieku.

Zmiany które już się wydarzyły, przynieść mają osobom fizycznym większą kontrolę nad ich danymi osobowymi i łatwiejszy do nich dostęp.

Poniżej przedstawiam 10 najważniejszych informacji na temat ochrony danych osobowych zgodnie z Rozporządzeniem o Ochronie Danych Osobowych (RODO)

1. Co to jest RODO i kogo dotyczy


Z dniem 25 maja 2018 roku na terenie całej Unii Europejskiej zaczęło obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 zwane Ogólnym Rozporządzeniem o Przetwarzaniu Danych lub RODO, którego celem jest ochrona danych osobowych osób fizycznych przetwarzanych zarówno w systemach informatycznych, jak i poza nimi. Po angielsku dokument nazywa się GDPR, czyli General Data Protection Regulation. W założeniu, RODO ma pozwolić mieszkańcom Unii na lepszą ochronę danych osobowych oraz ujednolicić przepisy w poszczególnych krajach. Obowiązek zastosowania się do RODO mają wszystkie podmioty, które gromadzą i wykorzystują dane dotyczące osób fizycznych, w szczególności obowiązek wdrozenia RODO dotyczy:
  • wszystkich pracodawców,
  • wszystkich przedsiębiorców oferujących towary lub usługi na terytorium UE,
  • organizacji pozarządowych,
  • podmiotów leczniczych.

Nowa regulacja dotyczy zatem podmiotów, które w jakikolwiek sposób zbierają i przetwarzają informacje. Mogą to być zarówno duże korporacje, jednoosobowe firmy, jak i sklepy internetowe. RODO swym zasięgiem działania obejmuje każde przetwarzanie danych obywateli Unii Europejskiej. Ustawodawca przewidział możliwość przetwarzania danych osobowych na obszarze poza UE, obejmując swoim działaniem duże, międzynarodowe korporacje oraz eliminując praktyki wycieku danych osobowych poza jej teren. Zatem, wynajęcie np. serwerowni poza granicami UE nie pozwoli uniknąć odpowiedzialności za przetwarzane dane.

fot. 3d_generator - Fotolia.com

RODO

RODO ma pozwolić mieszkańcom Unii na lepszą ochronę danych osobowych oraz ujednolicić przepisy w poszczególnych krajach.


2. Co to są dane osobowe?


Dane osobowe to każda informacja pozwalająca zidentyfikować tożsamość osoby fizycznej. Wbrew powszechnemu przekonaniu samo imię i nazwisko osoby nie będzie stanowiło danych osobowych. Natomiast już każdy kolejny element pozwalający na jej identyfikację już tak, np. imię i nazwisko oraz adres zamieszkania, imię i nazwisko oraz nr telefonu, pesel itd.

Przykłady danych osobowych:
  • PESEL,
  • imię i nazwisko oraz adres zamieszkania,
  • adres mailowy,
  • imię i nazwisko oraz miejsce pracy,
  • numer telefonu komórkowego

Przykłady informacji nie będących danymi osobowymi:
  • sam stacjonarny numer telefonu (przyporządkowany jest np. do stanowiska pracy a nie do konkretnej osoby),
  • samo imię i nazwisko (zbyt ogólna informacja),
  • imię i nazwisko oraz numer buta (odnalezienie konkretnej osoby na podstawie tylko tych danych wymaga od nas zbyt dużych nakładów).

3. Co oznacza przetwarzanie danych osobowych?


Zgodnie z przepisami, przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak:
  • zbieranie,
  • utrwalanie,
  • organizowanie,
  • porządkowanie,
  • przechowywanie,
  • adaptowanie lub modyfikowanie,
  • pobieranie,
  • przeglądanie,
  • wykorzystywanie,
  • ujawnianie poprzez przesłanie,
  • rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, a zwłaszcza te, które realizuje się w systemach informatycznych.

