zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

Przygotuj firmę do RODO

Do 25 maja 2018r. pozostało:
 • 00

  Dni

 • 00

  Godziny

 • 00

  Minuty

 • 00

  Sekundy

pic pic

Rozporządzenie o Ochronie Danych Osobowych (RODO)

Od 25 maja 2018 roku wszystkie firmy przechowujące i przetwarzające dane osobowe będą musiały dostosować się do jednolitych regulacji w sprawie ochrony tych danych. Przedsiębiorcy muszą nie tylko zapoznać się z nowymi przepisami, ale też dostosować do nich sposób działania firmy i pracowników.

Rozporządzenia RODO zostało wprowadzone w życie we wszystkich krajach członkowskich Unii Europejskiej. Będzie nawet obowiązywało w Wielkiej Brytanii po Brexicie.

W polskich warunkach po wejściu rozporządzenia RODO zmiany dotkną także inne akty prawne, w tym głównie ustawę o ochronie danych osobowych. Zatem to już ostatni dzwonek, by przygotować swoje struktury organizacyjne do zbliżających się w ekspresowym tempie zmian.

Według danych Gartnera ponad połowa europejskich firm nie będzie gotowa z przygotowaniami do spełnienia warunków stawianych przez RODO przed 25 maja 2018 r.

Według raportu Kantar Public jedynie 8 proc. firm procesuje wdrażania nowych regulacji. Najmniejsza wiedza na temat RODO panuje wśród najmniejszych przedsiębiorstw.

Według raportu KPMG w odniesieniu do 76 proc. firm istnieje ryzyko braku pełnej zgodności do nowych regulacji. Jedynie 9 proc. organizacji deklaruje pełną zgodność do RODO potwierdzoną zewnętrznym audytem. Natomiast aż 38 proc. odpowiedziało, że nie prowadzi żadnych działań w zakresie przygotowań do RODO lub jest dopiero przed podjęciem jakichkolwiek działań.

Weź udział w ankiecie

Odpowiedz na 11 pytań i dowiedz się w jakich obszarach podlegasz pod RODO?

Kary za naruszenia

Do 20 mln euro lub do 4% wartości globalnego obrotu firmy za naruszenia: Do 10 mln euro lub do 2% wartości globalnego obrotu firmy za naruszenia:
Zasad przetwarzania danych osobowych Zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (privacy by design / by default)
Warunków wyrażania zgody na przetwarzanie danych W przetwarzaniu danych z upoważnienia administratora danych lub podmiotu przetwarzającego
W dostępie do danych dla osób, których dane są przetwarzane W zakresie rejestracji czynności przetwarzania
Prawa osób do korygowania i usuwania przetwarzanych danych Zasad współpracy z organem nadzorczym.
Zasad bezpieczeństwa danych.

Uwaga!
25 maja 2018 na zgłoszenie do organów nadzorczych wszelkich naruszeń RODO będziesz mieć tylko 72 godziny

Czym są dane osobowe?

Według regulacji RODO dane osobowe to jakiekolwiek informacje o już zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Chodzi przede wszystkim o takie dane jak:

 • imię i nazwisko,
 • numer identyfikacyjny,
 • dane o lokalizacji,
 • identyfikator internetowy,
 • jeden bądź kilka szczególnych czynników określających: fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Drakońskie kary za naruszenie przepisów

Przetwarzanie danych osoby fizycznej, która nie wyraziła na to zgody, może skutkować nałożeniem kary administracyjnej w wysokości do 20 000 000 euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Wysokość sankcji zależy od tego, która z tych kwot będzie wyższa.

RODO daje prawo do wycofania udzielonej wcześniej zgody w dowolnym momencie. W takiej sytuacji administrator danych (jeśli nie ma innej podstawy do przetwarzania danych, jak np. konieczność wykonania zawartej umowy) musi zaprzestać przetwarzania danych tej osoby.

