RODO: rewolucja w ochronie danych osobowych. Ważne zmiany dla wszystkich pracodawców.

with Brak komentarzy
Od 25 maja br. obowiązują nowe regulacje dotyczące ochrony danych osobowych (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych. Co zmieniają w naszym życiu? Na czym polega prawo do bycia zapomnianym w sieci?

Od 25 maja, na terenie całej Unii Europejskiej, obowiązuje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Po polsku nazywamy je RODO, czyli rozporządzenie o ochronie danych osobowych, a po angielsku General Data Protection Regulation GDPR. Oba skróty funkcjonują równolegle.

Kto musi stosować nowe przepisy?

Zmiany dotyczą wszystkich firm prowadzących działalność gospodarczą i posiadających klientów. Każda firma, która zatrudnia pracowników i posiada bazę klientów, przetwarza dane osobowe i musi się przygotować.

Ochrona danych osobowych

Dane osobowe musimy chronić. I po to jest RODO. Po to, by uświadamiać, że numer PESEL, numer dowodu, imię i nazwisko i wszelkie dane, które pozwalają na identyfikację nas w świecie fizycznym, jak i wirtualnym – to coś, czego nie powinniśmy powierzać byle komu. Nasze dane osobowe to dobro, z którym należy się obchodzić bardzo ostrożnie i odpowiedzialnie – mówi minister cyfryzacji Marek Zagórski.

To Twoje prawo

Każda osoba ma prawo do ochrony swoich danych osobowych – to jedno z naszych praw podstawowych. Najważniejszym celem reformy europejskich przepisów o ochronie danych osobowych (RODO) jest zapewnienie w całej Unii Europejskiej spójnego i jednolitego poziomu ochrony naszych danych. RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych.

Bądź ostrożny w sieci

Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacząco wzrosła. Dzięki technologii m.in. prywatne przedsiębiorstwa mogą w swojej działalności, na niespotykaną dotąd skalę, wykorzystywać dane osobowe.
– Dane osobowe to są wszystkie dane – nie tylko numer PESEL, nie tylko numer dowodu, nie tylko imię i nazwisko, ale wszelkie dane, które pozwalają na identyfikację nas jako osoby, zarówno w świecie fizycznym, jak i w świecie wirtualnym. I może nawet ten drugi jest ważniejszy – tłumaczy minister Marek Zagórski. – Dane osobowe to coś, czego nie powinniśmy powierzać byle komu. Ostrożność w tym przypadku jest wskazana. Nie dajmy się zwariować, ale swoje dane chrońmy – dodaje szef Ministerstwa Cyfryzacji.

Korzystaj z nowych uprawnień

Od 25 maja można żądać usunięcia swoich danych osobowych i przekazania Twoich danych innemu podmiotowi. Starasz się o kredyt, starasz się o ubezpieczenie, nie chce Ci się wypełniać wniosków kredytowych? Prosisz, żeby treści Twoich danych były przekazane do wskazanego przez Ciebie banku. Chcesz wiedzieć, jakie dane na Twój temat gromadził były pracodawca? Poproś go o wydanie kopii Twoich danych – wymienia dyrektor Maciej Kawecki. – Każdy z Was, każdy z obywateli, dzięki RODO dostaje ogrom nowych uprawnień. Uprawnień, z których musimy nauczyć się korzystać i musimy chcieć korzystać, w ten sposób chroniąc własną prywatność – dodaje.

10 najważniejszych zmian, które wprowadza RODO

Nowe przepisy przyjęte zostały w formie rozporządzenia, co oznacza bezpośrednie stosowanie przepisów przez wszystkich przedsiębiorców przetwarzających dane osobowe na terytorium Unii Europejskiej. RODO wejdzie w życie bez konieczności implementacji polską ustawą. Wszystko w celu ujednolicenia zasad ochrony danych osobowych w Unii Europejskiej.