Przetwarzaniem zatem jest każda czynność wykonywana na danych osobowych.

4. Kim jest Administrator danych osobowych oraz główne zasady RODO


Zgodnie z art. 4 pkt. 7 RODO, Administrator (w rozumieniu administratora danych osobowych) - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Co oznacza, że administratorem w przypadku osób prawnych jest jej organ zarządzający, w przypadku szkół Dyrektor a w przypadku osób fizycznych prowadzących działalność gospodarczą ta osoba i to ona ponosi odpowiedzialność za przestrzeganie zasad ochrony danych.

Główne zasady wprowadzone przez RODO dotyczące przetwarzania danych osobowych to:
  • zgodności z prawem, rzetelności i przejrzystości;
  • ograniczenia celu zbierania danych osobowych
  • minimalizacji danych,
  • ograniczenia przechowywania,
  • integralności i poufności.

Z ww. zasadami łączy się zasada rozliczalności, polegająca na tym, że administrator danych osobowych jest odpowiedzialny za przetwarzanie danych zgodnie z ww. zasadami i musi być w stanie wykazać ich przestrzeganie.

5. W jaki sposób chronić dane osobowe? Nowe obowiązki Administratorów.


Ochrona danych osobowych polega na wdrożeniu przez podmioty nimi dysponujące (zarówno pojedynczymi informacjami stanowiącymi daną osobową, jak również całymi zbiorami danych osobowych) skutecznej realizacji zasad ochrony danych poprzez minimalizację danych, oraz wdrożenie niezbędnych zabezpieczeń czyli zastosowanie środków techniczne i organizacyjnych mających na celu ochronę przetwarzanych danych osobowych. W tym celu administratorzy powinny opracować oraz wdrożyć odpowiednie procedury oraz środki zapewniające bezpieczeństwo przetwarzanych danych osobowych.

Nowe obowiązki stanowią poważne wyzwanie dla administratorów, ze względu na brak gotowych rozwiązań. RODO nie wskazuje wprost w jaki sposób dane mają być chronione tj. jakie dokumenty, procedury i polityki należy wdrożyć. Stanowi jedynie, że to dany podmiot musi wykazać się starannością w zabezpieczeniu tych procesów, aby podczas przetwarzania danych osobowych nie doszło do nieprawidłowości.

Ponadto, na etapie pozyskiwania danych osobowych, administrator będzie zobowiązany m.in. do podania nowych informacji m.in.: o danych kontaktowych do IODO (o ile powołano), o podstawie prawnej przetwarzania, prawie wniesienia skargi do organu nadzorczego, okresie przechowywania danych, prawie do ich przenoszenia, prawie do bycia zapomnianym itp.

W związku z powyższym, do podstawowych obowiązków, jakie muszą spełnić administratorzy należą:
  • zabezpieczenie przechowywanych danych,
  • informowanie klientów o przetwarzaniu ich danych osobowych oraz, umożliwienie wglądu w historię zmiany danych oraz przekazywanie klientom informacji o celu zbierania ich danych,
  • uzyskiwanie zgody na wykorzystanie danych,
  • opracowanie dokumentacji przetwarzania danych, w tym prowadzenie rejestru czynności przetwarzania i rejestru naruszeń,
  • obowiązek notyfikacyjny, polegający na konieczności zgłoszenia do organu nadzorczego incydentu naruszenia bezpieczeństwa, w ciągu 72 godzin od jego wystąpienia,
  • udokumentowanie udzielenia zgody, tj. przechowywanie informacji o tym, kto wyraził zgodę, kiedy to zrobił, w jakim zakresie oraz jakie informacje zostały mu przekazane przy okazji odbierania zgody.

Od 25 maja 2018 r. zniesiono obowiązek zgłaszania zbiorów danych osobowych do organu nadzorczego (obecny GIODO). Zamiast tego każdy podmiot przetwarzający dane osobowe ma obowiązek dokumentować czynności związane z przetwarzaniem danych osobowych.

