GDPR – RODO – podstawowe informacje

Od 25 maja 2018 roku obowiązuje nas nowelizacja Rozporządzenia o Ochronie Danych Osobowych (RODO), obejmująca całą Unię Europejską. Na naszej stronie znajdziesz najważniejsze informacje o GDPR – RODO.

Zanim przejdziemy jednak do szczegółów, powinieneś zapoznać się z kilkoma podstawowymi informacjami w temacie GDPR – RODO.

GDPR jest skrótem od angielskiej nazwy General Data Protection Regulation (tł. ogólne rozporządzenie o ochronie danych), rozporządzenie to weszło w życie 25 maja 2018 r. i objęło wszystkie kraje zjednoczone w Unii Europejskiej. Kwestie ochrony danych osobowych w Polsce do tej pory regulowane były przez Rozporządzenie o Ochronie Danych Osobowych (RODO).

Głównym przedmiotem rozporządzenia jest ustanowienie przepisów określających zasady i zakres ochrony danych zarówno w kwestiach organizacyjnych, jak również technicznych. Rozporządzenie zawiera również zbiór zasad dotyczących funkcjonowania jednostek i organów odpowiedzialnych za nadzór nad prawidłową ochroną tych danych.

Głównym celem rozporządzenia jest zapewnienie należytej ochrony danych osobowych, będących jednym z praw podstawowych każdego człowieka. Nadchodzące zmiany, które określa GDPR/RODO, uregulują dotychczasowe różnice w ochronie danych osobowych na terenie krajów Unii Europejskiej, zapewniając:

  • Spójność ochrony osób fizycznych na terenie Unii.
  • Jednakowe kary za łamanie postanowień GDPR/RODO dla wszystkich państw członkowskich.
  • Możliwość monitorowania przetwarzanych danych osobowych.

ZALETY WEJŚCIA W ŻYCIE GDPR/RODO DLA OBYWATELA-KONSUMENTA:

  • Większa kontrola nad informacjami zbieranymi na ich temat;
  • Możliwość uzyskania informacji o sposobie rozporządzania (procesowania) powierzonymi informacjami (danymi);
  • Uproszczenie języka dla formułowanych polityk prywatności;
  • Poszerzenie zakresu definicyjnego danych osobowych – w GDPR/RODO będą to wszystkie dane, umożliwiające identyfikację konsumenta w tym m.in. dane IP komputera.

GDPR/RODO – najważniejsze zmiany

Rozporządzenie GDPR jak każdy dokument państwowy jest bardzo długi, a język, w którym jest sformułowany pozostawia często wiele do życzenia – przynajmniej w kwestii zrozumienia treści i odnalezienia tego, co rzeczywiście powinno nas zainteresować.

Dlatego, w tym miejscu znajdziesz informacje o najważniejszych zmianach jakie zakłada GDPR/RODO.

 

Prawa osoby – przetwarzanie danych osobowych

Po pierwsze, osoba, której dane są przetwarzane ma prawo do przejrzystej komunikacji i informowania – informacje w temacie przetwarzania danych powinny być przekazane w sposób jasny i przejrzysty, a ich forma być zwięzła i zrozumiała (prosty język), a także łatwo dostępna dla konsumenta.

Po drugie, osoba, w celu prowadzenia indywidualnej kontroli nad powierzanymi danymi, ma prawo uzyskać informacje odnośnie:

  • celów przetwarzania danych,
  • odbiorcach powierzonych danych,
  • planowanym okresie przechowywania danych,
  • źródle posiadania danych w momencie, kiedy nie zostały one przekazane bezpośrednio podmiotowi przetwarzającemu,
  • jeżeli dane osobowe zostają przekazane do organizacji międzynarodowej lub innego państwa członkowskiego, osoba ma prawo zostać poinformowana o tym, w jaki sposób jej dane ostały zabezpieczone.