Podstawowe zasady, którymi należy kierować się przetwarzając dane osobowe:

icon

zasada minimalizacji danych – przetwarzanie danych należy ograniczyć do niezbędnego minimum. Należy określić cele i odpowiadające im rodzaje danych oraz ustalić termin usuwania i okresowego przeglądu danych;

icon

zasada integralności i poufności – przetwarzanie musi się odbywać w sposób gwarantujący odpowiedni poziom bezpieczeństwa: dane nie mogą być modyfikowane, usuwane, rozszerzane czy niszczone w sposób nieautoryzowany;

icon

zasada rozliczalności – obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających zgodność działań z wymogami RODO (np. wprowadzenie rozwiązań umożliwiających realizację praw osób, których dane dotyczą). Wymaga to wdrożenia odpowiednich procedur i prowadzenia rzetelnej dokumentacji.

Na jakie uprawnienia osób fizycznych musisz zwrócić szczególną uwagę, by być zgodnym z RODO?

icon

prawo do bycia zapomnianym (administrator danych musi je wówczas usunąć z systemów),

icon

prawo do przeniesienia danych do innego podmiotu,

icon

prawo do sprzeciwu wobec przetwarzania danych,

icon

prawo do uzupełniania i żądania korekty danych.

Powinności przedsiębiorców wobec RODO

Całościowa dbałość o ochronę danych osobowych
Przedsiębiorstwa nie będą już musiały rejestrować w GIODO swoich baz danych. Będą natomiast miały obowiązek zbudowania systemu ochrony danych osobowych zgodnie z wymogami RODO. Musi on uwzględniać dwie główne zasady:

 • privacy by design, privacy by default,
 • privacy impact assessment.

Privacy by design and Privacy by default

Należy zapewnić całościową ochronę danych osobowych, którą nazwano „prywatnością domyślną” i „prywatnością od podstaw” (privacy by design and by default). Ochrona danych ma być wbudowywana w usługę lub produkt już na etapie ich projektowania (by design) i ma być aktywna domyślnie (by default), bez konieczności podejmowania działań przez osoby, których dane dotyczą.

Privacy impact assessment

Z powyższymi wiąże się trzecia zasada: privacy impact assessment. Nakłada ona na administratora obowiązek dokonania oceny skutków operacji przetwarzania dla ochrony danych osobowych. Ocena powinna uwzględniać takie czynniki, jak: charakter, zakres, kontekst i cele operacji przetwarzania oraz zastosowanie technologii. Dokonanie rzetelnej oceny ma szczególne znaczenie w przypadku stosowania mechanizmów profilowania.

Jak zatrudnić Inspektora Ochrony Danych (IOD)?

Dotychczas w Polsce działali administratorzy bezpieczeństwa informacji (ABI). RODO wprowadza zmianę – miejsce ABI zajmą inspektorzy ochrony danych (IOD). Obowiązki IOD dotyczą przede wszystkim ciągłej kontroli zgodności prowadzonych działań z obowiązującym prawem. IOD odpowiadać mają także za kontakt z Urzędem Ochrony Danych Osobowych.

Firmy zatrudniające powyżej 250 osób będą miały obowiązek zatrudnienia IOD. Podobnie, bez względu na skalę prowadzonej działalności, wszystkie podmioty administracji publicznej przetwarzające dane osobowe, a także jednostki przetwarzające dane wrażliwe (placówki oświatowe, placówki służby zdrowia itd.).

Inspektorem nie musi być pracownik firmy, może to być ekspert zewnętrzny. Ekspert taki może pełnić funkcje IOD w kilku różnych firmach. Ważne jest, aby każda z tych firm miała z nim łatwy i stały kontakt. Funkcję IOD może też pełnić wyznaczony zespół, ze wskazanym kierownikiem. Możliwe jest również pełnienie funkcji IOD przez dotychczasowego ABI.

Przygotowanie systemów informatycznych do RODO

Kontrola nad danymi osobowymi oraz ich przetwarzaniem będzie wymagała od przedsiębiorców dostosowania środowisk IT, gdyż bez właściwego zaplecza technologicznego trudno będzie zagwarantować zgodność z RODO.

