logo - employer poland


Jesteśmy ekspertami, którzy od wielu lat zajmują się wsparciem prawnym pracodawców zatrudniających bądź planujących zatrudnić do swojej firmy Obcokrajowców.


Skontaktuj się z nami:

kancelaria@employerpoland.pl ul. Emaus 40/3, Kraków

Aktualności:

kancelaria@employerpoland.pl ul. Zwierzyniecka 30/5, 31-105
Back to top
RODO Co chodzi - Employer Poland
Bez kategorii

Czym jest RODO oraz jakie obowiązki się z tym wiążą?

W ostatnich miesiącach gorącym tematem wśród całego społeczeństwa jest t zw. RODO. Temat ten wciąż wywołuje dużo pytań oraz obaw przed grożącemu karami finansowymi. W niniejszym artykule wyjaśnimy czym jest RODO, jaki jest jego cel oraz jakie nakłada obowiązki.

Co to jest RODO?

RODO –  to rozporządzenie  Parlamentu Europejskiego i Rady nr 2016/679 z dnia 14 kwietnia 2016 r. w sprawie ochrony danych osobowych, które zastępuje dotychczasową ustawę krajową, czyli ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Niniejsze rozporządzenie zaczęło obowiązywać od 25 maja bieżącego roku. Jest to akt prawny przyjęty przez Unię Europejską regulujący zasady ochrony danych osobowych, który jest również bezpośrednio stosowany w Polsce. Ponadto, od 25 maja 2018 r. obowiązuje także krajowa ustawa o ochronie danych osobowych, która m.in. reguluje:

  • zasady powoływania następcy GIODO – Prezesa Urzędu Ochrony Danych Osobowych (PUODO)
  • postępowanie przed POUDO
  • procedurę odwoławczą od decyzji PUODO
CO JEST CELEM RODO?

Celem rozporządzenia jest ujednolicenie przepisów dotyczących ochrony danych osobowych wszystkich obywateli Unii Europejskiej, i to niezależnie do tego gdzie znajduje się podmiot, który dane przetwarza. W praktyce ma to zapewnić większą ochronę jednostkom oraz ograniczyć możliwość handlowania danymi i udostępniania ich kolejnym podmiotom bez wiedzy samych zainteresowanych.

KOGO DOTYCZY RODO?
  • Dotyczy to każdego przedsiębiorcy, który prowadzi działalność w Unii Europejskiej. (Może to być działalność w jakiejkolwiek formie prawnej: spółka, jednoosobowa działalność gospodarcza, czy oddział w Unii Europejskiej przedsiębiorcy mającego siedzibę poza Unią. Nie ma znaczenia także narodowość osób, których dane osobowe są przetwarzane oraz to, gdzie są przetwarzane dane osobowe (gdzie znajdują się serwery). Na przykład, korzystanie przez polską spółkę z o. o. z usług przetwarzania danych w chmurze nie zwalnia tej spółki z konieczności stosowania RODO; polski podmiot oferujący swoje usługi obywatelom Ukrainy podlega przepisom RODO.
JAKICH DZIAŁALNOŚCI RODO NIE DOTYCZY?

RODO nie znajdzie zastosowania do działalności osobistej lub domowej. Czyli osoba fizyczna prowadząca działalność gospodarczą musi stosować RODO do danych osobowych swoich klientów, czy pracowników, ale nie stosuje RODO do danych przetwarzanych w celach prywatnych.

CZYM SĄ DANE OSOBOWE?

To wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Dane osobowe to informacje o osobach fizycznych – osoby prawne nie mają danych osobowych. Ale pracownicy osób prawnych mogą mieć dane osobowe, jak każda inna osoba fizyczna. Dane osobowe według RODO dzielą się na:

  • Zwykłe dane osobowe
  • Szczególne dane osobowe ( dawniej: wrażliwe)

Do szczególnych kategorii danych osobowych zaliczamy:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne, przekonania religijne, światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne lub biometryczne,
  • dane dotyczące zdrowia lub orientacji seksualnej.

Dane osobowe, które nie należą do żadnej z tych kategorii, to dane zwykłe.

KTO MOŻE PRZETWARZAĆ DANE OSOBOWE?

