RODO, czyli co się zmieni oraz do czego (i jak) trzeba się przygotować.

Podobne dokumenty
Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

I. Podstawowe Definicje

PRAWA PODMIOTÓW DANYCH - PROCEDURA

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

Niepełnosprawność: szczególna kategoria danych osobowych

RODO w Hodowli, czy nas dotyczy? Doradca Podatkowy Marek Rudy nr wpisu Wojciech Nowakowski

POLITYKA OCHRONY DANYCH OSOBOWYCH

Klauzula informacyjna o przetwarzaniu danych osobowych

RODO W WYKONYWANIU ZAWODU RADCY PRAWNEGO

RODO A DANE BIOMETRYCZNE

Klauzula informacyjna o przetwarzaniu danych osobowych.

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Polityka prywatności spółki BERDA spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Płochocinie

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Opracował Zatwierdził Opis nowelizacji

Szanowni Państwo, Z poważaniem. Dyrektor

Polityka Ochrony Danych Osobowych. Magdalena Młynarczyk Lege Artis Biuro Obrotu Nieruchomościami

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH PRZEZ FOR EVER SPÓŁKA Z OGRANICZONA ODPOWIEDZIALNOŚCIĄ

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

Przesłanki przetwarzania danych osobowych zgodnie z prawem. dr Jarosław Greser

POLITYKA PRYWATNOŚCI

Ustawa wdrażająca RODO- uwaga na zmiany obowiązujących przepisów

REJESTR CZYNNOŚCI PRZETWARZANIA

rodo. ochrona danych osobowych.

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

ZAŁĄCZNIK SPROSTOWANIE

Słowniczek pojęć. Nowa regulacja ma przyczynić się do tworzenia przestrzeni wolności, bezpieczeństwa

Radom, 13 kwietnia 2018r.

POLITYKA PRYWATNOŚCI

Zmiany w prawie pracy w 2018/2019 z uwzględnieniem RODO oraz elektronizacji dokumentacji pracowniczej

Procedury w postępowaniu z danymi osobowymi kandydatów do pracy w Szpitalu Specjalistycznym w Brzozowie

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

art. 13 ust. 1 3 rozporządzenia 2016/679 (RODO)

POLITYKA PRYWATNOŚCI

Podmiot przetwarzający to osoba fizyczna lub podmiot, który przetwarza dane osobowe w imieniu administratora.

POLITYKA OCHRONY DANYCH OSOBOWYCH

poleca e-book Instrukcja RODO

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

POLITYKA OCHRONY DANYCH OSOBOWYCH

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

dla przedsiębiorcy Jana Kaczkowskiego (dalej Dostawca Usług). Dostawca usług powołał Inspektora Ochrony Danych, z którym kontakt możliwy jest

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Wdrożenie Rozporządzenia o Ochronie Danych Osobowych w ZHP Chorągwi Wielkopolskiej im. Powstańców Wielkopolskich

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

1. Podstawowe zasady przetwarzania danych w Spółce

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

System bezpłatnego wsparcia dla NGO

Czym jest RODO/ GDPR?

OGRANICZENIE PRZETWARZANIA:

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Magdalena Jacolik Mgr Prawa Europejskiego Aliant Krzyżowska Międzynarodowa Kancelaria Prawna

OCHRONA DANYCH OD A DO Z

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Klauzula informacyjna Administratora Danych Osobowych dla Kandydatów na pracowników i zleceniobiorców

1. 5 Użytkownik każda osoba fizyczna odwiedzająca Serwis lub korzystająca z jednej albo kilku usług czy funkcjonalności opisanych w Polityce.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Szkoły Podstawowej nr 3 im. Henryka Brodatego w Złotoryi

WNIOSEK W SPRAWIE PRZYZNANIA POMOCY MATERIALNEJ

Związki zawodowe a ochrona danych osobowych. D r M a r c i n W u j c z y k

ECDL RODO Sylabus - wersja 1.0

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

KLAUZULA INFORMACYJNA DLA KANDYDATÓW DO PRACY (REKRUTACJA) Data: r. Wersja 2

Nowe przepisy i zasady ochrony danych osobowych

Szkolenie. Ochrona danych osobowych

Ochrona wrażliwych danych osobowych

Zbiór danych osobowych Skargi, wnioski, podania

RODO - wybrane informacje ogólne

POLITYKA PRYWATNOŚCI I. INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

Polityka Prywatności Globe Group sp. z o. o.

REGULAMIN OCHRONY DANYCH OSOBOWYCH W Nice Polska Sp. z o.o.