Przygotuj się krok po kroku

W pierwszej kolejności należy zweryfikować obecne systemy zabezpieczeń. Może się okazać, że obecnie stosowane zabezpieczenia już są zgodne z RODO. Istotne jest zabezpieczanie danych przed zagrożeniami różnego rodzaju – zewnętrznymi (kradzież danych, nieautoryzowany dostęp) oraz wewnętrznymi.

Uwaga na używane w firmach pendrive’y

W odniesieniu do korzystania z zewnętrznych nośników danych niezbędne jest opracowanie i wdrożenie procedur zgodnych z RODO, a wszelkie incydenty związane z utratą danych muszą być niezwłocznie zgłaszane. Badania wskazują, że nawet 90 proc. pracowników używa pamięci USB do zapisywania, przechowywania, kopiowania i przenoszenia danych – także danych osobowych.

8 na 10 pracowników używa w pracy prywatnych dysków zewnętrznych, a jedynie 20 proc. szyfruje tego rodzaju urządzenia. W zdecydowanej większości pendrivy nie są chronione hasłami, zatem zgubienie lub kradzież takiego nośnika automatycznie może oznaczać wyciek danych z firmy.

87 proc. pracownikom zdarzyło się przynajmniej raz zgubić pamięć flash, na której zapisane były firmowe dane.

Dla zapewnienia ochrony danych zgodnej z RODO firmy powinny zdecydować się na inwestycje przede wszystkim w:

 • rozwiązania do pseudonimizacji, szyfrowania i anonimizacji danych osobowych,
 • rozwiązania do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie naruszenia,
 • rozwiązania do przeprowadzania testów, pomiaru i oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,
 • stworzenie spójnej infrastruktury informatycznej opierającej się na sprawdzonych serwerach i systemach służących do przetwarzania danych osobowych.

Niemal połowa firm musi zaktualizować swoje systemy IT

Z pewnością zaistnieje też potrzeba dostosowania systemów IT do nowych wymogów prawnych, m.in. w zakresie bezpowrotnego usuwania danych osobowych z baz danych, kopii zapasowych i archiwów. Na konieczność dostosowania systemów IT do nowych przepisów wskazuje niemal połowa (49%) firm.

Weź udział w szkoleniu Sage Academy na temat RODO

Programy szkoleń: RODO dla biur rachunkowych oraz dla działów kadrowych zawierają następujące elementy:

 • Praktyczny poradnik dla przedsiębiorców na temat RODO – e-book.
 • Wideo – szkolenie: „RODO dla służb kadrowo – księgowych” wprowadzające do tematyki RODO, prowadzi Paweł Ziółkowski, prawnik, ekspert w obszarze prawa pracy, trener.
 • Szkolenie stacjonarne obejmujące najważniejsze zagadnienia dotyczące prawnych aspektów RODO
 • Wideo – poradnik: RODO w programach Sage

Zakres tematyczny szkoleń RODO Sage Academy

 • Zasady przetwarzania danych osobowych,
 • Dane osobowe szczególnych kategorii,
 • Zgoda na przetwarzanie danych,
 • Obowiązki administratorów danych:
  • obowiązek rejestrowania czynności przetwarzania danych osobowych,
  • obowiązek zgłaszania naruszeń ochrony danych osobowych,
 • Szacowanie ryzyka związanego z przetwarzaniem danych osobowych,
 • Inspektor ochrony danych,
 • Podmiot przetwarzający (procesor),
 • Sankcje za naruszenia,
 • Przekazywanie danych poza UE,
 • Kodeksy postępowania i certyfikacja.

Baza wiedzy

Nie zostajesz z RODO sam! Zajrzyj do naszej bazy artykułów o RODO, zapisz się na newsletter, w którym cyklicznie będziesz dostawać wiedzę na temat Twoich obowiązków.

Wszystko, co musisz wiedzieć na temat RODO
znajdziesz w naszym bezpłatnym newsletterze

*
*