RODO - informacja o nowych obowiązkach dla przedsiębiorców

Nowe obowiązki dla przedsiębiorców

25 maja 2018 roku wchodzą w życie regulacje prawne, dotyczące ochrony danych osobowych. Są one oparte o Rozporządzenie Parlamentu Europejskiego i Rady UE z 27 kwietnia 2016, czyli ,,RODO”, zwane także „GDPR” lub „Ogólnym Rozporządzeniem o Ochronie Danych”, to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Brak dostosowania się do nowych regulacji może skończyć się bardzo przykrymi konsekwencjami, bowiem urząd może nałożyć karę finansową w wysokości do 10 000 000 EUR lub do 2% rocznego globalnego obrotu.

Wyróźniamy kilka pojęć, używanych przy omawianiu tego rozporządzenia:

ADO - Administrator Danych Osobowych - jest nim najczęściej przedsiębiorca, który pozyskał i przetwarza dane osobowe w celu świadzenia jakiejś usługi.
ABI - Administrator Bezpieczeństwa Informacji - pracownik lub zewnętrzna firma dbająca o właściwe zapezpieczenie danych w firmie. Przed wejściem w życie tego rozporządzenia nie było obowiązku powoływania administratora bezpieczeństwa informacji (ABI), a unijne rozporządzenie to zmienia. Jednocześnie od maja 2018 ABI nazywany jest Inspektorem Ochrony Danych.
IOD (DPO) - Inspektor Ochrony Danych - jego zadaniem jest należyte zabezpieczenie danych osobowych, a także analiza ryzyka związanego z wyciekiem tych danych poprzez niepowołane osoby lub stosowanie niedostatecznych zabezpieczeń. DPO powinien doradzać administratorowi danych/podmiotowi przetwarzającemu, jaki audyt lub jakie szkolenie personelu należy przeprowadzić, a także jakie środki należy przedsięwziąć, aby zapewnić właściwy poziom bezpieczeństwa.
Incydent ODO - jednym z nowych obowiązków przedsiębiorcy jest powiadomienie urzędu o wycieku danych wrażliwych. W momencie, w którym sami przyznajemy się do popełnionego błędu, możemy liczyć na łagodniejsze potraktowanie przez GIODO. Może także zaistnieć potrzeba informowania o wycieku także osób, których dane wypłynęły.

Nowe rozporządzenie reguluje kwestie dotyczące ochrony danych osobowych osób przebywających na terenie Unii Europejskiej, zasad ich przechowywania, zabezpieczania, udostępniania i usuwania. Nie określa jednach ścisłych reguł, w jaki sposób ta ochrona ma być realizowana. Każda firma musi uwzględnić specyfikę swojej branży i w zależności od tego wdrożyć odpowiednie procedury. Istnieje jednak kilka zasad, które każdy administrator danych osobowych musi przestrzegać:

  1. Każda firma, przetwarzająca dane osobowe, musi udowodnić, że otrzymała zgodę na ich przetwarzanie, poprzez podpisanie stosownego oświadczenia, lub też zaznaczenie opcji w formularzu elektronicznym (domyślne zaznaczenie zgody nie jest dopuszczalne). Zakres przetwarzania tych danych dotyczy tylko tych działań, na które klient pierwotnie wyraził zgodę.
  2. Każda osoba fizyczna  powinna mieć  prawo  dostępu do  zebranych  danych  jej  dotyczących, na każde żądanie (np. lista dat, rozmów telefonicznych, adresów IP - wszystko, co było gromadzone).
  3. Każda osoba fizyczna powinna mieć prawo do sprostowania danych osobowych jej dotyczących oraz prawo do „bycia  zapomnianym”, wyjątek stanowią tutaj obowiązki rozliczeniowe - nie możemy skasować danych osobowych np. z rejestru faktur.

 

Jakie obowiązki obejmą przedsiębiorców po wejściu nowego prawa:

  1. Prowadzenie rejestru przetwarzania danych osobowych - obowiązek zgłaszania do RODO informacji o zbiorach danych osobowych, okreslający zakres przetwarzanych danych, a także informację o administratorze (ADI) i współadministratorze (IOD).
  2. Administrator zbierający dane osobowe będzie zobowiązany udzielić informacji na temat danych kontaktowych do IOD, a także określić, z czego wynika prośba o podanie danych (np. przepisy ustawowe, treść umowy lub warunek konieczny do jej zawarcia). Nowym obowiązkiem jest podanie informacji o użyciu profilowania, czyli algorytmów podejmujących decyzje w sposób zautomatyzowany.
  3. Konieczność powołania Inspektora Ochrony Danych Osobowych, informującego RODO o zakresie przetwarzanych danych, a także przeprowadzającego audyty w zakresie ich ochrony.
  4. Wprowadzenie rozwiązań umożliwiających udostępnienie danej osobie na żądanie wszelkich zgromadzonych informacji na jej temat, w ciągu miesiąca od żądania.
  5. Wdrożenie procedur umożliwiających realizację prawa do zapomnienia.
  6. Ochrona danych na etapie projektowania - zbieramy tylko te dane, które są niezbędne, już na etapie projektowania dbamy o możliwość realizacji nowych obowiązków ochrony danych.
  7. Opracowanie procedur i dokumentów związanych ze zgłaszaniem naruszeń w zakresie ochrony danych (konieczność zgłoszenia wycw ciągu 72 godzin), zgód na przetwarzanie danych, odpowiednich klauzuli podawanych użytkownikom podczas podpisywania umów, upoważnień dla pracowników do przetwarzania danych osobowych itd.
  8. Od każdego nowego kontrahenta, klienta czy pracownika, powinniśmy uzyskać zgodę na przetwarzanie danych osobowych. Na tym oświadczenu powinien być jasno określony cel przetwarzania tych danych i dane administratora.
  9. Konieczność rejestracji zgód na przetwarzanie i na profilowanie danych osobowych.
  10. Zabezpieczenie zbiorów danych osobowych poprzez: stosowanie oprogramowania zabezpieczającego, ograniczenie dostępu do danych za pomocą haseł i kont użytkowników z odpowiednio ustawionymi uprawnieniami. W przypadku dokumentów papierowych zamykanie ich w specjalnych pomieszczeniach lub szafach.

 

Pełny tekst rozporządzenia można znaleźć na stronie:

http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016R0679...