Polityka Prywatności B2Net Systems sp. z o. o.

dr Magdalena Celeban Licencja (CC BY)

1 Postanowienia ogólne. 2 Podstawowe definicje

Akta pracownicze w Polsce gotowe do RODO? Od dnia 25 maja 2018r. w Polsce, jak i w całej Unii Europejskiej, podmioty przetwarzające

REGULAMIN FUNKCJONOWANIA MONITORINGU WIZYJNEGO W SPÓŁDZIELNI MIESZKANIOWEJ MIŁA

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Pakiet RODO MEDFOOD GROUP Sp. Z O.O.

DROGI KANDYDACIE. Spełniając obowiązek informacyjny wynikający z RODO (art. 13 ust. 1 i ust. 2) pragniemy poinformować, iż: cd. >

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

POLITYKA PRYWATNOŚCI

OBOWIĄZEK INFORMACYJNY RODO

WNIOSEK W SPRAWIE PRZYZNANIA POMOCY MATERIALNEJ

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Zgoda wnioskodawcy na przetwarzanie danych osobowych, w tym danych szczególnych kategorii

POLITYKA PRYWATNOŚCI

RODO W WYKONYWANIU ZAWODU RADCY PRAWNEGO

... WNIOSEK O ZWOLNIENIE Z OBOWIĄZKU OPŁACANIA SKŁADKI CZŁONKOWSKIEJ

Przetwarzanie danych osobowych w przedsiębiorstwie

Klauzula informacyjna o przetwarzaniu danych osobowych

INFORMACJA RODO DLA KONTRAHENTÓW WĘGLOKOKS S.A. ICH PRACOWNIKÓW, WSPÓŁPRACOWNIKÓW ORAZ PEŁNOMOCNIKÓW. I [Administrator danych]

Transkrypt:

O R Y G I N A Ł / O D P I S RODO, czyli co się zmieni oraz do czego (i jak) trzeba się przygotować. W dniu 25 maja 2018 r. wejdzie w życie tzw. rozporządzenie RODO 1, które ma na celu wprowadzenie jednolitych zasad przetwarzania danych osobowych na terenie Unii Europejskiej. Oznacza to, że obecnie obowiązująca ustawa o ochronie danych osobowych zostanie uchylona i zastąpiona nową ustawą 2, która będzie określać jedynie sposób postepowania krajowymi organami nadzoru (obecnym GIODO). Do czego RODO znajdzie zastosowanie? RODO dotyczy przetwarzania każdej informacji o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W przypadku przedsiębiorców RODO znajdzie zastosowanie m.in. do informacji o pracownikach, współpracownikach, konsumentach oraz kontrahentach będących osobami fizycznymi. RODO ma zastosowanie do wszystkich informacji takich jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji (np. dane pochodzące z monitoringu na terenie zakładu pracy, dane z nadajnika GPS zamieszczonego w samochodzie firmowym), identyfikator internetowy, dane o zdrowiu osoby fizycznej, etc. Czy wszystkie dane są chronione jednakowo? W RODO wyszczególniono szczególne kategorie danych osobowych, których przetwarzanie jest ograniczone. Zabronione jest przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Przetwarzanie tych danych dopuszczalne jest jedynie w wypadkach uzasadnionych przepisami prawa krajowego lub wyraźną zgodą osoby, której dane dotyczą. Jakie są zasady przetwarzania danych na podstawie RODO? W art. 5 RODO określono zasady, którymi administrator musi się kierować przetwarzając dane osobowe. Administrator w każdej chwili musi być w stanie wykazać, że przestrzega tych zasad (z tych względów zalecane 1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. 2 Tak wynika z aktualnego projektu ustawy o ochronie danych osobowych dostępnego na stronie Rządowego Centrum Legislacji. Strona 1 z 5

jest przyjęcie określonych regulaminów, polityk postępowania z danymi osobowymi, aby okoliczność tę udowodnić). Zgodnie z tym przepisem, dane osobowe muszą być: A. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą administrator musi być w stanie wykazać istnienie podstawy do przetwarzania danych, zgoda musi być uzyskana w sposób ważny i skuteczny (np. nie można uzależnić zawarcia umowy od udzielenia przez drugą stronę zgody na przetwarzanie jej danych w celu niezwiązanym z umową, ani też nie można domniemywać istnienia zgody). B. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach dane osobowe muszą być zbierane w oznaczonym celu, wiadomym osobie, której dane dotyczą i bez jej zgody nie mogą być wykorzystywane w innych celach. C. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane administrator powinien ograniczyć przetwarzanie danych tylko, co do tych, które są mu niezbędne. Do minimum należy ograniczyć przetwarzanie danych oraz krąg odbiorców, którym dane te mają być udostępniane. D. prawidłowe i w razie potrzeby uaktualniane administrator powinien podejmować wszelkie działania, aby sprostować nieprawidłowe dane, a jest obowiązany jest sprostować na żądanie osoby, której dane dotyczą. E. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane gdy ustanie potrzeba przetwarzania danych osobowych (np. cofnięcie zgody, rozwiązanie stosunku pracy, wygaśnięcie umowy, etc.), jeśli nie będzie istnieć inna podstawa prawna do przechowywania danych osobowych (np. obowiązek nałożony na pracodawcę co do przechowywania dokumentacji pracowniczej, konieczność dochodzenia roszczeń), to dane te powinny zostać usunięte, albo zanonimizowane. F. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych administrator ma zastosować adekwatne środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo danym. Co zmienia się w sposobie przetwarzania danych osobowych? Podstawowe zmiany wprowadzone przez RODO mają na celu ograniczenie przetwarzania danych osobowych do niezbędnego minimum. Administrator ma prawo zbierać dane jedynie w zakresie i przez czas, w jakim jest to niezbędne dla zamierzonych celów, a sposób ich przetwarzania powinien ograniczać ich ujawnianie innym osobom. Strona 2 z 5