Po trzecie, osoba, której dane podlegają przetwarzaniu, ma prawo do łatwego dostępu do swoich danych oraz weryfikacji, czy powierzone informacje przetwarzane są zgodnie z prawem. Osoba może w każdej chwili żądać dostarczenia kopii przetwarzanych danych, możliwości poddania powierzonych danych selekcji i/lub uzyskania zdalnego dostępu systemowego do swoich danych.

W każdej chwili osoba ma prawo sprostowania względem danych, które są nieprawidłowe lub ich uzupełnienia. Osoba ma również prawo do ograniczenia przetwarzania swoich danych osobowych.

Po czwarte, prawo do „bycia zapomnianym”, czyli ogólnie ujmując prawo do usunięcia swoich danych, kiedy:

  • dane nie są już niezbędne dla celów ich przetwarzania lub są przetwarzane w inny sposób,
  • osoba cofa zgodę na przetwarzanie danych,
  • osoba wyraża sprzeciw w temacie przetwarzania danych (m.in. na potrzeby marketingu bezpośredniego),
  • dane przetwarzane są/były niezgodnie z prawem.

Po piąte, osoba, której dane podlegają przetwarzaniu ma prawo do przeniesienia swoich danych na inny podmiot przetwarzający.

 

Bezpieczeństwo przetwarzanych danych

Oczywiście, głównym obowiązkiem podmiotów przetwarzających dane osobowe jest przetwarzanie ich zgodnie z obowiązującym prawem, przy zachowaniu przejrzystości procedowania otrzymanych danych.

Dane osobowe należy: zbierać zgodnie z celem ich przetwarzania oraz przechowywać w sposób, który umożliwia identyfikację dostępu oraz jego zakresu poszczególnych osób. Dane powinny być przechowywane nie dłużej niż to konieczne dla wyznaczonego celu.

Przetwarzający, jest zobowiązany do zapewnienia zebranym danym bezpieczeństwa i ochrony. Szczególnie przed nieautoryzowanym lub bezprawnym dostępem, przypadkową utratą danych lub ich zniszczeniem.

Przetwarzający na własną rękę powinien wdrożyć odpowiednie środki techniczne i organizacyjne, zapewniające bezpieczeństwo przechowywania oraz przetwarzania uzyskanych danych osobowych.

 

Obowiązki administratora danych i podmiotu przetwarzającego dane

GDPR oparty jest na nowym modelu ochrony danych osobowych, w którym podmiotem pełniącym odpowiedzialność za przetwarzanie danych jest administrator (ADO). Rolą administratora jest dalsze delegowanie obowiązków związanych z przetwarzaniem danych i zapewnieniem ich bezpieczeństwa. ADO przy rozdzielaniu obowiązków powinien pamiętać jednak, że to na nim ciąży odpowiedzialność prawna w razie nie wywiązania się z obowiązków.

Najważniejszym obowiązkiem ADO jest ustalenie procedur przetwarzania danych, które będą spełniać wymagania wynikające z GDPR/RODO oraz nadzór nad przetwarzanymi danymi. W razie kontroli ADO jest zobowiązany wykazać, że procedury i sposoby przetwarzania danych osobowych są zgodne z wymaganiami GDPR/RODO.

ADO odpowiedzialny jest za:

  • wybór i wdrożenie środków technicznych i organizacyjnych, które zapewnią ochronę danych na najwyższym poziomie;
  • nadzór i kontrola nad przeglądami technicznymi i bieżące wdrażanie niezbędnych aktualizacji;
  • przygotowanie i wdrożenie polityk ochrony danych;
  • opracowanie strategii działania w przypadku wystąpienia ryzyka naruszenia praw, wycieku, uszkodzenia lub utraty danych;
  • komunikację z podmiotem danych, szczególnie w zakresie przekazu informacji i weryfikacji tożsamości osób wnoszących żądania wglądu, zmiany, usunięcia danych przetwarzanych.

