Smart Creation
rodo
02.5.2018

RODO czyli jak chronić dane osobowe

Od wielu miesięcy ten tajemniczy skrót robi niemałą karierę – ale co się pod nim kryje? I co jeszcze ważniejsze – jak może wpłynąć na działalność gospodarczą? Poniżej przybliżymy Wam najważniejsze zagadnienia związane z RODO.

 

Co to jest RODO?

Ale zacznijmy od początku – RODO to rozporządzenie o ochronie danych osobowych, które będzie funkcjonować w krajach Unii Europejskiej od 25 maja 2018 roku i dotyczy danych osobowych gromadzonych w sposób elektroniczny. Będzie dotyczyć zarówno firm, które mają swoją siedzibę w UE, jak i firm z całego świata, które podczas swoich działań gromadzą i przetwarzają dane osobowe osób prywatnych z Europy. W obecnym społeczeństwie informacyjnym, dane osobowe stanowią bardzo łakomy kąsek dla przestępców, co pokazały choćby ich ostatnie wycieki z Facebooka – nic więc dziwnego, że ich ochrona zostaje wzmożona. Co zmieni się z perspektywy firm mających styczność z danymi osobowymi swoich klientów?

 

RODO

RODO dotyczy danych osobowych gromadzonych w sposób elektroniczny.

 

Ty odpowiadasz za dobranie ochrony (DPIA)

Obecnie obowiązujące przepisy wskazują pewne uniwersalne zasady zabezpieczania danych – jednak inaczej będzie w przypadku RODO. Nie będzie obowiązku zgłaszania zbiorów danych osobowych do GIODO. Zamiast tego obowiązywać będzie ocena skutków planowanych operacji przetwarzania danych (Data Privacy Impact Assessment czyli DPIA). Zgodnie z DPIA, każda z firm będzie musiała we własnym zakresie zbadać zagrożenia, jakim mogą być poddane przechowywane wrażliwe dane, i wdrożyć zapobiegające rozwiązania. Ocena ryzyka, oraz jego minimalizacja lub wykluczenie, będzie spoczywać po stronie administratora danych – czyli firmy. Dlatego właśnie zmiany przepisów wywołują takie zamieszanie – nie ma gotowej i uniwersalnej listy, która będzie odpowiednia dla każdej firmy. Co więcej, uwzględnienie zagadnienia ochrony danych osobowych będzie niezbędne już podczas projektowania rozwiązań informatycznych w danym przedsiębiorstwie.

 

Zbieranie zgód w RODO

Zgoda na gromadzenie i przetwarzanie danych musi być świadoma, dobrowolna i jednoznaczna oraz wyrażona przez pełnoletnią osobę, a w przypadku osób małoletnich – przez rodzica lub opiekuna. Każda osoba musi być także poinformowana o prawie do jej cofnięcia, jeszcze zanim ją wyrazi. Samo wycofanie zgody powinno być tak łatwe jak jej okazanie – czyli jeśli została uzyskana poprzez stronę internetową, na danym portalu powinna być zamieszczona zakładka, na której można ją cofnąć.

 

RODO

Każdy użytkownik musi wyrazić dobrowolną i świadomą zgodę na gromadzenie i przetwarzanie swoich danych.

 

Obowiązek informacyjny

Przedsiębiorstwa mają obowiązek informowania klientów o tym w jaki sposób uzyskały ich dane – bezpośrednio od danej osoby czy innymi metodami. Administratorzy muszą także wskazać cele przetwarzania danych oraz podstawę prawną tego działania. Z kolei jeśli dane osobowe będą przetwarzane przez inne firmy (np. firmę kurierską realizującą dostawę towaru) należy również poinformować o tym klienta. Osoba, której dotyczą dane, może żądać informacji o wszystkich swoich danych, jakie firma posiada i przetwarza. Ma również prawo wymagać od administratorów ich natychmiastowego usunięcia. W przypadku wycieku danych osobowych, lub jakimkolwiek innym ich naruszeniu, konieczne będzie natychmiastowe powiadomienie ich właścicieli.

 

Transfer poza Europejski Obszar Gospodarczy

Firma administrująca danymi powinna sprawdzić czy dane, które gromadzi i przekazuje wychodzą poza EOG czyli Europejski Obszar Gospodarczy. Jeśli tak, ma ona za zadanie dostosować procedury transferu danych do kryteriów RODO.

 

RODO

Procedury przekazywania danych osobowych poza Europę również mają zostać dostosowane do wymogów RODO.

 

Rejestry danych

RODO nie wymaga rejestracji zbiorów danych osobowych, ale nakazuje prowadzenie wewnętrznych rejestrów. Firmy będą musiały stworzyć i utrzymać rejestry, w których będą zawarte m.in. takie informacje jak: przyczyny przetwarzania danych, potwierdzone zgody, wykaz międzynarodowych transferów danych, rejestry naruszeń i wiele innych.

 

Odpowiedzialność i skutki RODO

Nieodpowiednie zabezpieczenie danych osobowych może skutkować surowszymi, niż wcześniej, karami. Mogą one sięgać nawet 20 mln euro lub 4% obrotu danej firmy. Natomiast grzywna, kara ograniczenia wolności lub pozbawienia wolności będzie groziła w następujących przypadkach:

  • udaremniania lub utrudniania prowadzenia kontroli przepisów o ochronie danych osobowych,
  • przetwarzanie danych osobowych, których przetwarzanie nie jest dozwolone,
  • przetwarzanie danych osobowych przez osobę nieuprawnioną do tego zadania.

Mamy nadzieję, że nieco rozjaśniliśmy Wam zmiany, które wejdą w życie razem z RODO, i zainspirowaliśmy do rozpoczęcia koniecznych przygotowań.