Jakie są obowiązki administratora danych na podstawie RODO? Postanowienia RODO nakładają szereg obowiązków na administratora danych osobowych; częściowo obowiązki te są powtórzeniem już istniejących obowiązków (aktualnie wynikających z ustawy o ochronie danych osobowych), częściowo zostały one doprecyzowane, a częściowo są to nowe obowiązki. Niżej zostaną wymienione najistotniejsze z nich: A. Obowiązek udzielania przez administratora informacji o przetwarzaniu danych osobowych. Zgodnie z RODO administrator ma obowiązek poinformować osobę, której dane przetwarza informacji o przetwarzaniu jej danych oraz odpowiadać na jej żądania związane z przetwarzaniem tych danych. Informacji tych administrator powinien udzielić nie dalej niż w ciągu miesiąca od ich pozyskania, najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą albo przy ich pierwszym ujawnieniu innemu odbiorcy. B. Obowiązek usunięcia danych osobowych prawo do bycia zapomnianym. RODO wprowadza całkowicie nowe rozwiązanie w postaci prawa do bycia zapomnianym. Każda osoba będzie miała prawo żądania usunięcia jej danych ze zbioru danych prowadzonego przez administratora, jeśli dane te nie będą już konieczne dla celów, w których zostały zebrane lub przetworzone, albo osoba ta cofnęła zgodę i nie ma innych podstaw ich dalszego przetwarzania. W takim przypadku, jeśli nie zachodzą wyjątki określone w RODO, administrator będzie miał obowiązek usunąć dane tej osoby. C. Obowiązki związane z automatycznym profilowaniem. W art. 22 RODO wprowadzono ograniczenia w zakresie tzw. automatycznego profilowania to jest automatycznego przetwarzania danych przez systemy komputerowe i wywoływania w ten sposób skutków prawnych wobec osoby (np. podejmowania decyzji, co do załatwienia wniosku kredytowego wyłącznie na podstawie działań systemu komputerowego i automatycznej analizy historii rachunku bankowego, bez ingerencji ludzkiej, czy też usunięcia danych z portalu społecznościowego tylko na podstawie działań algorytmów). RODO dopuszcza automatyczne profilowanie tylko na wyraźnej podstawie prawnej (zgodzie osoby, której dane dotyczą) oraz tylko pod warunkiem, że osoba ta będzie miała prawo uzyskania interwencji ludzkiej ze strony administratora i wyrażenia własnego stanowiska. D. Obowiązek sporządzenia Rejestru czynności przetwarzania danych. Art. 30 RODO określa, że administrator obowiązany prowadzić jest Rejestr czynności przetwarzania danych osobowych. W rejestrze tym należy zamieścić m.in. informacje o kategoriach osób, których dane są przetwarzane, kate- Strona 3 z 5

