RODO

Od 25 maja 2018 r. w swojej bieżącej działalności przedsiębiorcy powinni stosować unijne ogólne rozporządzenie o ochronie danych (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.), znane w Polsce przede wszystkim pod skrótem „RODO”.

 

Nie każdy potrafi jednak odpowiedzieć na pytanie, w jakim zakresie RODO dotyczy także jego firmy, oraz w jaki sposób się do niego przygotować.  

 

Dla tych, którzy dopiero rozpoczynają swoją przygodę z RODO, nasi eksperci przygotowali krótkie podsumowanie nadchodzących zmian – podstawowy pakiet wiedzy każdego przedsiębiorcy, który  pomoże wyjaśnić najczęstsze wątpliwości.

user

Czy dotyczy mnie kwestia ochrony danych osobowych? Czy RODO ma wpływ również na moją firmę?

Prawie wszyscy przedsiębiorcy przetwarzają dane osobowe. Jeśli zbierasz dane swoich pracowników, klientów czy kontrahentów będących osobami fizycznymi (imię, nazwisko, numer telefonu, adres email i in.), rozsyłasz newsletter informujący o swojej działalności to jesteś administratorem danych.

W ramach tych czynności przetwarzasz dane osobowe i Twoim obowiązkiem jest zadbać o to, by było realizowane zgodnie z prawem.

graph-analysis(1)

Dlaczego powinienem wykazywać się dbałością o ochronę danych osobowych w swojej działalności?

Nowa regulacja ma na celu zmobilizowanie przedsiębiorców do realnego zatroszczenia się o przetwarzane dane, co ma być osiągnięte m.in. przez wprowadzenie realnej możliwości dochodzenia swoich roszczeń w sądzie przez osoby, których dane przetwarza administrator oraz system kar administracyjnych.

RODO przewiduje m.in. za niestosowanie się do wymogów bezpieczeństwa możliwość nałożenia kary w wysokości do 20.000.000,00 euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorcy.

3d-buildings

Czy RODO wprowadza nowe organy
kontroli?

Nowe regulacje zmieniają obowiązujące nazwy. Biuro Generalnego Inspektora Ochrony Danych Osobowych stanie się Urzędem Ochrony Danych Osobowych, na czele którego stanie Prezes Urzędu Ochrony Danych Osobowych (zastąpi Generalnego Inspektora Ochrony Danych Osobowych).

settings

Wdrożenie RODO w mojej firmie – od czego zacząć?

Nawet jeśli Twój system ochrony danych funkcjonował dotychczas bez zarzutu, powinieneś zweryfikować go pod kątem RODO m.in. w zakresie rodzaju przetwarzanych danych i ich miejsca w procesach firmy, zawartych umów powierzenia danych, wypełniania obowiązku informacyjnego, odebranych zgód, stosowanych przez Ciebie systemów informatycznych i zabezpieczeń.

Nowe uprawnienia osób fizycznych, takie jak np. prawo do zapomnienia, dla sprawnego działania będą wymagały od Ciebie wprowadzenia wewnętrznych procedur i dostosowania infrastruktury IT.

 

contract(2)

Jaką dokumentację dotyczącą przetwarzania danych powinienem posiadać?

RODO zakłada, że administrator danych będzie uświadamiał osobom fizycznym ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania przez te osoby przysługujących im praw.

W tym celu dobrym rozwiązaniem jest stosowanie polityk oraz wprowadzenie zapisów dotyczących danych osobowych do odpowiednich regulaminów lub ogólnych warunków świadczenia usług. Nadal przydatne będą również polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych, które były obligatoryjnymi dokumentami na gruncie aktualnej polskiej ustawy, a odpowiednio zmodyfikowane mogą stanowić rejestr czynności przetwarzania (jeśli zatrudniasz min. 250 pracowników będziesz obowiązany do jego prowadzenia, przy czym dla lepszej kontroli zasadnym może być jego wprowadzenie w każdym przedsiębiorstwie).

search-problem

Co powinienem zrobić w przypadku naruszenia zasad bezpieczeństwa danych?

Chodzi o naruszenie bezpieczeństwa danych, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych.

