RODO: Rozporządzenie Ogólne o Ochronie Danych wchodzi w życie 25 maja 2018 roku. Zapamiętaj ten dzień!

Czytaj dalej
Fot. Archiwum
Mateusz Sieniewicz, adwokat

RODO: Rozporządzenie Ogólne o Ochronie Danych wchodzi w życie 25 maja 2018 roku. Zapamiętaj ten dzień!

Mateusz Sieniewicz, adwokat

Każdy przedsiębiorca, zarówno ten duży jak i ten mały powinien w swoim papierowym lub też elektronicznym kalendarzu na czerwono zaznaczyć w 2018 r. jedną datę - dzień 25 maja. W tym dniu wchodzi w życie zupełnie nowe unijne Rozporządzenie Ogólne o Ochronie Danych (w skrócie: RODO). Ten przepis wywraca do góry nogami dotychczasowy sposób myślenia na temat ochrony danych osobowych. Zmiana jest uciążliwa, ale ma swoje plusy.

Po 25 maja 2018 r. każdy przedsiębiorca, który nie dostosuje się do zmian może zapłacić gigantyczną karę. Nie straszę. Za nieprzestrzeganie RODO organy nadzoru będą mogły nakładać kary w trybie administracyjnym - kary finansowe mogą sięgać aż do 20 000 000 EUR lub 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Każdy przedsiębiorca powinien więc zacząć myśleć jak dostosować się do zmian.

I jeszcze jedno! Powierzenie przetwarzania danych osobowych osobie trzeciej nie będzie zwalniało z odpowiedzialności administratora danych osobowych. Jeśli obsługę kadrowo płacową zlecamy firmie zewnętrznej, a ta nie wywiąże się z obowiązków z zakresu RODO, to kare zapłacimy również my.

Widać więc, że przepisy RODO spowodują rewolucję w sferze ochrony danych osobowych. Rewolucje, która dotyczy wszystkich przedsiębiorców w UE. Zmiana zasad ochrony danych osobowych dotyczy każdego przedsiębiorcy gromadzącego dane osób fizycznych, niezależnie od tego czy prowadzi tradycyjny biznes czy też jego działania skupiają się na innowacyjnych usługach bądź produktach opartych na Internecie, w tym także sprzedaży i działalności marketingowej. RODO swoim zakresem obejmuje również przedsiębiorców zatrudniających pracowników, których dane potrzebne do ich zatrudnienia przetwarzają, czyli np. producenta mebli zatrudniającego na linii produkcyjnej 200 osób ale też mikro-przedsiębiorcę z branży budowlanej, który zatrudnia kilku pracowników na prowadzonych budowach.

Tak kończy się czas „ochrony danych” przez administratorów ochrony danych polegającej wyłącznie na rejestracji zbiorów danych osobowych do Głównego Inspektora Ochrony Danych Osobowych, wydrukowaniu polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi. Takie działania na pewno były wygodne dla przedsiębiorców, którzy co do zasady wypełniali zadania stawiane im przez ustawę.

Jedak twórcy przepisów uznali, że nie gwarantowały faktycznej ochrony danych osobowych pozwalających na identyfikacje konkretnej osoby w postaci imienia i nazwiska, danych o lokalizacji, identyfikatorów internetowych w postaci adresów poczty elektronicznej czy też numeru telefonu.

Mateusz Sieniewicz, adwokat
Archiwum Mateusz Sieniewicz, adwokat

Od 25 maja 2018 r. każdy przedsiębiorca będzie musiał mieć procedury i systemy odpowiednie do profilu działalności i według nich postępowa. Ochrona danych osobowych nie będzie sprowadzać się do podjęcia dokładnie sprecyzowanych ustawą czynności - każdy przedsiębiorca będzie miał za zadanie zaprojektować i stworzyć skuteczny system ochrony danych osobowych, adekwatny do zakresu prowadzonej działalności gospodarczej. Oznacza to, nie mniej nie więcej, że w inny sposób działać będzie przedsiębiorca prowadzący prowadzący salon samochodowy, w inny bank czy ubezpieczyciel, a w jeszcze inny sposób handlujący w internecie lub wykorzystujący sieć do rejestracji klientów swoich usług, czyli na przykład muzeum. Rozporządzenie wprowadza nowe podejście do ochrony danych osobowych - tzw. risk based approach czyli podejście uwzględniające ryzyko.

