2018-04-10Nazwa RODO lub GDPR, z pewnością obiła się już o uszy wszystkim polskim przedsiębiorcom. Firmy działające na terenie Unii Europejskiej mają coraz mniej czasu na wprowadzenie zmian. Jeśli więc jeszcze nie dostosowałeś działania swojej firmy do RODO, przeczytaj ten artykuł, w którym znajdziesz wszystkie potrzebne informacje na temat nowego aktu unijnego.
RODO, czyli Rozporządzenie o Ochronie Danych Osobowych, znane również jako GDPR (ang. General Data Protection Regulation), jest unijnym aktem prawnym, który wszedł w życie 25 maja 2016 roku.
Nowe prawo unijne obejmuje wszystkie kraje należące do Unii Europejskiej, a więc każde państwo członkowskie musi obowiązkowo wprowadzić w swoim kraju akty prawne zgodne z RODO. Prawo będzie egzekwowane od dnia 25 maja 2018 roku – do tego czasu europejskie firmy muszą dostosować się do RODO i wprowadzić istotne zmiany, które pozwolą uniknąć kar. Firmy, które nie dostosują się do wymogów RODO, mogą ponieść karę wynoszącą nawet 20 milionów euro. Polskie Ministerstwo Cyfryzacji przygotowało już projekt o ochronie danych osobowych, który wciąż jest udoskonalany i niedługo zostanie wprowadzony w życie.
Akt unijny powstał w celu zwiększenia ochrony danych osobowych w firmach. RODO wiąże się z wprowadzeniem większej ilości obowiązków informacyjnych, dzięki czemu umożliwia przedsiębiorcom przetwarzanie danych osobowych pracowników i klientów do nowych celów biznesowych, a także zezwala na przenoszalność danych osobowych do nowych pracodawców i daje prawo do bycia zapomnianym, czyli usunięcia danych na życzenie podmiotu. Wprowadzenie RODO pozwoli na zunifikowanie prawa, które od 25 maja 2018 roku będzie jednolite we wszystkich państwach członkowskich. Dzięki RODO powstaną również nowe stanowiska pracy – zatrudnienie znajdą inspektorzy danych osobowych oraz pracownicy zajmujący się certyfikacją.
Możemy wyróżnić sześć podstawowych zmian wynikających z wprowadzenia RODO:
1. Po dniu 25 maja 2018 roku GIODO, czyli Generalny Inspektor Danych Osobowych, zostanie zastąpiony przez UODO – Urząd Ochrony Danych Osobowych. Do 25 maja 2018 r. każdy przedsiębiorca ma obowiązek rejestracji zbioru baz danych w GIODO, natomiast po tej dacie obowiązek ten zaniknie.
2. ABI, czyli Administrator Bezpieczeństwa Informacji, zostanie zastąpiony przez IODO – Inspektora Ochrony Danych Osobowych.
3. Art. 24 RODO nakłada na administratorów nowe obowiązki uwzględniania ochrony danych: w fazie projektowania (privacy by design), a także w fazie przetwarzania danych (privacy by default). Obowiązki te mogą być realizowane na przykład poprzez wdrożenie rozwiązań informatycznych umożliwiających jak najszybszą pseudonimizację danych.
4. Art. 31 ust. 1 nakłada na administratorów danych osobowych oraz podmiotów przetwarzających te dane obowiązek zgłoszenia naruszenia danych do organu nadzorczego. Naruszenie danych osobowych należy zgłosić natychmiast, nie później niż 72 godziny po zauważeniu naruszenia. Z obowiązku zgłoszenia naruszenia danych osobowych zwolnieni są administratorzy i podmioty przetwarzające, którzy uznają, że stwierdzone naruszenie danych nie grozi prawom ani wolności osób fizycznych.
5. Zgodnie z RODO naruszanie przepisów o ochronie danych osobowych wiąże się z nakładaniem wysokich kar, które mogą wynosić do 20 milionów euro lub do 4% całkowitego obrotu firmy za rok poprzedni.
6. RODO nakłada na przedsiębiorców obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, w którym zamieszcza się następujące dane:
• nazwę lub imię i nazwisko oraz dane kontaktowe administratora, współadministratorów, a także przedstawiciela administratora i inspektora ochrony danych;
cele przetwarzania danych osobowych;
opis kategorii osób, których dotyczą dane, a także opis kategorii danych osobowych;
kategorie odbiorców, którym ujawnia się dane osobowe, również odbiorców w organizacjach międzynarodowych lub państwach trzecich;
w przypadku przekazania danych osobowych do organizacji międzynarodowej lub państwa trzeciego podaje się nazwę tejże organizacji lub tegoż państwa trzeciego;
planowane terminy usunięcia poszczególnych kategorii danych;
ogólny opis technicznych i organizacyjnych środków bezpieczeństwa:
• pseudonimizacja i szyfrowanie danych osobowych;
przywracanie dostępności danych w przypadku incydentu technicznego lub fizycznego;
zapewnienie integralności, dostępności, poufności i odporności usług oraz systemów przetwarzania;
regularne testowanie i ocenianie skuteczności wymienionych wyżej środków.
Jeśli obawiasz się, że nie zdążysz wprowadzić zmian zgodnie z RODO, skorzystaj z usług platformy prawnej online, która zajmie się tym za Ciebie i zrobi to przed 25 maja 2018 r.