RODO nakłada na Administratorów, w tym podmioty publiczne –także szkoły, obowiązek prowadzenia tzw. : Rejestru czynności przetwarzania danych osobowych.

Rejestr taki prowadzi i aktualizuje IODO (Inspektor Ochrony Danych Osobowych).

Administrator danych osobowych ma obowiązek udostępniać Rejestr na każde żądanie organu nadzorczego.

6. Inspektor Ochrony Danych Osobowych


Na mocy poprzedniej ustawy o ochronie danych osobowych powołanie Administratora Bezpieczeństwa Informacji (ABI) nie było obowiązkowe, ale administrator danych, który zdecydował się na korzystanie z jego usług, miał obowiązek zgłoszenia do GIODO faktu powołania ABI w terminie 30 dni od dokonania tej czynności. Natomiast na mocy obowiązującej ustawy, powołanie Inspektora Ochrony Danych Osobowych (IODO)jest obligatoryjne dla wszystkich instytucji publicznych (z wyłączeniem sądów), jednostek, których działalność polega na regularnym i automatycznym przetwarzaniu danych oraz jednostek, których główna działalność polega na przetwarzaniu danych wrażliwych, dotyczących przestępstw czy skazań za przestępstwa. Do obowiązków IODO należy bieżące monitorowanie zgodności przyjętych przez administratora procedur z wymogami RODO. Ponadto osoba ta musi dysponować wiedzą ekspercką w zakresie ochrony danych osobowych.

7. Zgoda na przetwarzanie danych osobowych


Zgoda na przetwarzanie danych osobowych od osób których dane dotyczą, przede wszystkim musi być wyrażona konkretnemu podmiotowi. Ponadto, powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia.

Zbierane zgody mogą zostać wykorzystane wyłącznie w określonym celu, który został zapisany w treści oświadczenia. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Osoba fizyczna powinna zostać również poinformowana o tożsamości administratora danych osobowych oraz możliwości cofnięcia zgody na przetwarzanie informacji.

8. Jakie korzyści dla osób fizycznych?


Nowe regulacje mają zwiększyć ochronę danych osobowych osób, których dane dotyczą między innymi poprzez:
  • prawo do bycia zapomnianym: w sytuacji w której osoba nie chce by jej dane były przetwarzane i nie ma ku temu podstawy. Instytucja ta ma chronić prywatność osób i niekoniecznie umożliwiać usuwanie danych z przeszłości albo ograniczać wolność prasy. Jednakże, w praktyce, może przysporzyć to wielu trudności administratorom, ponieważ zmusza je do usunięcia wszystkich informacji o danej osobie z jego systemów. Dotyczy to także kopii, linków, odniesień i dokumentacji papierowej. Ponadto należy dołożyć wszelkich starań aby wszystkie kopie danych, które zostały wcześniej udostępnione zostały skutecznie usunięte, nawet jeżeli znajduję się już w posiadaniu u innych podmiotów,
  • łatwiejszy dostęp do danych – osoby, których dane dotyczą w szerszym zakresie będą miały dostęp do informacji o przetwarzaniu ich danych, a informacje te dostępne powinny być w przystępnej formie,
  • obowiązek informowania o naruszeniu danych – administratorzy mają obowiązek powiadomienia organu nadzorującego i w stosownych przypadkach osoby, której dane dotyczą o naruszeniu danych,
  • mocniejszą ochronę praw dzieci – zgodnie z RODO dane osobowe dzieci zasługują na szczególną ochronę, ponieważ mogą być one mniej świadome zagrożeń, konsekwencji, i swoich praw w odniesieniu do przetwarzania danych osobowych. W związku z powyższym, rozporządzenie przewiduje, że zgoda na przetwarzanie danych dziecka, które nie ukończyło 16 lat, musi być wyrażona albo zatwierdzona przez osobę sprawującą władze rodzicielską lub opiekę nad dzieckiem i tylko w zakresie wyrażonej zgody. Zatem, administrator danych powinien mieć świadomość, że zgoda wyrażona przez dziecko może zostać unieważniona, w szcególności jeżeli dotyczy celów marketingowych, czy też aktywności dzieci w mediach społecznościowych. Ponadto, państwa członkowskie mogą obniżyć próg wskazany powyżej i ustanowić niższą granicę wiekową, która musi wynosić co najmniej 13 lat,
  • lepszą egzekucję przestrzegania przepisów – podmioty przetwarzające dane osobowe będą ponosić odpowiedzialność za złamanie przepisów RODO, włączając możliwość otrzymania kary finansowej w wysokości 10 mln euro lub 2 proc. rocznego światowego obrotu firmy osiągniętego w poprzednim roku obrotowym. W szczególnych przypadkach może ona wzrosnąć nawet do 20 mln euro bądź 4 proc. obrotu. Forma jej naliczania będzie zależała od tego, która wartość jest wyższa.