W przypadku wystąpienia takiej sytuacji powinieneś podjąć niezbędne czynności celem zminimalizowania szkód i wyeliminowania podobnych naruszeń w przyszłości. W ciągu 72 godzin po stwierdzeniu naruszenia administrator powinien je zgłosić Prezesowi Urzędu Ochrony Danych Osobowych (nowy GIODO), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli incydent generuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator powinien o zdarzeniu poinformować również osoby, których dane dotyczą.

 

 

gears-in-bald-head-side-view

Zamiast ABIego, Inspektor Ochrony Danych (IOD) – czy muszę go powołać?

W miejsce Administratora Bezpieczeństwa Informacji pojawia się Inspektor Ochrony Danych. Obowiązek powołania IOD nie jest jednak powszechny i będzie dotyczył grupy podmiotów, które np. przetwarzają dane osobowe w ramach swojej głównej działalności lub przetwarzają dane osobowe wrażliwe (np. dane o stanie zdrowia, dane biometryczne) na dużą skalę.

Poza tymi przypadkami powołanie Inspektora będzie należało do swobodnej decyzji podmiotu.

Powołanie IOD w żadnym przypadku nie będzie wyłączało jednak odpowiedzialności przedsiębiorcy za naruszenia związane z przetwarzaniem danych osobowych – w dalszym ciągu będzie za nie odpowiadał jako administrator lub podmiot przetwarzający.

 

shopping-list

Czy RODO to tylko dodatkowe
obowiązki?

RODO to również ułatwienie prowadzenia działalności i odformalizowanie części obowiązków administratora. Nie będzie już na przykład konieczne rejestrowanie zbiorów u Generalnego Inspektora Ochrony Danych Osobowych (w nowym stanie prawnym: Prezesa Urzędu Ochrony Danych Osobowych).

To także usprawnienie przepływu danych w ramach grup kapitałowych oraz usprawnienie kontaktu pomiędzy zagranicznymi organami nadzoru w przypadku odpowiednich zapytań administratora (gdy np. przetwarza dane w kilku krajach).

contract(3)

Czy ponownie powinienem odebrać zgody na przetwarzanie danych osobowych?

Jeżeli już przetwarzasz dane, a stosowane dotychczas przez Ciebie zgody na przetwarzanie danych osobowych były poprawne, prawdopodobnie spełniają one również wymogi RODO i nie musisz ich dodatkowo potwierdzać z osobami, których dane przetwarzasz (wymaga to oczywiście weryfikacji w konkretnych przypadkach). Należałoby jednak spełnić wobec takich osób zaktualizowany obowiązek informacyjny.

Jednocześnie, RODO nie wymaga, by zgody na przetwarzanie danych osobowych były zbierane w konkretnej, formalnej formie – może to nastąpić np. elektronicznie lub w każdy inny sposób jasno wskazujący, że zgoda została wyrażona (z zastrzeżeniem, że uzyskanie zgody należy móc wykazać w razie np. kontroli).

question-mark-in-a-circle-outline

Privacy by design, przenoszalność – o co chodzi?

.

Rozporządzenie wprowadza kilka nowych mechanizmów i uprawnień dla osób fizycznych. Może wydaje Ci się, że Ciebie nie dotyczą, bo nie jesteś dużym przedsiębiorcą lub nie przetwarzasz danych na dużą skalę – jest jednak inaczej. Nie zniechęcaj się do nich.

Chodzi m.in. o:

 

Privacy by design / privacy by default –  Twoja wrażliwość powinna przejawiać się już na etapie projektowania systemu pracy w Twojej organizacji, by z czasem stała się czymś naturalnym – myślenie o ochronie danych powinno wejść w krew Tobie i Twoim pracownikom.

 

Przenoszalność – osoba, której dane przetwarzasz, może zażądać przekazania jej danych osobowych w ustrukturyzowanym, powszechnie używanym formacie. Ma również prawo wymagać, by dane te zostały przesłane bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe (np. historia zamówień pomiędzy jednym sklepem internetowym a drugim).

