1. Co to jest RODO? RODO to Rozporządzenie o Ochronie Danych Osobowych (a dokładnie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Przepisy RODO zaczną obowiązywać od 25 maja 2018 r. Od tego momentu przetwarzanie danych osobowych w Twojej firmie musi odbywać zgodnie z wymogami RODO. Co istotne przepisy RODO zastępują dotychczasową dyrektywę unijną dotyczącą ochrony danych osobowych oraz polską ustawę. Przepisy RODO zostały przyjęte w formie rozporządzenia, co oznacza, że są one bezpośrednio stosowane w całej Unii Europejskiej, bez konieczności ich wprowadzenia polską ustawą. Obecnie nowa, polska ustawa o ochronie danych osobowych nie została jeszcze przyjęta, ale nie musisz czekać na jej uchwalenie. Już teraz powinieneś pomyśleć o przygotowaniu Twojej firmy na czekające ją zmiany w zakresie ochrony danych osobowych.
2. Czy RODO dotyczy mojej firmy? Przepisy dotyczące ochrony danych osobowych dotyczą każdej firmy, również jednoosobowej, jeżeli w toku swojej działalności, przetwarza ona dane osobowe. Mogą to być dane osobowe pracowników lub kontrahentów. Czym jest przetwarzanie danych osobowych? Przedsiębiorcy często zastanawiają się czy w swojej firmie przetwarzają dane osobowe. Te wątpliwości zazwyczaj wynikają z faktu nieznajomości podstawowych pojęć z zakresu ochrony danych osobowych. Zgodnie bowiem z przyjętą definicją przetwarzanie - oznacza każdą operację wykonywaną na danych osobowych, taką m. in. jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, usuwanie lub niszczenie. Właściwie każda czynność jakiej dokonuje się na danych osobowych (jak choćby zbieranie danych kontaktowych klientów ich przechowywanie) oznacza ich przetwarzanie. Jeżeli zatem zatrudniasz chociaż jednego pracownika albo świadczysz usługi na rzecz osób fizycznych to przepisy RODO dotyczą także Twojej firmy!
3. Jakie zmiany wprowadza RODO? Przede wszystkim zmienia się podejście do ochrony danych osobowych. Do tej pory dla wielu przedsiębiorców ochrona danych osobowych oznaczyła wdrożenie dokumentacji ochrony danych osobowych i zgłoszenie zbiorów danych do GIODO. Teraz nacisk będzie kładziony na praktyczną ochronę danych osobowych.
Najważniejsze zmiany wynikające z RODO: znika obowiązek rejestrowania zbiorów danych w rejestrach GIODO oraz rejestrowania administratorów bezpieczeństwa informacji, znika obowiązek wdrażania Polityki bezpieczeństwa danych osobowych i Instrukcji zarządzania systemami informatycznymi, obowiązek ten został zastąpiony zasadą rozliczalności, która oznacza, że każdy administrator danych ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających zgodność z RODO,
zmienia się sposób formułowania zgody na przetwarzanie danych osobowych, zapytanie o zgodę będzie musiało przedstawione w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, co więcej takie zapytanie, będzie musiało zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii. zamiast ABI wprowadzony zostanie Inspektor Ochrony Danych - dotychczasowy Administrator Bezpieczeństwa Informacji zostanie zastąpiony Inspektorem Ochrony Danych. Dotychczas powołanie ABI było fakultatywne, jednakże RODO wskazuje sytuacje, w których powołanie Inspektora Ochrony Danych będzie obowiązkowe! np. jeśli główna działalność administratora danych polega na przetwarzaniu danych wrażliwych na dużą skalę.
profilowanie tylko za wyraźną zgodą jedną z najbardziej istotnych zmian jakie wprowadza RODO jest obowiązek pozyskania zgody na profilowanie. Oznacza to, ze jeżeli w swojej działalności wykorzystujesz przetwarzanie danych oparte na profilowaniu, będziesz musiał pozyskać zgodę, osoby od której zbierane są dane, a także dopełnić wobec takich osób obowiązków informacyjnych.
