Menu
Menu

Co zmienia RODO? Nowe regulacje dla firm i osób prywatnych

Aktualności Bezpieczeństwo Biuro Firma Firmy rodzinne Polityka Prawo Unia Europejska Wybór redakcji Zarządzanie

Co zmienia RODOOd 25 maja 2018 roku w całej Unii Europejskiej zaczęło obowiązywać rozporządzenie 2016/679 o ochronie danych osobowych. Co zmienia RODO? Jakie obowiązki i prawa wprowadza dla firm i obywateli? Jak podaje na swojej stronie Ministerstwo Cyfryzacji, wszystkie podmioty publiczne i prywatne, które wykorzystują większość procesów przetwarzania danych podlegają nowemu prawu. Ochroną zaś objęci są wszyscy, którzy przebywają na terytorium Polski.

Zgodnie z definicją, którą narzucają nowe przepisy, dane osobowe to takie dane, które pozwalają jednoznacznie zidentyfikować osobę fizyczną. Obok imienia i nazwiska należą do nich: płeć, adres e-mail, numer IP, lokalizacja, historia zakupów, poglądy polityczne i wreszcie kod genetyczny.

Odpowiadając na pytanie, co zmienia RODO, trzeba podkreślić, że nie wskazuje ono rozwiązań, które mają być podjęte w celu ochrony danych. Wskazuje jedynie na konieczność ochrony tych informacji. Ministerstwo Cyfryzacji jako rozwiązanie podaje na przykład wzmocnienie ochrony pomieszczenia, w którym przechowywane są dane osobowe a także wyznaczenie osoby odpowiedzialnej za dostęp do informacji.

Większy problem stanowi przetwarzanie danych wrażliwych. Należą do nich informacje o stanie zdrowia, poglądach politycznych, czy orientacji seksualnej. W takim wypadku ministerstwo radzi, by stosować zabezpieczenia “bardziej zaawansowane technologicznie”.

Co zmienia RODO w zakresie odpowiedzialności za bezpieczeństwo danych?

Nowe przepisy nakazują, by zbierać wyłącznie informacje niezbędne do realizacji konkretnego zadania, dla którego są przetwarzane. Chociaż nie wskazuje się sposobów zabezpieczenia informacji, to na administratorze danych spoczywa obowiązek wykazania, że realizuje on postanowienia rozporządzenia 2016/679.

W razie kontroli firma lub przedsiębiorca musi przedstawić dokumentację, z której wynika, że wywiązał się z tego obowiązku. Co ciekawe, sam fakt braku śladów wycieku danych osobowych nie jest jeszcze dowodem, że administrator odpowiednio stosuje przepisy.

Jeśli podmiot przetwarza dane osobowe na dużą skalę, albo jego główną działalnością jest przetwarzanie takich danych, lub jeśli regularnie monitoruje dane, musi powołać Inspektora Danych Osobowych. Jego zadaniem będzie ocena ryzyka związanego z przetwarzaniem informacji i dopasowanie środków technicznych do minimalizowania danego ryzyka.

Instytucje, które: zatrudniają powyżej 250 osób, lub których działalność może prowadzić do naruszenia praw i wolności, przetwarzają dane należące do kategorii wymienionych w RODO, lub przetwarzają dane osobowe w zakresie naruszeń prawa i wyroków, muszą prowadzić Rejestr Czynności Przetwarzania.

W dokumencie tym trzeba wpisywać wszystkie czynności dokonywane na danych osobowych. Może on mieć formę elektroniczną lub papierową. W rejestrze powinny znaleźć się: dane kontaktowe Inspektora Danych Osobowych i ich administratora; informacja na temat celów i środkach technicznych użytych do zbierania danych; kategorii osób, których dane są zbierane; odbiorcach danych oraz terminie usunięcia danych, jeśli dane podlegają zniszczeniu.

Obowiązek informowania osób o zbieraniu ich danych osobowych

Wszyscy, których dane osobowe są przetwarzane powinni zostać poinformowani o prowadzeniu takich działań oraz jego celach. Informacja musi mówić o profilowaniu i jego konsekwencjach. Ministerstwo Cyfryzacji pisze, że obowiązek ten może być realizowany poprzez: wysłanie odpowiedniej informacji, albo zawarcie jej w stopce maila.

Jeśli dojdzie do naruszenia prywatności, należy ten fakt zgłosić do organu nadzorczego w ciągu 72 godzin od momentu stwierdzenia tego faktu. W tym samym czasie należy poinformować o zdarzeniu wszystkich, których prywatność została naruszona.

Mając na uwadze, co zmienia RODO, ministerstwo radzi uzyskanie certyfikatu poświadczającego prawidłowe przetwarzanie danych osobowych. Posiadanie go stanowić będzie okoliczność łagodzącą przy ewentualnych postępowaniach o naruszenie unijnych przepisów. Zwiększy ono również konkurencyjność firmy w przetargach na zamówienia publiczne.

Certyfikaty takie wydaje Prezes Urzędu Ochrony Danych Osobowych, a także podmioty, które uzyskały akredytację Polskiego Centrum Akredytacji. Oczywiście nie ma nic za darmo. Cena certyfikatu wydawanego przez Prezesa Urzędu Ochrony Danych Osobowych wyniesie “czterokrotność średniej krajowej” (cytat za MC). Inne podmioty uprawnione ustalą natomiast własne cenniki.

Prawo do bycia zapomnianym

Prawo bycia zapomnianym umożliwia żądanie od instytucji usunięcia z rejestru wszystkich danych na swój temat. Nie będzie ono jednak działać zawsze. Przedsiębiorcy upoważnieni są do odmowy usunięcia danych, jeśli niemożliwe przez to stanie się wyegzekwowanie opłaty za usługę. Inną przyczynę stanowi ochrona przed karami lub nieuzasadnionymi roszczeniami.

Usunięcie danych może bowiem wywołać roszczenia ze stromy urzędu skarbowego. Firma nie będzie miała również dowodów wykonania usługi, lub potwierdzenia dokonania zapłaty, co stanowi pole do popisu dla różnych oszustów.

Ministerstwo wymienia zakazy, które obowiązują w związku z wprowadzeniem RODO. Należą do nich zakaz: wykorzystywania danych w celach marketingowych bez zgody ich posiadacza, udostępniania wizerunku bez zgody na to, udostępnianie bez zgody danych innemu podmiotowi, wykorzystywanie danych kandydatów do pracy w kolejnych rekrutacjach bez zgody oraz gromadzenia danych na zapas.

MC ostrzega przy tym przed nieprawdziwymi informacjami, które sugerują, co zmieni RODO. Jedną z nich jest informacja o konieczności uczestnictwa w płatnych szkoleniach. Faktycznie, decyzja o uczestnictwie w takowych należy wyłącznie do przedsiębiorcy. Ministerstwo ostrzega też, że żaden program czy aplikacja nie może w pełni wyręczyć przedsiębiorcy w realizacji postanowień nowego prawa.

Ministerstwo uspokaja jednak, że kary finansowe mają stanowić jedynie rozwiązanie stosowane w ostateczności. Nie będą one nakładane za drobne uchybienia. Przed ich nałożeniem podmiot otrzyma natomiast ostrzeżenie lub upomnienie. Istotne jest, by przedsiębiorca wykazał zaangażowanie w realizację przepisów RODO.

Autor: Wojciech Ostrowski
Źródło – Ministerstwo Cyfryzacji

Tagi: , , , ,

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

  • Subskrybuj Nasz Biuletyn

  • Aktualności

  • Kategorie

    AIAktualnościAutomatykaBankowość i FinanseBezpieczeństwoBHPBiuroBudownictwoChemiaDom i ogródEdukacjaEkologiaEksportEnergetykaFirmaFirmy rodzinneGadżetGeopolitykaGiełdaGospodarkaHutnictwoImportinwestycjeITIzby GospodarczeJakośćKODKolejKonferencjeLeasingLogistykaLotnictwoMarketingMedycynaModaMotoryzacjaNagrodyNaukaNewConnectNieruchomościNowe TechnologieNowościOchrona ŚrodowiskaPaliwaPartnerzyPatronat medialnyPolitykaPracaPrawoPrzemysł cementowyPrzemysł spożywczyPrzemysł stoczniowyPrzemysł WydobywczyPublikacjeRolnictwoRozrywkaRynek GazuRynek LuksusuRynek ZbrojeniowySamorządSektor KosmicznySpółdzielczośćSpołeczeństwoSport i wypoczynekStrefy ekonomiczneŚwiatTargiTelekomunikacjaTransportTurystykaUbezpieczeniaUnia EuropejskaWarto wiedziećWybór redakcjiWydarzeniaWyniki finansoweWyróżnieniaWywiadZarządzanieZdrowie

  • Polecane

    Sektor zbrojeniowy w niespokojnych czasach

    Problemy ze sztuczną inteligencją. Czy prawo powstrzyma rozwój AI?

    Cyfrowa Polska to nie tylko slogan

    Przejrzystość finansowa JST – dobre praktyki

    Na czym polega nadzór inwestycyjny, czy jest korzystny dla firmy?

    IX Europejski Kongres Samorządów

    W Polsce potrzebny jest rynek wtórny samochodów elektrycznych

    Ceny Złota – Rynki patrzą na FED i na Bliski Wschód