Uwaga!
W razie otrzymania od osoby, której dane są przetwarzane, żądania udzielenia informacji,
ADO ma maksymalnie miesiąc na udostępnienie danych, których dotyczy żądanie!

 

  • nanoszenie zmian w danych osobowych w zakresie sprostowania i uzupełniania danych oraz ich usuwania i ograniczenie przetwarzania, ponadto jeśli to konieczne realizuje proces przenoszenia danych;
  • współpracę z organem nadzorczym; stały monitoring bezpieczeństwa i poziomu ochrony przetwarzanych danych.

Podczas tworzenia nowych projektów należy pamiętać, że zgodnie z wchodzącymi od maja 2018 roku zmianami, ADO jest zobowiązany do uwzględnienia ochrony danych osobowych już na etapie projektowania rozwiązania, które ma zostać wdrożone.

 

KARY

Podstawowym założeniem, dotyczącym kar za naruszenia w zakresie ochrony danych osobowych, jest ustalenie dla podmiotu indywidualnej kary, która będzie skuteczna, proporcjonalna oraz odstraszająca. Jeżeli kara nałożona na podmiot przez organ nadzorczy nie będzie spełniała tych wymogów, zostanie uznana za sprzeczną z rozporządzeniem.

Czynniki, które wpłyną na wysokość kary:

  • jaki jest charakter, waga i czas trwania zgłoszonego naruszenia oraz kategoria danych osobowych, które podlegają naruszeniu?
  • czy naruszenie ma charakter umyślny, czy nieumyślny?
  • czy ADO podjął odpowiednie działania mające na celu minimalizację szkód, które mogły ponieść lub poniosły osoby, których dane podlegały przetwarzaniu?
  • w jaki sposób (uwzględniając wszystkie środki techniczne i organizacyjne) dane były zabezpieczane na każdym etapie ich procedowania?
  • czy jest to pierwszy przypadek naruszenia ze strony ADO?
  • Jeśli nie jest to pierwszy przypadek, czy ADO stosował się do zaleconych środków naprawczych? w jakim stopniu ADO podejmuje współpracę z organem nadzorczym w celu usunięcia naruszenia lub zminimalizowania jego skutków?
  • w jaki sposób organ nadzorczy dowiedział się o naruszeniu (szczególnie czy zostało ono zgłoszone przez ADO)?
  • czy podmiot stosuje się do zatwierdzonych kodeksów postępowania lub innych oficjalnych procedur?
  • czy w związku z naruszeniem podmiot uzyskał korzyści finansowe lub wykazał straty, których udało się uniknąć w związku z działaniami naprawczymi?

Wysokość administracyjnych kar pieniężnych
Konsekwencje finansowe, związane z niestosowaniem się do nowego rozporządzenia, zostały podzielone na kary:

  • za lekkie naruszenia w zakresie GDPR,
  • za ciężkie naruszenia w zakresie GDPR.

Pierwsze, wyniosą nawet 10.000.000 Euro. Dla przedsiębiorstw kara maksymalna za przewinienie obliczana będzie procentowo i wynosić do 2% całkowitego rocznego obrotu z poprzedniego roku obrotowego. Drugie, wyniosą nawet 20.000.000 Euro. Dla przedsiębiorstw kara maksymalna liczona będzie analogicznie jak w pierwszym przypadku, wartość procentowa będzie sięgała jednak do 4%.

Uwaga!
W obu przypadkach to kwota wyższa jest maksymalną wielkością kary!

Wróc

Spółka informatyczna. Od 20 lat na rynku.

Specjalizacja w IT dla biznesu. Stały rozwój kompetencji i przekrojowe doświadczenia w produkcji, integracji, wdrażaniu oraz utrzymaniu w ruchu rozwiązań informatycznych dla Małych i Średnich Przedsiębiorstw.

Kompetentni, operatywni, skuteczni.

Sprawdź nas