PORADY

O CO CHODZI Z TYM RODO?

O CO CHODZI Z TYM RODO?

18 czerwca 2018 | Działalność gospodarcza

W ostatnich miesiącach gorącym tematem jest tzw. RODO. Wciąż wywołuje dużo pytań oraz obaw przed grożącymi karami finansowymi. W niniejszym artykule wyjaśnimy czym jest RODO, jaki jest jego cel oraz jakie nakłada obowiązki.

CO TO JEST RODO?

RODO –  to rozporządzenie  Parlamentu Europejskiego i Rady nr 2016/679 z dnia 14 kwietnia 2016 r. w sprawie ochrony danych osobowych, które zastępuje dotychczasową ustawę krajową, czyli ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Niniejsze rozporządzenie zaczęło obowiązywać od 25 maja bieżącego roku. Jest to akt prawny przyjęty przez Unię Europejską regulujący zasady ochrony danych osobowych, który jest również bezpośrednio stosowany w Polsce. Ponadto, od 25 maja 2018 r. obowiązuje także krajowa ustawa o ochronie danych osobowych, która m.in. reguluje:

  • zasady powoływania następcy GIODO – Prezesa Urzędu Ochrony Danych Osobowych (PUODO)
  • postępowanie przed POUDO
  • procedurę odwoławczą od decyzji PUODO

CO JEST CELEM RODO?

Celem rozporządzenia jest ujednolicenie przepisów dotyczących ochrony danych osobowych wszystkich obywateli Unii Europejskiej i to niezależnie do tego gdzie znajduje się podmiot, który dane przetwarza. W praktyce ma to zapewnić większą ochronę jednostkom oraz ograniczyć możliwość handlowania danymi i udostępniania ich kolejnym podmiotom bez wiedzy samych zainteresowanych.

KOGO DOTYCZY RODO?

  • Dotyczy to każdego przedsiębiorcy, który prowadzi działalność w Unii Europejskiej. Może to być działalność w jakiejkolwiek formie prawnej: spółka, jednoosobowa działalność gospodarcza, czy oddział w Unii Europejskiej przedsiębiorcy mającego siedzibę poza Unią. Nie ma znaczenia także narodowość osób, których dane osobowe są przetwarzane oraz to, gdzie są przetwarzane dane osobowe (gdzie znajdują się serwery). Na przykład, korzystanie przez polską spółkę z o. o. z usług przetwarzania danych w chmurze nie zwalnia tej spółki z konieczności stosowania RODO; polski podmiot oferujący swoje usługi obywatelom Ukrainy podlega przepisom RODO.

KIEDY RODO NIE JEST STOSOWANE?

RODO nie znajdzie zastosowania do działalności osobistej lub domowej. Czyli osoba fizyczna prowadząca działalność gospodarczą musi stosować RODO do danych osobowych swoich klientów, czy pracowników, ale nie stosuje RODO do danych przetwarzanych w celach prywatnych.

CO TO SĄ DANE OSOBOWE?

To wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Dane osobowe to informacje o osobach fizycznych – osoby prawne nie mają danych osobowych. Ale pracownicy osób prawnych mogą mieć dane osobowe, jak każda inna osoba fizyczna. Dane osobowe według RODO dzielą się na:

  • Zwykłe dane osobowe
  • Szczególne dane osobowe ( dawniej: wrażliwe)

Do szczególnych kategorii danych osobowych zaliczamy:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne, przekonania religijne, światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne lub biometryczne,
  • dane dotyczące zdrowia lub orientacji seksualnej.

Dane osobowe, które nie należą do żadnej z tych kategorii, to dane zwykłe.

KTO MOŻE PRZETWARZAĆ DANE OSOBOWE?

Przede wszystkim należy określić co się rozumie pod pojęciem przetwarzania danych. Mianowicie jest to czynność, polegająca m.in. na:

  • zbieraniu, utrwalaniu,
  • organizowaniu, porządkowaniu,
  • przechowywaniu, adaptowaniu lub modyfikowaniu,
  • pobieraniu, przeglądaniu wykorzystywaniu, ujawnianiu poprzez przesłanie,
  • rozpowszechnianiu lub innego rodzaju udostępnianiu, dopasowywaniu albo
  • łączeniu, ograniczaniu, usuwaniu lub niszczeniu.

