Już 25 maja zacznie obowiązywać unijne rozporządzenie o ochronie danych osobowych, czyli RODO. Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, realizacja prawa do bycia zapomnianym czy prawa do przenoszenia danych osobowych to tylko niektóre z nich.

Przedsiębiorcy będą musieli zmierzyć się z nowymi wyzwaniami. Oto najważniejsze zmiany, które wprowadza rozporządzenie RODO.

RODO zastąpi obowiązującą obecnie ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych. Jako unijne rozporządzenie nie wymaga implementacji do krajowego porządku prawnego. Dlatego już od 25 maja wszystkie podmioty, które podlegają RODO, powinny być gotowe do jego stosowania.

Kogo dotyczy RODO?

Rozporządzenie RODO będzie musiał przestrzegać każdy przedsiębiorca, który prowadzi działalność w Unii Europejskiej. Niezależnie od formy prawnej prowadzonej działalności. Nowe przepisy powinny więc wdrożyć spółki, osoby prowadzące jednoosobową działalność gospodarczą czy nawet oddziały firm w Unii Europejskiej przedsiębiorcy mającego siedzibę poza Unią.

Wyjątkiem, którego nie dotyczy RODO, jest przetwarzanie danych osobowych w działalności czysto osobistej i domowej bez związku z działalnością zawodową lub handlową. Przykładowo może to być zapis korespondencji z grupą znajomych lub lista adresatów, którym firma wysyła kartki świąteczne.

Ponadto RODO nie stosuje się do działalności:

  • nieobjętej zakresem prawa Unii np. dotyczącej bezpieczeństwa narodowego,

  • związanej z przetwarzaniem danych przez instytucje unijne czy też dyplomatyczne, lub

  • właściwych organów w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom

RODO: najważniejsze zmiany dla przedsiębiorców

Każdy przedsiębiorca powinien dostosować prowadzenie swojej działalności do zmieniających się przepisów i wprowadzić odpowiednie zmiany w firmie zgodnie z Rozporządzeniem RODO. Oto najważniejsze kwestie, na które powinien zwrócić uwagę.

1. Zidentyfikuj procesy przetwarzania danych osobowych

Po wejściu w życie RODO przestanie obowiązywać kategoria zbiorów danych występująca jeszcze w ustawie z 1997 r. o ochronie danych osobowych. Dlatego przedsiębiorcy od końca maja sami muszą zidentyfikować istniejące w ich firmie procesy przetwarzania danych. Mówiąc prościej, muszą ustalić jakie czynności należy uznać za przetwarzanie danych.

Przetwarzaniem danych osobowych są wszystkie operacje wykonywane na danych osobowych. Mogą to być m.in. zbieranie, przechowywanie, usuwanie, opracowywanie czy udostępnianie danych.

Ponadto przedsiębiorcy powinni wyróżnić procesy, w których powierzają przetwarzanie danych osobowych zewnętrznym podmiotom np. prowadzenie księgowości lub obsługi kadrowo-płacowej oraz takie, w których przetwarzają dane na zlecenie innego administratora danych np. świadczenie usług archiwizacji danych osobowych.

2. Zweryfikuj podstawowe parametry procesów przetwarzania danych

Co to oznacza? Najpierw ustal podstawę dla każdej czynności przetwarzania danych osobowych zgodną z rozporządzeniem RODO. Przedsiębiorca musi odpowiedzieć sobie na pytanie: na jakiej podstawie jestem uprawniony w konkretnym przypadku do przetwarzania danych osobowych.

Jedną z najczęstszych podstaw przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą. Każda zgoda na przetwarzanie danych powinna być dobrowolna, konkretna, świadoma i jednoznaczna. Obowiązuje dowolna forma zgody, ale zawsze w razie wątpliwości to administrator danych powinien wykazać, że zgoda została udzielona.

Następnie należy określić zakres przetwarzania danych osobowych. Zgodnie z zasadą minimalizacji danych osobowych przedsiębiorcy powinni przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania danych.

Przedsiębiorcy powinni także sformułować treść obowiązków informacyjnych towarzyszących gromadzeniu danych. Rozporządzenie RODO wymaga aby przy gromadzeniu danych przekazywać osobie, której dane dotyczą, szereg informacji np. o tożsamości administratora danych i jego danych kontaktowych, celach i podstawie przetwarzania danych czy okresie czasu, przez który dane osobowe będą przechowywane. Przykłady wszystkich informacji, które musi podac przedsiębiorca są wymienione dokładnie w art. 13 Rozporządzenia RODO.

3. Wprowadź podejście oparte na ryzyku

Zgodnie z nową regulacją dla wszystkich procesów przetwarzania danych osobowych należy określić poziom ryzyka związanego z przetwarzaniem danych osobowych i wdrożyć odpowiednie środki zabezpieczenia danych.