Wprowadzony zostaje wymóg oceny skutków przetwarzania dla ochrony danych osobowych, RODO wymaga by już w fazie planowania i projektowania operacji, wymagającej przetwarzania danych osobowych, która może powodować wysokie ryzyko naruszenia prywatności osób, których dane dotyczą, przeprowadzać ocenę skutków dla ochrony danych. obowiązek zgłoszenia naruszenia ochrony danych osobowych, - w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu. Jest to nowy obowiązek administratora danych osobowych, który wprowadza RODO. Warto o nim pamiętać, gdyż taki dobrowolne zgłoszenie, jest obowiązkiem administratora danych, a jego niewypełnienie może powodować zaostrzenie ewentualnych kar, które grożą administratorowi danych,
obowiązek prowadzenia rejestru czynności przetwarzania danych. W rejestrze powinny znaleźć się informacje dotyczące zbieranych danych osobowych, celu ich przetwarzania, kategorie osób, których dane dotyczą, a także imię i nazwisko lub nazwę i dane kontaktowe administratora danych. Co istotne zgodnie z RODO wprowadza się wyjątki, określające kiedy administrator danych nie obowiązku prowadzenia przedmiotowego rejestru. Dotyczy to sytuacji, kiedy np. dane osobowe są przetwarzane sporadycznie. W praktyce takie sytuacje są jednak niezmiernie rzadkie, a to oznacza, że prawie każdy przedsiębiorca, przewarzający dane osobowe, będzie musiał taki rejestr prowadzić. podwyższone kary administracyjne jest to zmiana, która powoduje, że o RODO zrobiło się tak głośno, a przedsiębiorcy zaczynają się obawiać, czy ich firmy będą w odpowiedni sposób dostosowane do RODO. Za naruszenia przepisów dotyczących ochrony danych osobowych, RODO przewiduje możliwość, w szczególnych przypadkach, nałożenie na administratora danych kary administracyjnej nawet w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Nowe prawa osób, których dane dotyczą w przepisach RODO kładzie się szczególny nacisk na prawa osób, których dane dotyczą i ich realizację. Zgodnie bowiem z RODO osoba, której dane dotyczą, będzie mieć prawo żądania od administratora m. in.: usunięcia danych osobowych tzn. prawo do bycia zapomnianym, przesłania danych innemu administratorowi, dostępu do danych, ich sprostowania lub ograniczenia przetwarzania.
Będziesz zatem musiał zastanowić się czy stosowane przez Ciebie systemy informatyczne powalają na realizację tych uprawnień, np. gdy ktoś zażąda usunięcia danych osobowych. Warto również przeanalizować, które dane musisz przechowywać, bez względu na ewentualne żądania ich usunięcia, jeżeli np. były pracownik zażąda od Ciebie usunięcia jego danych osobowych, to nie możesz tego zrobić, gdyż przepisy zobowiązują Cię do przechowywania akt osobowych pracowników przez określony czas (chyba że ten czas już upłynął). W takiej bowiem sytuacji obowiązek ustawowy ma pierwszeństwo przed uprawnieniem osoby, której dane dotyczą.
4. Jak przygotować firmę na RODO? Przygotowanie firmy do wymogów RODO powinno obejmować przede wszystkim audyt danych osobowych i istniejących procedur ich zabezpieczenia. Przeprowadzenie takiego audytu pozwoli Ci określić, które przepisy RODO Cię dotyczą, a które nie. Musisz bowiem m. in. ustalić: Czy musisz (lub chcesz) powołać Inspektora Ochrony Danych? Czy masz obowiązek prowadzenia rejestru przetwarzania danych osobowych? Czy masz obowiązek przeprowadzenia oceny skutków przetwarzania danych osobowych? Czy stosowne przez Ciebie zabezpieczenia zapewniają integralność i poufność danych?
Audyt ochrony danych osobowych możesz przeprowadzić samodzielnie lub zlecić go profesjonalnemu podmiotowi. Nasza kancelaria świadczy usługi audytu ochrony danych osobowych. Pomagamy klientom wdrożyć wymagania wprowadzone przez RODO. W trakcie takiego audytu powinieneś przede wszystkim przeanalizować: Jakie dane osobowe przetwarzasz? W jaki sposób je pozyskujesz? Na jakiej podstawie je przetwarzasz? Jak długo je przechowujesz? Czy i komu je udostępniasz? Jak są zabezpieczone?
5. Jak dostosować dokumentację ochrony danych osobowych do wymogów RODO? Nasza kancelaria pomaga klientom w dostosowaniu dokumentacji ochrony danych osobowych do wymogów RODO. Skontaktuj się z nami, a pomożemy Ci wdrożyć przepisy RODO w Twojej Firmie. Po zmianach w przepisach dotyczących ochrony danych osobowych, zniknie obowiązek wdrożenia dokumentacji ochrony danych osobowych. Przestanie bowiem obowiązywać dotychczasowa ustawa o ochronie danych osobowych oraz rozporządzenie MSWIA z dnia 29 kwietnia 2004 r. (Dz.U. Nr 100, poz. 1024) określające warunki techniczne i organizacyjne, jakie musieli wdrożyć administratorzy danych osobowych.
Pomimo braku obowiązku wdrożenia dokumentacji ochrony danych osobowych, RODO wymaga, by administrator wdrożył odpowiednie środki techniczne i organizacyjne, tak aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki te obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. Powyższe oznacza, że pomimo braku wyraźnego obowiązku posiadania dokumentacji ochrony danych osobowych, warto jednak tego rodzaju dokumentację przygotować i wdrożyć. Pozwoli to Twojej firmie nie tylko wykazać, że spełniasz wymogi RODO, ale także będzie okazją do uporządkowania i analizy procesów przetwarzania danych osobowych.