To znaczy, że do 25 maja 2018 r. przedsiębiorcy powinni dokonać analizy danych osobowych jakimi dysponuje (dane osobowe klientów i pracowników), celów w jakich wykorzystuje te dane, czynności jakie podejmowane są w oparciu o te dane oraz procesów w jakich przetwarzane są te dane osobowe. Po dokonaniu takiej wszechstronnej analizy przedsiębiorca zobowiązany będzie działać tak, zminimalizować ryzyko związane z przetwarzaniem danych osobowych.

Jedną z nowości wprowadzanych przez RODO jest obowiązek leżący na przedsiębiorcach – administratorach danych do zgłaszania w ciągu 72 godzin od wykrycia do właściwego organu nadzoru naruszeń, które mogą skutkować zagrożeniem praw i wolności osób fizycznych, których dane zostały naruszone.

Takimi naruszeniami, które będzie trzeba raportować na gruncie RODO będą między innymi kradzież lub sfałszowanie czyjejś tożsamości, utrata przez przedsiębiorce kontroli nad danymi osobowymi, wyciek danych osobowych, nieuprawnione udostępnienie baz danych w Internecie czy też naruszenie poufności danych osobowych chronionych tajemnicą zawodową. Za niezgłoszenie w terminie 72 godzin organowi nadzorczemu naruszenia będzie groziła kara administracyjna w wysokości do 10.000.000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego przy czym również w tym przypadku zastosowanie będzie miała kwota wyższa.

Nowością będzie też to, że każda osoba fizyczna będzie mogła wystąpić do jednego administratora danych, aby ten przekazał jego dane osobowe innemu przedsiębiorcy lub instytucji publicznej w formie pliku pdf. W praktyce takie rozwiązanie sprawdzi się np. w sytuacji, w której będziemy wnioskować o kredyt gotówkowy w instytucji pożyczkowej lub ubiegać się o ubezpieczenie samochodu w firmie ubezpieczeniowej. Odpadnie w takim przypadku konieczność wielokrotnego i żmudnego wypełniania formularzy zawierających dane osobowe.

Mateusz Sieniewicz, adwokat
Archiwum

Obywatel będzie miał prawo poprosić przedsiębiorce (bank A), który już otrzymał jego dane osobowe, aby przekazał je kolejnemu przedsiębiorcy (bank B), co stanowić będzie z jednej strony ułatwienie dla obywateli, dla przedsiębiorców natomiast stanowi duże wyzwanie - podmiot który przetwarza dane osobowe będzie musiał posiadać techniczne możliwości wygenerowania pliku oraz przekazania go, natomiast podmiot otrzymujący plik z danymi osobowymi będzie musiał posiadać techniczne możliwości jego odczytu.

Kolejnym nowym uprawnieniem osób fizycznych będzie prawo do pełnej kontroli posiadanych przez przedsiębiorców ich danych osobowych oraz do żądania od przedsiębiorcy udzielenia wszelkich informacji na temat danych osobowych osobie, której te dane dotyczą. W przypadku złożenia zapytania przez tę osobę, po stronie przedsiębiorcy obowiązek udzielenia odpowiedzi na zadane pytanie w terminie miesiąca.

Podsumowując. Trzeba się przygotować. Mamy na to kilka miesięcy!

Mateusz Sieniewicz, adwokat

Polska Press Sp. z o.o. informuje, że wszystkie treści ukazujące się w serwisie podlegają ochronie. Dowiedz się więcej.

Jesteś zainteresowany kupnem treści? Dowiedz się więcej.

© 2000 - 2024 Polska Press Sp. z o.o.