 

Prawo do zapomnienia – każda osoba, której dane przetwarzasz może zwrócić się do Ciebie o całkowite usunięcie wszystkich lub niektórych danych. Musisz wówczas usunąć je ze wszystkich miejsc, w których kiedykolwiek je zapisałeś/przechowywałeś oraz poinformować wszystkie podmioty, którym te dane kiedykolwiek udostępniłeś lub powierzyłeś, by również usunęły wszystkie ich kopie (chyba, że ich przechowywanie wymagane jest np. przez przepisy prawa).

archive(1)

Czy w Urzędzie Ochrony Danych mogę potwierdzić, że moja firma spełnia wymogi RODO?

Tak, Prezes Urzędu Ochrony Danych Osobowych będzie uprawniony do przeprowadzania procedury certyfikacyjnej, w której toku sprawdzone zostanie, czy przedsiębiorstwo działa zgodnie z zasadami RODO.

Certyfikacja będzie dobrowolna, lecz otrzymanie certyfikatu może być sygnałem dla Twoich kontrahentów, że współpraca z Tobą zapewni ochronę przekazywanych Tobie danych, co wzmocni Twoją wiarygodność i konkurencyjność.

Chcesz wiedzieć więcej? Zapoznaj się z broszurą, którą przygotowaliśmy na temat zmian, jakie wprowadzi RODO

Broszura RODO

Poniżej znajdują się nasze publikacje na temat danych osobowych:

Jak pomagamy z RODO?

11
2
3
4
5
6
7
8

Kompleksowy audyt zasad przetwarzania danych osobowych w firmie, w tym:

  • Praktyczna identyfikacja naruszeń przepisów (aktualnych oraz RODO)
  • Formalna analiza wewnętrznych dokumentów administratora
  • Weryfikacja legalności przetwarzania (w tym co do zakresu i celu)

Uwaga: audyt można poszerzyć o badanie również zasad ochrony tajemnicy przedsiębiorstwa / informacji poufnych w firmie (własnych i powierzonych)

Wypracowanie dedykowanego modelu przetwarzania danych w firmie, dostosowanego do potrzeb administratora, w tym:

  • Współpraca z zespołem IT w celu stworzenia skutecznych, praktycznych mechanizmów
  • Stworzenie/ aktualizacja istniejącej dokumentacji dot. przetwarzania danych osobowych
  • Zdefiniowanie obszarów wymagających prac po stronie firmy w celu przygotowania się na nowe obowiązki prawne (RODO)

Opracowanie strategii międzynarodowego transferu danych, w tym:

  • Identyfikacja przepływów danych
  • Opracowanie i wdrożenie narzędzi transferu danych (np. wiążących reguł korporacyjnych, kodeksów postępowania, zasad transferu UE – USA)

Opracowanie wzorcowych klauzul umownych i wzorów umów (np. umowy powierzenia danych osobowych)

.

Stworzenie procedur na wypadek naruszeń bezpieczeństwa w zakresie przetwarzania danych osobowych oraz na wypadek kontroli GIODO

.

Przeprowadzenie kompleksowego szkolenia dla pracowników uczestniczących w przetwarzaniu danych osobowych

.

Audyt powdrożeniowy, weryfikujący prawidłowość zastosowanych rozwiązań, zakończony przyznaniem certyfikatu compliance dla firmy oraz przeszkolonych pracowników

Outsourcing Inspektora Ochrony Danych, w tym:

  • Bieżący dostęp do doradcy
  • Udział w projektach, które wymagają konsultacji
  • Monitorowanie przestrzegania przepisów
  • Współpraca z Urzędem Ochrony Danych Osobowych

Zachęcamy do kontaktu z naszymi specjalistami:

Magdalena Kaleta

Magdalena Kaleta-Maniak
senior consultant
adwokat
magdalena.kaleta@olesinski.com
795 431 564

Ludmiła Kapała

Ludmiła Łuczak
senior consultant
radca prawny
ludmila.luczak@olesinski.com

602 721 249

IMG_5563_Paulina_Maślak_Stępnikowska

Paulina Maślak-Stępnikowska
senior consultant
aplikant radcowski
paulina.maslak-stepnikowska@olesinski.com
532 756 381

Andrzej Boboli

Andrzej Boboli
senior consultant
aplikant radcowski
andrzej.boboli@olesinski.com
532 857 937

IMG_0814 Wojciech Frankiewicz

Wojciech Frankiewicz
senior consultant
aplikant adwokacki
wojciech.frankiewicz@olesinski.com
532 857 937