Jeżeli urząd lub przedsiębiorca przetwarza dane osobowe, to może to robić jako jeden z dwóch kategorii podmiotów:

  • administrator danych – podmiot, który decyduje o celach i sposobach przetwarzania danych np: pracodawca w stosunku do danych osobowych swoich pracowników. Administratorem danych jest zawsze określony podmiot (np. spółka )
  • podmiot przetwarzający dane – nie decyduje o celach i środkach przetwarzania danych – działa na podstawie umowy z administratorem danych (np. biuro rachunkowe, firma IT ). Podmiot przetwarzający dane na zlecenie powinien zawrzeć z administratorem danych pisemną umowę powierzenia, w której trzeba określić zasady przetwarzania danych osobowych.

KIEDY MOŻNA PRZETWARZAĆ DANE OSOBOWE?

Przetwarzać dane można wtedy gdy:

  1. istnieje zgoda osoby, której dane dotyczą,
  2. przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby,
  3. przetwarzanie jest niezbędne do wykonania obowiązku prawnego,
  4. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią ( skierowanie pozwu o zapłatę przeciwko nieuczciwemu klientowi)

W RODO występują dwa rodzaje zgody:

  • zgoda
  • wyraźna zgoda – wymagana jest przy przetwarzaniu szczególnych kategorii danych osobowych

Administrator danych powinien móc wykazać, że dysponuje odpowiednią podstawą przetwarzania danych.

Niemniej ważną kwestią jest powołanie Inspektora Ochrony Danych (IOD). Wyznaczenie IOD w pewnych przypadkach jest obowiązkowe na gruncie RODO:

  1. gdy dane są przetwarzane przez podmioty z sektora publicznego
  2. w firmie przetwarzane są dane na dużą skalę (musisz samodzielnie ocenić, czy przetwarzasz dane na dużą skalę; takie przetwarzanie dotyczy m.in. banków i firm ubezpieczeniowych)
  3. gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych ( np. szpitale )

Do zadań IOD należy:

  • informowanie pracowników o ich obowiązkach wynikających z RODO oraz doradzanie im i szkolenie,
  • monitorowanie przestrzegania przepisów,
  • współpraca z UODO oraz pełnienie roli punktu kontaktowego,
  • udzielanie zaleceń co do oceny skutków dla ochrony danych,
  • opiniowanie i doradzanie w kwestii wdrażania zasad przetwarzania danych.

Inspektor Ochrony Danych powinien wykonywać swoje obowiązki i zadania w sposób niezależny.

JAKIE SĄ SANKCJE ZA BRAK DOSTOSOWANIA DZIAŁALNOŚCI DO RODO?

Kary pieniężne z tytułu naruszenia obowiązków przewidzianych w RODO będą nakładane zarówno na administratorów, jak i na podmioty przetwarzające dane. Organem właściwym do nałożenia kary pieniężnej będzie krajowy organ nadzorczy. RODO nie zawiera taryfikatora przewidującego wysokość kary pieniężnej za konkretne naruszenie, określa jedynie górną granicę. W zależności od kategorii naruszenia, kara pieniężna będzie mogła zostać nałożona w wysokości do 10 000 000 EUR lub do 20 000 000 EUR, a w przypadku przedsiębiorstw – w wysokości do 2% lub 4% całkowitego obrotu z poprzedniego roku obrotowego.

Oprócz kar pienięznych, można dochodzić odszkodowania za szkodę materialną lub niematerialną  na drodze cywilnoprawnej poniesioną w wyniku naruszenia przez administratora zasad wynikających z Rozporządzenia.

OBOWIĄZEK ZGŁASZANIA NARUSZEŃ

RODO wprowadza także obowiązek zgłaszania naruszeń ochrony danych osobowych (incydent bezpieczeństwa). Zgłoszenie powinno być skierowane do UODO w ciągu 72 godzin.

Źródła:

ZOSTAW KOMENTARZ

ul. Zwierzyniecka 30/5
31-105 Kraków

tel./fax: 12 422 92 56
mobile.: +48 502 133 517

kancelaria@employerpoland.pl

Copyright 2018 Ⓒ Employer Poland