goriach przetwarzanych danych, celach przetwarzania oraz kategoriach osób, którym będą one udostępniane. Rejestr prowadzony jest w formie pisemnej lub elektronicznej. Nie ma obowiązku prowadzenia rejestru przedsiębiorca zatrudniający do 250 osób chyba, że przetwarzanie może powodować ryzyko naruszenia praw i wolności osób, których dane dotyczą, nie ma charakteru sporadycznego oraz obejmuje szczególne kategorie danych osobowych. Każdy przedsiębiorca, który przetwarza dane związane np. z przynależnością do związków zawodowych pracowników, danymi biometrycznymi pracowników, danymi o stanie zdrowia pracowników będzie musiał prowadzić taki rejestr. E. Obowiązek zawiadomienia o naruszeniu danych osobowych. W przypadku naruszenia ochrony danych osobowych, administrator ma obowiązek zawiadomić organ nadzorujący (obecnie jest to GIODO) o fakcie naruszenia w terminie do 72 godzin od stwierdzenia naruszenia. Administrator ma również obowiązek powiadomić osobę, której dane dotyczą o naruszeniu ochrony danych osobowych, z wyjątkiem, gdy dane były odpowiednio zabezpieczone w sposób uniemożliwiający odczyt lub gdy administrator zastosował odpowiednie środki następcze. F. Przeprowadzenie oceny skutków ryzyka. W niektórych przypadkach, przed rozpoczęciem przetwarzania danych, administrator może być zobowiązany do przeprowadzania tzw. oceny skutków ryzyka będzie to miało miejsce w przypadku, gdy dany rodzaj przetwarzania z uwagi na swój charakter, zakres, kontekst i cele (tytułem przykładu RODO wskazuje na przetwarzanie z użyciem nowych technologii) może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. G. Powołanie inspektora ochrony danych. Jeśli główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub celem wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub gdy główna działalność administratora polega na przetwarzaniu szczególnych kategorii danych osobowych, to administrator ma obowiązek wyznaczenia Inspektora Ochrony Danych. Zadaniem Inspektora Ochrony Danych jest monitorowanie przestrzegania przepisów RODO oraz informowanie administratora o jego obowiązkach. Czego administrator już nie będzie musiał robić? RODO określa wszelkie obowiązki spoczywające po stronie administratora związane z przetwarzaniem danych osobowych. Oznacza to, że na podstawie przepisów prawa krajowego tylko w zakresie określonym w RODO będzie możliwe nałożenie na administratora dodatkowych obowiązków. Z chwilą wejścia w życie RODO zniknie obowiązek rejestracji zbioru danych osobowych w GIODO oraz sporządzania sprawozdań, rejestrów i wykonywania innych obowiązków wynikających z tej ustawy. Strona 4 z 5

Jakie są kary za niezastosowanie się do RODO? Za naruszenie postanowień RODO administrator danych osobowych ponosi odpowiedzialność odszkodowawczą (wobec osób, których dane były przetwarzane wadliwe) oraz odpowiedzialność administracyjną. Organ nadzorczy (obecnie GIODO) będzie miał prawo nałożyć na administratora karę do 10.000.000 EURO lub do równowartości 2% rocznego obrotu (zależnie, która wartość będzie wyższa) za naruszenie postanowień RODO, a w przypadku naruszeń podstawowych zasad RODO kara ta może wynosić do 20.000.000 EUR lub do równowartości 4% rocznego obrotu. Projekt zmian w kodeksie pracy, czyli co jeszcze zmieni się poza RODO? W związku z wejściem w życie RODO planowane jest uchylenie obecnie obowiązującej ustawy o ochronie danych osobowych i nowelizacja szeregu obecnie obowiązujących ustaw w zakresie postępowania danymi osobowymi. Z obecnie dostępnych projektów 3 wynika, że zostaną wprowadzone zmiany w kodeksie pracy w zakresie przetwarzania przez pracodawcę danych osobowych pracowników. Zgodnie z projektem zmian pracodawca będzie mógł przetwarzać dane dotyczące imienia i nazwiska, wieku, adresu, numeru telefonu i adresu poczty elektronicznej, przebiegu zatrudnienia oraz wykształcenia osoby ubiegającej się o zatrudnienie; a od pracownika dodatkowo numeru PESEL, adresu zamieszkania oraz innych danych osobowych (pracownika i jego rodziny) jeśli będzie to konieczne do korzystania przez pracownika z uprawnień przewidzianych w prawie pracy. Z kolei przetwarzanie innych danych będzie dopuszczalne tylko i wyłącznie za zgodą pracownika. Jak się przygotować do RODO? Obowiązki nałożone przez RODO na administratora i sposób przetwarzania danych wymagają przeglądu i przeanalizowania obecnych podstaw przetwarzania danych osobowych. Konieczne jest zbadanie, czy każdy administrator może wykazać podstawę prawną do przetwarzania danych osobowych zgodnie z RODO. Następnie należy określić, czy dane te są przetwarzane zgodnie z zasadami określonymi w RODO, to jest, czy przetwarzanie danych w określonym zakresie jest celowe, czy też dla osiągniecia celu wystarczy ograniczenie zakresu przetwarzania. O ile RODO nie nakazuje sporządzania określonej dokumentacji (poza dwoma wyjątkami), to uzasadnionym wydaje się opracowanie stosownego regulaminu (polityk, zasad) określającego zasady postępowania z danymi osobowymi poszczególnych kategorii (pracowników, współpracowników, kontrahentów), aby ograniczyć ich przetwarzanie, a jednocześnie zapewnić sprawne funkcjonowanie przedsiębiorstwa. 3 Obecnie na etapie konsultacji i opiniowania projekt nie jest jeszcze ostateczny, ani też nie został skierowany do Sejmu. Strona 5 z 5

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres