zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

RODO już obowiązuje

Sprawdź czy jesteś gotowy na 100%
pic pic

Rozporządzenie o Ochronie Danych Osobowych (RODO)

Od 25 maja 2018 r. wszystkie firmy przechowujące i przetwarzające dane osobowe mają obowiązek dostosowania się do jednolitych regulacji w sprawie ochrony tych danych.

Rozporządzenie RODO zostało wprowadzone w życie we wszystkich krajach członkowskich Unii Europejskiej. Także w Wielkiej Brytanii, gdzie będzie obowiązywało nawet po Brexicie.

W Polsce zmiany związane z RODO dotknęły innych aktów prawnych, w tym przede wszystkim ustawy o ochronie danych osobowych.

Ochrona danych osobowych to proces ciągły, który trzeba monitorować na bieżąco. W każdej chwili może wydarzyć się incydent związany z wyciekiem danych lub skarga pracownika albo klienta. W przypadku RODO przedsiębiorcy muszą mieć oczy szeroko otwarte przez cały czas.

Czym są dane osobowe według RODO?

Zapisz się na Newsletter Prawny Sage, aby mieć dostęp do aktualnych informacji
i bezpłatnych porad z zakresu ochrony danych osobowych i nie tylko.

Zapisz się

Programy Sage są gotowe do RODO.


Korzystając z aktualnego oprogramowania Sage sprawnie obsłużysz:

  • prawo do zapomnienia, dzięki opcji anonimizacji danych pracowników i kontrahentów
  • zarządzanie historią zmian i raportami o zmianach danych
  • kontrolę nad dostępem do danych dzięki rejestrowaniu nieudanych prób logowania

Uwaga!
Na zgłoszenie do organów nadzorczych wszelkich naruszeń RODO masz tylko 72 godziny!
Dowiedz się, w jaki sposób przygotować firmowe procedury do tego kroku

Czym są dane osobowe?

Według regulacji RODO dane osobowe to jakiekolwiek informacje o już zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Chodzi przede wszystkim o takie dane jak:

  • imię i nazwisko,
  • numer identyfikacyjny,
  • dane o lokalizacji,
  • identyfikator internetowy,
  • jeden bądź kilka szczególnych czynników określających: fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Drakońskie kary za naruszenie przepisów

Przetwarzanie danych osoby fizycznej, która nie wyraziła na to zgody, może skutkować nałożeniem kary administracyjnej w wysokości do 20 000 000 euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Wysokość sankcji zależy od tego, która z tych kwot będzie wyższa.

RODO daje prawo do wycofania udzielonej wcześniej zgody w dowolnym momencie. W takiej sytuacji administrator danych (jeśli nie ma innej podstawy do przetwarzania danych, jak np. konieczność wykonania zawartej umowy) musi zaprzestać przetwarzania danych tej osoby.

Do 20 mln euro lub do 4% wartości globalnego obrotu firmy za naruszenia: Do 10 mln euro lub do 2% wartości globalnego obrotu firmy za naruszenia:
Zasad przetwarzania danych osobowych Zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (privacy by design / by default)
Warunków wyrażania zgody na przetwarzanie danych W przetwarzaniu danych z upoważnienia administratora danych lub podmiotu przetwarzającego
W dostępie do danych dla osób, których dane są przetwarzane W zakresie rejestracji czynności przetwarzania
Prawa osób do korygowania i usuwania przetwarzanych danych Zasad współpracy z organem nadzorczym.
Zasad bezpieczeństwa danych.

Podstawowe zasady, którymi należy kierować się przetwarzając dane osobowe:

icon

zasada minimalizacji danych – przetwarzanie danych należy ograniczyć do niezbędnego minimum. Należy określić cele i odpowiadające im rodzaje danych oraz ustalić termin usuwania i okresowego przeglądu danych;

icon

zasada integralności i poufności – przetwarzanie musi się odbywać w sposób gwarantujący odpowiedni poziom bezpieczeństwa: dane nie mogą być modyfikowane, usuwane, rozszerzane czy niszczone w sposób nieautoryzowany;

icon

zasada rozliczalności – obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających zgodność działań z wymogami RODO (np. wprowadzenie rozwiązań umożliwiających realizację praw osób, których dane dotyczą). Wymaga to wdrożenia odpowiednich procedur i prowadzenia rzetelnej dokumentacji.

Na jakie uprawnienia osób fizycznych musisz zwrócić szczególną uwagę, by być zgodnym z RODO?

icon

prawo do bycia zapomnianym (administrator danych musi je wówczas usunąć z systemów),

icon

prawo do przeniesienia danych do innego podmiotu,

icon

prawo do sprzeciwu wobec przetwarzania danych,

icon

prawo do uzupełniania i żądania korekty danych.

Powinności przedsiębiorców wobec RODO

Całościowa dbałość o ochronę danych osobowych
Przedsiębiorstwa nie będą już musiały rejestrować w GIODO swoich baz danych. Będą natomiast miały obowiązek zbudowania systemu ochrony danych osobowych zgodnie z wymogami RODO. Musi on uwzględniać dwie główne zasady:

  • privacy by design, privacy by default,
  • privacy impact assessment.

Privacy by design and Privacy by default

Należy zapewnić całościową ochronę danych osobowych, którą nazwano „prywatnością domyślną” i „prywatnością od podstaw” (privacy by design and by default). Ochrona danych ma być wbudowywana w usługę lub produkt już na etapie ich projektowania (by design) i ma być aktywna domyślnie (by default), bez konieczności podejmowania działań przez osoby, których dane dotyczą.

Privacy impact assessment

Z powyższymi wiąże się trzecia zasada: privacy impact assessment. Nakłada ona na administratora obowiązek dokonania oceny skutków operacji przetwarzania dla ochrony danych osobowych. Ocena powinna uwzględniać takie czynniki, jak: charakter, zakres, kontekst i cele operacji przetwarzania oraz zastosowanie technologii. Dokonanie rzetelnej oceny ma szczególne znaczenie w przypadku stosowania mechanizmów profilowania.

Jak zatrudnić Inspektora Ochrony Danych (IOD)?

Dotychczas w Polsce działali administratorzy bezpieczeństwa informacji (ABI). RODO wprowadza zmianę – miejsce ABI zajmą inspektorzy ochrony danych (IOD). Obowiązki IOD dotyczą przede wszystkim ciągłej kontroli zgodności prowadzonych działań z obowiązującym prawem. IOD odpowiadać mają także za kontakt z Urzędem Ochrony Danych Osobowych.

Firmy zatrudniające powyżej 250 osób będą miały obowiązek zatrudnienia IOD. Podobnie, bez względu na skalę prowadzonej działalności, wszystkie podmioty administracji publicznej przetwarzające dane osobowe, a także jednostki przetwarzające dane wrażliwe (placówki oświatowe, placówki służby zdrowia itd.).

Inspektorem nie musi być pracownik firmy, może to być ekspert zewnętrzny. Ekspert taki może pełnić funkcje IOD w kilku różnych firmach. Ważne jest, aby każda z tych firm miała z nim łatwy i stały kontakt. Funkcję IOD może też pełnić wyznaczony zespół, ze wskazanym kierownikiem. Możliwe jest również pełnienie funkcji IOD przez dotychczasowego ABI.

Przygotowanie systemów informatycznych do RODO

Kontrola nad danymi osobowymi oraz ich przetwarzaniem będzie wymagała od przedsiębiorców dostosowania środowisk IT, gdyż bez właściwego zaplecza technologicznego trudno będzie zagwarantować zgodność z RODO.

Przygotuj się krok po kroku

W pierwszej kolejności należy zweryfikować obecne systemy zabezpieczeń. Może się okazać, że obecnie stosowane zabezpieczenia już są zgodne z RODO. Istotne jest zabezpieczanie danych przed zagrożeniami różnego rodzaju – zewnętrznymi (kradzież danych, nieautoryzowany dostęp) oraz wewnętrznymi.

Uwaga na używane w firmach pendrive’y

W odniesieniu do korzystania z zewnętrznych nośników danych niezbędne jest opracowanie i wdrożenie procedur zgodnych z RODO, a wszelkie incydenty związane z utratą danych muszą być niezwłocznie zgłaszane. Badania wskazują, że nawet 90 proc. pracowników używa pamięci USB do zapisywania, przechowywania, kopiowania i przenoszenia danych – także danych osobowych.

8 na 10 pracowników używa w pracy prywatnych dysków zewnętrznych, a jedynie 20 proc. szyfruje tego rodzaju urządzenia. W zdecydowanej większości pendrivy nie są chronione hasłami, zatem zgubienie lub kradzież takiego nośnika automatycznie może oznaczać wyciek danych z firmy.

87 proc. pracownikom zdarzyło się przynajmniej raz zgubić pamięć flash, na której zapisane były firmowe dane.

Dla zapewnienia ochrony danych zgodnej z RODO firmy powinny zdecydować się na inwestycje przede wszystkim w:

  • rozwiązania do pseudonimizacji, szyfrowania i anonimizacji danych osobowych,
  • rozwiązania do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie naruszenia,
  • rozwiązania do przeprowadzania testów, pomiaru i oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,
  • stworzenie spójnej infrastruktury informatycznej opierającej się na sprawdzonych serwerach i systemach służących do przetwarzania danych osobowych.

Niemal połowa firm musi zaktualizować swoje systemy IT

Z pewnością zaistnieje też potrzeba dostosowania systemów IT do nowych wymogów prawnych, m.in. w zakresie bezpowrotnego usuwania danych osobowych z baz danych, kopii zapasowych i archiwów. Na konieczność dostosowania systemów IT do nowych przepisów wskazuje niemal połowa (49%) firm.

Baza wiedzy

Nie zostajesz z RODO sam! Zajrzyj do naszej bazy artykułów o RODO, zapisz się na newsletter, w którym cyklicznie będziesz dostawać wiedzę na temat Twoich obowiązków.