Kategorie
Firma

RODO – co oznacza dla Twojej firmy?

RODO to duża rewolucja na polu ochrony danych osobowych. Jego wprowadzenie w znaczący sposób zmienia dotychczasowe zasady i w dużo większy sposób chroni gromadzone dane. Czym tak właściwie jest RODO ? Co dla nas oznacza ? Jakie zmiany ze sobą niesie ? Oto kompendium wiedzy z najważniejszymi informacjami.

RODO to duża rewolucja na polu ochrony danych osobowych. Jego wprowadzenie w znaczący sposób zmienia dotychczasowe zasady i w dużo większy sposób chroni gromadzone dane. Czym tak właściwie jest RODO ? Co dla nas oznacza ? Jakie zmiany ze sobą niesie ? Oto kompendium wiedzy z najważniejszymi informacjami.

 

Czym jest RODO ?

RODO to Rozporządzenie o Ochronie Danych Osobowych wprowadzone 25 maja 2018 roku przez Unię Europejską. Obejmuje ono firmy, podmioty publiczne i osoby prywatne, które tworzą, przechowują i przetwarzają bazy danych, w których znajdują się dane osobowe. Zmiany nie dotyczą osób prywatnych, które na swój prywatny użytek przechowują np. kontakty do znajomych czy adresy ulubionych restauracji w telefonie. Rozporządzenie ma na celu ochronę danych osobowych i zapewnienie odpowiedniego poziomu dyskrecji oraz prywatności.

Jakie zmiany przynosi RODO ?

RODO ma na celu wzmocnienie standardów bezpieczeństwa przechowywanych informacji w bazach danych i zapewnienie większej prywatności osobom, które tam się znajdują. Oprócz głównego zadania RODO ma też na celu ujednolicenie przepisów na terenie Unii Europejskiej, usprawnienie procesu przechowywania i wymiany danych oraz wzmocnienie praw osób, które figurują w bazach tak, aby miały one dostęp do informacji o sobie i mogły wpłynąć na ich kształt.

 

Dostęp do danych, przeniesienie ich lub wykasowanie

Zgodnie z RODO każda osoba, której dane osobowe są przechowywane, ma prawo uzyskać informacje o tych danych. Administrator ma 30 dni, aby odpowiedzieć na wątpliwości. Kolejnym elementem zarządzania swoimi danymi jest prawo do kopii wszystkich informacji. Jeśli przenosimy się do innej przychodni — możemy zażądać, aby administrator danych wygenerował plik ze wszystkimi informacjami w sposób umożliwiający nam przeniesienie ich do drugiej przychodni.

Osoba, której dane osobowe znajdują się w bazie danych, ma też prawo do ich całkowitego usunięcia. Według rozporządzenia cały proces zgłoszenia i wykasowania danych ma odbyć się tak samo prosto, jak wyrażenie zgody na gromadzenie ich.

Zgłaszanie naruszeń

Ważną kwestią, która obowiązuje od 25 maja 2018 roku, jest obowiązek zgłaszania naruszeń. Musi ono nastąpić maksymalnie bez zbędnej zwłoki do 72 godzin od zaistniałej sytuacji. Pewną nieścisłością jest interpretacja naruszeń. Administrator ma obowiązek poinformowania GIODO (Głównego Inspektora Ochrony Danych Osobowych), jeśli zachodzi uzasadnione podejrzenie „naruszenia praw lub wolności osób fizycznych”. Rozporządzenie nie precyzuje jednoznacznie, kiedy i w jakich przypadkach zachodzi takie naruszenie. Właściciel bazy danych może również powiadomić osobę zainteresowaną, której dotyczy naruszenie o nieprawidłowości.

Kary i odpowiedzialność

Odpowiedzialność za dbanie o bazę danych osobowych według RODO ponosi jej właściciel. Jeśli przekaże on bazę zewnętrznej firmie, która będzie nią zarządzała, odda ją do utylizacji czy wynajmie kogoś do jej obsługi w swoim przedsiębiorstwie, to w dalszym ciągu będzie ponosił pełną odpowiedzialność za nią. W razie nieprawidłowości zostanie pociągnięty do odpowiedzialności i nie będzie miało znaczenia to — kto zawinił.

Kary Pieniężne są również jedną z największych zmian. RODO przewiduje maksymalnie 100 tys. zł kary za naruszenie rozporządzenia. Jest to kwota maksymalna. Ostateczna suma będzie adekwatna do przewinienia i uzależniona od poziomu nieprawidłowości.

Zgody na przetwarzanie i gromadzenie danych osobowych

Obecnie RODO w jasny sposób określa, jak można zbierać i przechowywać dane osobowe oraz co powinien zrobić administrator. Pytanie o zgodę powinno być proste, czytelne i jasno sformułowane. Zgodę można pozyskać poprzez oświadczenie klienta czy użytkownika lub poprzez zaakceptowanie informacji o przetwarzaniu. Przykładem są okienka na stronach internetowych. Jeśli klikniemy “akceptuj” – to wyrazimy zgodę. W przypadku gdy tylko pojawi się taka informacja, a my nie klikniemy “wyrażam zgodę” – serwis nie może przechowywać informacji o nas.

Podczas zapytania o wyrażenie zgody musi widnieć również informacja o administratorze oraz celu ich wykorzystywania.

Czy stare zgody są ważne ?

RODO jest jednym z nielicznych wyjątków i działa wstecz. Jeśli administrator uzyskał zgodę na przetwarzanie danych zgodnie z aktualnymi wytycznymi — może on w dalszym ciągu je legalnie przetwarzać. W takim przypadku wystarczy wprowadzenie bieżących poprawek i nie ma konieczności uzyskiwania zgody po raz drugi. Jeśli administrator uzyskał zgodę osoby inaczej niż według aktualnych przepisów — musi poprosić osobę po raz drugi. Sytuacja ta dotyczy m.in. banków, serwisów internetowych czy pracodawców.

Rejestrowanie czynności przetwarzania za Obowiązek rejestracji zbiorów w GIODO

Dużą zmianą, szczególnie ważna dla administratorów jest zniesienie obowiązku rejestracji zbiorów w GIODO. Było to uciążliwe i nie gwarantowało poprawności prowadzenia takiej bazy. Obecnie na rzecz obowiązku rejestracji pojawił się nowy — rejestracja czynności przetwarzania danych. Co to oznacza ? Każdy administrator, jeśli zdecyduje się przetwarzać dane osobowe — np. udostępniając je innym podmiotom — musi zarejestrować tę czynność i umieścić informacje, w jakim celu przetwarzał dane, kto to zrobił oraz jak można skontaktować się z taką osobą.

Artykuł powstał przy współpracy z Biurem Rachunkowym InPlus

Autor: Tomasz Nordyński

Tomasz Nordyński, redaktor portalu ABC-Podatki.pl, dziennikarz i copywriter finansowy oraz podatkowy. W wolnych chwilach skupiam się na zagadnieniach finansowych oraz administracyjnych.