RODO nie nakazuje stosowania żadnych konkretnych środków zabezpieczenia danych. To podmiot przetwarzający dane musi samodzielnie zdecydować, jakie konkretne środki zabezpieczenia danych należy wdrożyć.

4. Stosuj procedurę oceny skutków dla ochrony danych

Ocena skutków dla ochrony danych ma za zadanie opisać przetwarzanie danych osobowych, ocenić jego niezbędność i proporcjonalność oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych związanym z przetwarzaniem danych osobowych.

W ten sposób przedsiębiorcy będą mogli wykazać, że podjęli odpowiednie środki w celu zapewnienia zgodności przetwarzania danych osobowych z rozporządzeniem RODO.

5. Załóż rejestr czynności przetwarzania danych osobowych

Rozporządzenie RODO rezygnuje z obowiązku zgłaszania zbiorów danych do organu nadzorczego, w Polsce do Generalnego Inspektora Danych Osobowych (GIODO).

Po 25 maja przedsiębiorcy powinni prowadzić rejestr czynności przetwarzania danych osobowych wewnątrz przedsiębiorstwa. Dotyczy to wszystkich instytucji prywatnych i publicznych zobowiązanych do przestrzegania rozporządzenia RODO. Natomiast w przypadku kontroli dokumentacja z rejestru pozwoli rozliczać się z prowadzonych czynności przed organem nadzoru.

Rejestr może być prowadzony w formie pisemnej albo w postaci elektronicznej. Z pewnymi wyjątkami z obowiązku prowadzenia rejestru będą zwolnieni przedsiębiorcy zatrudniający mniej niż 250 osób.

6. Ustal procedurę umożliwiającą zgłaszanie naruszeń ochrony danych osobowych

Po wejściu w życie rozporządzenia RODO podmioty przetwarzające dane osobowe będą miały prawny obowiązek informować o incydentach bezpieczeństwa dotyczących danych osobowych.

Informacja powinna zostać przekazania niezwłocznie, lecz nie później, niż w ciągu 72 godzin od stwierdzenia naruszenia.

O wystąpieniu incydentu należy poinformować organ nadzorczy. Planuje się powołanie nowego organu nadzorczego, Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Organ ten ma przejąć zadania i kompetencje GIODO.

Nowe prawa osób, których dane dotyczą

Rozporządzenie RODO zobowiązuje przedsiębiorców do wprowadzenia rozwiązań umożliwiających wykonywanie nowych praw osób, których dane dotyczą. Oto najważniejsze z nich.

1. Prawo do bycia zapomnianym

Po wprowadzeniu nowych regulacji osoby, których dane dotyczą maja prawo do usunięcia danych, w tym prawo do bycia zapomnianym. Zgodnie z RODO mogą one w określonych przypadkach żądać od administratora niezwłocznego usunięcia dotyczących ich danych osobowych. Administrator powinien bez zbędnej zwłoki te dane osobowe usunąć.

Należy usunąć dane ze wszystkich miejsc, czyli z m.in.: serwera, poczty, plików Word i Excel, dysków zewnętrznych i przenośnych, ale również z papierowych kopii. Dane osobowe muszą być także usuwane ze wszystkich kopii zapasowych oraz logów.

2. Prawo do przenoszenia danych osobowych

Zgodnie z tym prawem osoba, której dane dotyczą, ma prawo żądać:

  • wydania jej w powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych jej dotyczących, które dostarczyła administratorowi oraz ma prawo samodzielnie przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony pierwszego administratora,

  • przesłania swoich danych osobowych z systemów informatycznych od administratora, któremu je wcześniej przekazała, innemu administratorowi, o ile jest to technicznie możliwe.

Prawo do przenoszenia danych osobowych dotyczy danych osobowych przetwarzanych

w systemach informatycznych (tj. w sposób zautomatyzowany). Można je stosować gdy przetwarzanie opiera się na podstawie zgody lub umowy.

Jak widać rozporządzenie RODO wprowadza szereg zmian dotyczących ochrony danych osobowych w całej Unii Europejskiej. Przedstawiliśmy tylko te najważniejsze. Na wdrożenie odpowiednich rozwiązań przedsiębiorcy mają jeszcze nieco ponad miesiąc. Po 25 maja firmy mają być już przygotowane na stosowanie nowych przepisów. Za nieprzestrzeganie postanowień RODO, przetwarzający dane będzie ponosił bezpośrednią odpowiedzialność. W razie naruszenia przepisów RODO może zapłacić nawet 20 milionów euro kary.

Jeśli posiadasz jakieś wątpliwości, to na Twitterze na koncie Ministerstwa Cyfryzacji możesz zadać pytanie dotyczące stosowania przepisów rozporządzenia RODO 🙂

Zobacz także: Podatek od bitcoina. Jak rozliczyć przychody z kryptowaluty w Urzędzie Skarbowym krok po kroku