6. Jak zabezpieczyć dane osobowe w Twojej Firmie? Zgodnie z RODO administrator danych wdraża odpowiednie środki techniczne i organizacyjne, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. RODO nie określa minimalnych standardów ochrony, jakie musisz spełnić, żeby móc wykazać, że spełniasz wymogi RODO.
Tak naprawdę to Ty decydujesz jakie zabezpieczenia danych osobowych wprowadzisz w swojej firmie. Musisz mieć jednak na uwadze, że jeśli wprowadzone przez Ciebie zabezpieczenia nie będą wystraczające, to będziesz za to ponosić odpowiedzialność. Ważne jest zatem, aby nie ograniczyć się do jednorazowego audytu posiadanych danych osobowych i ich zabezpieczeń, ale stale nadzorować jakie dane pozyskuje Twoje firma i w jaki sposób je wykorzystuje. Konieczne jest też regularne sprawdzanie stanu zabezpieczeń w Twojej firmie, w związku z rozwojem nowych technologii. Trzeba pamiętać o stałym podnoszeniu swojej wiedzy w zakresie przepisów i procedur ochrony danych osobowych.
7. Co Ci grozi jeśli nie dostosujesz się do RODO? Niedostosowanie procedur przetwarzania danych osobowych Twojej firmie do wymogów RODO grozi znacznymi sankcji, w tym przede wszystkim karami finansowymi w wysokości nawet do 20 000 000 EUR lub do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Trzeba jednak pamiętać, że negatywne konsekwencje grożą Ci nie tylko ze strony GIODO, ale i osób, których dane dotyczą. Taka osoba ma bowiem prawo wnieść skargę do organu nadzorczego, jeżeli uważa, że przetwarzanie danych osobowych jej dotyczące narusza przepisy RODO. Co więcej, może także domagać się odszkodowania za szkodę majątkową lub niemajątkową, którą poniosła w wyniku naruszenia przepisów RODO.
8. Co dalej? Niedostosowanie się do wymogów RODO, może mieć negatywne konsekwencje dla Twojej firmy, nie tylko finansowe, ale i wizerunkowe. Wyciek danych spowodowany niedostatecznym ich zabezpieczeniem, podważa zaufanie klientów do firmy i może mieć długofalowe niekorzystne konsekwencje. Warto zatem pamiętać, że dostosowanie się do wymogów RODO nie jest jednorazową czynnością. RODO wymaga bowiem, aby wdrożone środki techniczne i organizacyjne zapewniały zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, jak również wskazuje na konieczność regularnego testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Jak możemy Ci pomóc? W ramach prowadzonej przez naszą kancelarię działalności, pomagamy przedsiębiorcom we wdrożeniu nowych przepisów RODO. Nasze usługi obejmują: Audyt procedur przetwarzania i ochrony danych osobowych Konsultacje prawne w zakresie przygotowywania prawidłowych procedur przetwarzania danych osobowych, zgodnie z wymogami RODO Sporządzenie lub aktualizacja dokumentacji ochrony danych osobowych, w zakresie wymaganym przepisami RODO Szkolenia z zakresu ochrony danych osobowych
O kancelarii: Michał Ciupa, Adwokat, Starszy Partner w Kancelarii Adwokackiej Michał Ciupa i Partnerzy. Posiada praktykę zawodową w zakresie świadczenia pomocy prawnej, w tym dla przedsiębiorców w sprawach gospodarczych i cywilnych, popartą doświadczeniem procesowym przed wszystkimi sądami w postępowaniach spornych oraz niespornych. Specjalizuje się w prowadzeniu spraw z zakresu prawa karnego, gospodarczego i medycznego. e-mail: michal.ciupa@mcp-kancelaria.pl Ewa Klich, Adwokat, Partner w Kancelarii Adwokackiej Michał Ciupa i Partnerzy. Specjalizuje się w prawie cywilnym, medycznym oraz ochrony danych osobowych. Posiada doświadczenie w bieżącej obsłudze prawnej podmiotów gospodarczych. Autorka bloga: ospolkachwpraktyce.pl e-mail: ewa.klich@mcp-kancelaria.pl Karol Rużyło, Adwokat, Partner w Kancelarii Adwokackiej Michał Ciupa i Partnerzy. Specjalizuje się w prawie gospodarczym, prawie spółek handlowych, prawie rodzinnym oraz prawie karnym. Najbardziej interesuje go problematyka karna i karnoprocesowa. Posiada doświadczenie procesowe nabyte przed sądami wszystkich instancji oraz doświadczenie i długoletnią praktykę w obsłudze prawnej podmiotów gospodarczych. e-mail: karol.ruzylo@mcp-kancelaria.pl