9. Uprawnienia osób, których dane zostały przetwarzane niezgodnie z RODO.


Na gruncie przepisów Rozporządzenia osoba, która uważa, że jej dane są przetwarzane niezgodnie z RODO ma prawo zarówno do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (dawniej: GIODO) jak i do wniesienia powództwa do sądu przeciwko administratorowi. Ponadto, bez względu na powyższe, osoba taka może również żądać odszkodowania, gdy uzna, że poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO.

Ustawodawca przewidział jednoinstancyjność postępowania administracyjnego. Rozstrzygnięcia wydawane przez Prezesa Urzędu będą jednak podlegały zaskarżeniu do sądu administracyjnego i skargi w tych sprawach będą podlegały dwuinstancyjnemu postępowaniu sądowoadministracyjnemu. Wniesienie przez stronę skargi do sądu administracyjnego wstrzyma wykonanie decyzji w zakresie administracyjnej kary pieniężnej.

10. Przykłady bezpiecznego przetwarzania danych osobowych w wersji papierowej i elektronicznej.

  • dostęp do danych osobowych mogą mieć tylko pracownicy posiadający upoważnienie do ich przetwarzania,
  • nie należy udostępniać danych osobowych osobom trzecim (zarówno w miejscu pracy jak i poza nim)
  • przebywanie osób nieuprawnionych do przetwarzania danych w pomieszczeniu, w którym przetwarzane są dane osobowe dopuszczalne jest jedynie w obecności osoby upoważnionej do ich przetwarzania,
  • nie można udzielić informacji przez telefon niezweryfikowanym odbiorcom,
  • polityka „czystych biurek” oraz wykorzystywanie niszczarek,
  • nie należy wykorzystywać danych do celów prywatnych,
  • nie należy zmieniać ani usuwać danych osobowych bez wyrażnego powodu/polecenia gdy cel dla którego dane zostały zebrane nie został osiągnięty,
  • zamykanie na klucz pomieszczeń lub budynków wchodzących w skład obszarów w których przetwarzane są dane osobowe,
  • przed wyjściem z pomieszczenia, w którym przechowywane są dane należy upewnić się, że zostało odpowiednio zabezpieczone (zamknięte okna, drzwi),
  • po zakończeniu pracy w systemie informatycznym, w którym przechowywane są dane osobowe, należy wyłączyć aplikacje oraz wylogować się z systemu,
  • w przypadku przetwarzania danych osobowych na komputerze przenośnym, należy zachować szczegolną ostrożność,
  • w przypadku braku oprogramowania antywirusowego, upływu jego ważności należy niezwłocznie powiadomić administratora systemów informatycznych,
  • zakazane jest udostępnianie indywidualnych identyfikatorów i haseł dostępu do systemów informatycznych

oprac. : Iwona Pająk / Grupa Prawna Togatus Grupa Prawna Togatus

Przeczytaj także

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: