RODO - co to jest?
Dnia 25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęto stosować Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (dalej: „RODO”). RODO obejmuje swoim zastosowaniem podmioty zarówno z sektora prywatnego jak i publicznego, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych.
4 maja 2019 r. zaczął obowiązywać obszerny pakiet zmian w polskich przepisach sektorowych, w związku z dostosowaniem do wymagań unijnego rozporządzenia RODO. Nowelizacja uchwalona przez polski parlament dnia 21 lutego 2019 r. zmieniła aż 162 aktów prawnych. Nowe przepisy, w zakresie ochrony danych osobowych, w znacznej mierze stanowią odwołanie do przepisów RODO.
W świetle motywu preambuły RODO dotychczasowe przetwarzanie danych osobowych musi zostać dostosowane do nowych wymogów tak, aby zapewniona była zgodność z przepisami RODO.
Podstawowe pojęcia związane z RODO
Dane osobowe to szczególny typ informacji związanych z osobami fizycznymi. Daną osobową jest wszelka informacja dotycząca zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny lub inne specyficzne czynniki określające jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Osoby fizyczne prowadzące działalność gospodarczą w polskim porządku prawnym nie są osobami prawnymi. Według wyjaśnienia tej kwestii przez KE „jeżeli w polskim porządku prawnym osoby fizyczne prowadzące działalność gospodarczą nie są osobami prawnymi, lecz fizycznymi, czyli nie mają charakteru spółek, to znaczy, że w pełni podlegają nowym przepisom o ochronie danych osobowych.”
Administrator danych osobowych to organ, osoba prawna lub inna jednostka organizacyjna, która decyduje o celach i środkach przetwarzania danych. Jest to „właściciel gromadzonych danych” – ten, kto decyduje, jakie dane, w jakim celu i w jaki sposób są zbierane i wykorzystywane. Podmiot leczniczy jest oczywiście administratorem danych osobowych.
Zgodnie z RODO, przez „podmiot przetwarzający” należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
7 zasad przetwarzania danych osobowych
zasada zgodności z prawem, rzetelności i przejrzystości
zasada ograniczenia celu przetwarzania danych
zasada minimalizacji danych
zasada prawidłowości danych
zasada ograniczenia przechowania danych
zasada integralności i poufności danych
zasada rozliczalności
Podstawowe wymogi RODO
Rozporządzenie RODO wprowadziło istotne zmiany w systemie ochrony danych osobowych, w tym m.in.:
-
wymóg powołania Inspektora Ochrony Danych (IOD),
-
IOD musi posiadać odpowiednie kompetencje i doświadczenie na temat prawa i praktyk w dziedzinie ochrony danych osobowych;
-
prowadzenie przez podmiot nowych rejestrów;
-
zgłaszanie do PUODO przypadków naruszenia ochrony danych osobowych (np. wycieków danych) w terminie do 72 godzin od ich stwierdzenia;
-
poinformowanie uprawnioną osobę o naruszeniu ochrony jej danych osobowych.
Konsekwencje naruszenia wymogów RODO
Za naruszenie zasad ochrony danych osobowych grożą poważne konsekwencje, obejmujące odpowiedzialność dyscyplinarną, cywilną i karną. Naruszenie zasad przetwarzania danych osobowych może prowadzić do wytoczenia powództwa cywilnego (odszkodowawczego) przez osobę poszkodowaną, dyscyplinarnego zwolnienia pracownika, który dopuścił się naruszenia, a nawet oskarżenia w procesie karnym.
W świetle nowych przepisów ustawodawca przewidział możliwość nakładania administracyjnych kar pieniężnych. RODO określa górne limity administracyjnych kar pieniężnych, dzieląc je na dwie grupy ze względu na rodzaj naruszenia. W pierwszej grupie taka kara może być nałożona nawet do wysokości:do 10 mln euro lub 2 proc. całkowitego rocznego obrotu za niewypełnianie obowiązku informacyjnego, braki w systemach ochrony danych, nieprawidłowe prowadzenie rejestrów itp.,
do 20 mln euro lub 4 proc. całkowitego rocznego obrotu za złamanie podstawowych zasad przetwarzania danych, złamanie praw konsumenckich, niedozwolone udostępnianie danych itp.
Kary pieniężne będą nakładane zarówno na podmioty z sektora prywatnego jak i instytucje z sektora publicznego, z tym, że odpowiedzialność instytucji z sektora publicznego została ograniczona do kwoty 100.000,00 zł.
Obowiązki Administratora Danych Osobowych
Administrator danych osobowych (dalej: „ADO”) otrzymał nowe obowiązki. Najważniejsze z nich to:
-
wykazanie zgodności przetwarzania danych z RODO, czyli realizacja zasady rozliczalności,
-
wypełnianie obowiązków informacyjnych wobec osób, których dane przetwarza,
-
przestrzeganie praw osób, których dane dotyczą, oraz ułatwianie realizacji tych praw,
-
generalny obowiązek zabezpieczenia przetwarzanych danych,
-
przetwarzanie danych zgodnie z zasadami privacy by design i privacy by default,
-
prowadzenie rejestru czynności przetwarzania danych,
-
współpraca z organem nadzorczym,
-
zgłaszanie naruszeń organowi nadzorczemu,
-
zawiadamianie podmiotów danych o naruszeniach,
-
przeprowadzanie analizy ryzyka oraz w razie konieczności opracowanie oceny skutków dla ochrony danych.
Zainteresowała Cię nasza oferta?
Skontaktuj się z nami w celu uzyskania wyceny usługi