Przede wszystkim należy określić co się rozumie pod pojęciem przetwarzania danych. Mianowicie jest to czynność, polegająca m.in. na:

  • zbieraniu, utrwalaniu,
  • organizowaniu, porządkowaniu,
  • przechowywaniu, adaptowaniu lub modyfikowaniu,
  • pobieraniu, przeglądaniu wykorzystywaniu, ujawnianiu poprzez przesłanie,
  • rozpowszechnianiu lub innego rodzaju udostępnianiu, dopasowywaniu albo
  • łączeniu, ograniczaniu, usuwaniu lub niszczeniu.

Jeżeli urząd lub przedsiębiorca przetwarza dane osobowe, to może to robić jako jeden z dwóch kategorii podmiotów:

  • administrator danych – podmiot, który decyduje o celach i sposobach przetwarzania danych ( na przykład: pracodawca w stosunku do danych osobowych swoich pracowników ). Administratorem danych jest zawsze określony podmiot ( na przykład spółka )
  • podmiot przetwarzający dane – nie decyduje o celach i środkach przetwarzania danych – działa na podstawie umowy z administratorem danych ( na przykład biuro rachunkowe, firma IT ). Podmiot przetwarzający dane na zlecenie powinien zawrzeć z administratorem danych pisemną umowę powierzenia, w której trzeba określić zasady przetwarzania danych osobowych.
KIEDY MOŻNA PRZETWARZAĆ DANE OSOBOWE?

Przetwarzać dane można wtedy gdy:

  1. istnieje zgoda osoby, której dane dotyczą,
  2. przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby,
  3. przetwarzanie jest niezbędne do wykonania obowiązku prawnego,
  4. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią ( skierowanie pozwu o zapłatę przeciwko nieuczciwemu klientowi)

W RODO występują dwa rodzaje zgody:

  • zgoda
  • wyraźna zgoda ( Zgoda wyraźna wymagana jest przy przetwarzaniu szczególnych kategorii danych osobowych )

Administrator danych powinien móc wykazać, że dysponuje odpowiednią podstawą przetwarzania danych.

Niemniej ważną kwestią jest powołanie Inspektora Ochrony Danych (IOD). Wyznaczenie IOD w pewnych przypadkach jest obowiązkowe na gruncie RODO:

  1. gdy dane są przetwarzane przez podmioty z sektora publicznego
  2. w firmie przetwarzane są dane na dużą skalę (musisz samodzielnie ocenić, czy przetwarzasz dane na dużą skalę; takie przetwarzanie dotyczy m.in. banków i firm ubezpieczeniowych)
  3. gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych ( np. szpitale )

Do zadań IOD należy:

  • informowanie pracowników o ich obowiązkach wynikających z RODO oraz doradzanie im i szkolenie,
  • monitorowanie przestrzegania przepisów,
  • współpraca z UODO oraz pełnienie roli punktu kontaktowego,
  • udzielanie zaleceń co do oceny skutków dla ochrony danych,
  • opiniowanie i doradzanie w kwestii wdrażania zasad przetwarzania danych.

Inspektor Ochrony Danych powienien wykonywać swoje obowiązki i zadania w sposób niezależny.

KARY FINANSOWE

Kary pieniężne z tytułu naruszenia obowiązków przewidzianych w RODO będą nakładane zarówno na administratorów, jak i na podmioty przetwarzające dane. Organem właściwym do nałożenia kary pieniężnej będzie krajowy organ nadzorczy. RODO nie zawiera trafikatora przewidującego wysokość kary pieniężnej za konkretne naruszenie, określa jedynie górną grancę. W zależności od kategorii naruszenia, kara pieniężna będzie mogła zostać nalożona w wysokości do 10 000 000 EUR lub do 20 000 000 EUR, a w przypadku przedsiębiorstw – w wzsokości do 2% lub 4% całkowitego światowego obrotu z poprzedniego roku obrotowego.

Oprócz kar pienięznych, można dochodzić odszkodowania za szkodę materialną lub niematerialną  na drodze cywilnoprawnej poniesioną w wyniku naruszenia przez administratora zasad wynikających z Rozporządzenia.

DODATKOWE INFORMACJE

RODO wprowadza także obowiązek zgłaszania naruszeń ochrony danych osobowych (incydent bezpieczeństwa). Zgłoszenie powinno być skierowane do UODO w ciągu 72 godzin.

Źródła:

Autor: Aplikant Radcowski Hanna Baszyńska
Nadzór Redakcyjny: Radca Prawny Paweł Tokarski

Share:

Related Posts

Post a Comment

8 − sześć =