Rozporządzenie to największa zmiana w podejściu do ochrony danych osobowych od dwudziestu lat. RODO wprowadza dużo nowości, o których należy pamiętać:

  1. Bezpośrednia odpowiedzialność przetwarzającego dane

Organizacje, przetwarzające dane osobowe pochodzące z innych firm, w trakcie świadczenia usług na ich rzecz (jak na przykład firmy dostarczające rozwiązania w chmurze czy firmy hostingowe), będą ponosić bezpośrednią odpowiedzialność za złamanie zapisów RODO, włączając w to ryzyko otrzymania kary finansowej. Co więcej, będą wymagane bardziej restrykcyjne niż dotychczas obowiązki w zakresie tworzenia umów o przetwarzaniu danych, natomiast odszkodowania i ograniczenia odpowiedzialności będą najprawdopodobniej podlegać renegocjacji.

  1. Zgłaszanie naruszeń 

Obowiązkiem administratorów danych będzie zgłaszanie – w ciągu 72 godzin od wykrycia – do właściwego organu nadzoru, przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Może także wystąpić konieczność zawiadomienia konkretnej osoby, bez zbędnej zwłoki, o przypadku wystąpienia dużego ryzyka naruszenia jej praw lub swobód.

  1. Nowe i rozszerzone prawa obywateli 

Przepisami RODO wprowadzone zostaje:

  • „prawo do bycia zapomnianym” (skierowane do obywateli, którzy życzą sobie, by ich dane osobowe zostały usunięte),
  • uprawnienie do żądania przeniesienia danych,
  • oraz wzmocnione prawo dostępu i wglądu obywatela w jego dane.

Osoby, których dane dotyczą, będą także miały rozszerzone prawo sprzeciwu wobec przetwarzania ich danych, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych, co ma niebagatelne znaczenie dla firm bazujących na analityce danych.

  1. Ograniczenia profilowania 

Wprowadzone zostały ograniczenia w zakresie profilowania włączając w to obowiązek otrzymania zgody na profilowanie przed rozpoczęciem zbierania danych, surowy obowiązek informowania o profilowaniu oraz konieczność akceptacji braku zgody na profilowanie.

  1. Wyznaczenie Inspektora Ochrony Danych Osobowych

Obowiązkiem niektórych firm, zarówno kontrolujących, jak i przetwarzających dane, będzie wyznaczenie Inspektora Ochrony Danych Osobowych. Osoba ta musi dysponować wiedzą ekspercką w zakresie ochrony danych osobowych.

  1. Obowiązkowa inwentaryzacja danych i wymagania związane z dokumentacją

Kontrolujący i przetwarzający dane będą zobowiązani od przygotowania i utrzymania wszechstronnych rejestrów dotyczących przetwarzanych danych, uwzględniających m.in.: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń i incydentów, rozwój i utrzymanie zasad ochrony prywatności dla każdej linii produktowej, przechowywanie potwierdzonych zgód na przetwarzanie danych itd.

  1. Zgody

Przepisami RODO zostają wprowadzone nowe lub uzupełnione zasady uzyskiwania ważnych i weryfikowalnych zgód na przetwarzanie danych osobowych od osób, których dane dotyczą.

  1. Rozbudowanie obowiązku informacyjnego 

Przepisy RODO wskazują liczne informacje, które muszą być uwzględnione w komunikacji sposobu przetwarzania danych osobowych kierowanej do osób, których dane dotyczą.

  1. Ocena wpływu ochrony danych

Wykonanie takiej analizy będzie obowiązkowe przed podjęciem działań „wysokiego ryzyka”, takich jak na przykład profilowanie na dużą skalę czy wykorzystanie danych szczególnych kategorii (takich jak dane dotyczące zdrowia).

  1. Transfer danych poza Unię Europejską 

Niedostosowanie się do zakazu przesyłania danych, bez zachowania odpowiedniego poziomu zabezpieczeń, będzie zagrożone możliwością nałożenia bardzo wysokich kar finansowych.

Drakońskie kary

Naruszenie przepisów o ochronie danych osobowych to nie tylko straty wizerunkowe, lecz także wymierne straty finansowe. RODO pozwala bowiem na nałożenie kary nawet do 20 milionów euro bądź 4 proc. obrotu światowego w związku z wyciekiem bądź incydentem związanym z ochroną danych osobowych.

Na stronie ministerstwa cyfryzacji zamieszczone zostały filmiki instruktażowe wraz z odpowiedziami na pytania. (https://www.gov.pl/cyfryzacja/szukaj?query=RODO&page=1)

dziennikzachodni.pl, pwc.pl, gov.pl/

Facebook