Archiwa tagu: ochrona danych osobowych

Nowości w szkoleniach ApexNet!

Serdecznie zapraszamy do udziału w szkoleniach ApexNet! Niezmiennie w naszym kalendarzu królują dwie najważniejsze tematyki ostatnich miesięcy, czyli elektronizacja zamówień publicznych oraz RODO. Na niektóre czerwcowe szkolenia obowiązują jeszcze ceny promocyjne, a dodatkowo nasi trenerzy przygotowali dla Was atrakcyjne nowości na czas wakacji:

Ci, którzy z nami urlopują, będą mogli wysłuchać lipcowych wykładów panów Czabanów, pojawią się również zamówienia do 30 tys. euro, a także kwalifikowalność i zmiany w projektach unijnych. Nie zabraknie naszego bestsellera – zamówień publicznych dla początkujących, jak również wielu szkoleń dla Wykonawców i Zamawiających.

Szczegółowe informacje na temat szkoleń oraz naszych trenerów znajdziecie TUTAJ.

Serdecznie zapraszamy! 🙂

10 przykładów nadinterpretacji RODO

Odmowa przechowywania i przekazywania wizytówek innych przedsiębiorców bądź kontrahentów, niemożność skontaktowania się z klientem po wizycie fryzjerskiej lub kosmetycznej, zasłanianie tablic rejestracyjnych samochodów na zdjęciach… To tylko niektóre z przypadków, kiedy nowe Rozporządzenie o Ochronie Danych Osobowych, znane wszystkim jako RODO, jest ostatnio coraz częściej wprowadzane dość nadgorliwie, prawdopodobnie ze strachu przed karami i sankcjami. Czy mają one swoją słuszność? A może przekraczają pewne granice zdrowego rozsądku? Przygotowaliśmy dla Was listę 10 przykładów nadinterpretacji nowej ustawy, z jakimi się ostatnio spotkaliśmy. Z lekkim przymrużeniem oka 🙂

  1. W pewnej restauracji nie ma możliwości zrobienia rezerwacji na swoje imię i nazwisko – teraz musi to być indywidualne, nikomu nieznane hasło. Którym może być również nazwisko.
  2. Nie można wysyłać list obecności, informacji z danymi za pośrednictwem maila. Należy takie dokumenty wysyłać pocztą tradycyjną.
  3. W sekretariacie pewnej szkoły jedna z pań tam pracujących stwierdziła, że nie może ona odpierać poczty, ponieważ są w niej zawarte dane osobowe. Przekazała ten obowiązek Inspektorowi Ochrony Danych Osobowych (IODO).
  4. Zamawiając taksówkę, hasłem dla kierowcy nie może być już imię i nazwisko –w tej sytuacji obowiązują tylko 3 ostatnie cyfry naszego numeru telefonu.
  5. Chcąc napisać artykuł biograficzny, który chcemy zamieścić np. na Wikipedii, powinno się mieć zgodę bohatera tekstu.
  6. Na drzwiach pewnego biura zamiast nazwiska pracownika jest przypięta kartka z pięcioma ostatnimi cyframi jego peselu.
  7. Aby pracodawca mógł zwracać się do swoich pracowników po imieniu, musieli oni wyrazić na to pisemną zgodę.
  8. W pewnej szkole podczas rady pedagogicznej zlikwidowano dotychczasową listę obecności podpisywaną przy wejściu do pokoju. Zamiast niej wprowadzono indywidualne karteczki, które po podpisaniu należy włożyć do wspólnej koperty i na ich podstawie wylicza się obecność nauczycieli.
  9. W firmach szkoleniowych pojawiły się nowe informacje odnośnie powszechnych danych trenerów prowadzących szkolenie. Od 25 maja nie będą one mogły zawierać danych firmy, która współpracuje z ekspertem oraz ilości lat doświadczenia, szczegółów dotyczących wykształcenia, obejmowanych stanowisk, miejsc prowadzenia wykładów, hobby itd.
  10. W pewnej placówce medycznej lekarze, zamiast zapraszać pacjentów do gabinetu po nazwisku, wywołują ich podając godzinę, na którą są zapisani.

Zapraszamy na spotkania z naszymi ekspertami od ochrony danych osobowych. Szkolenia z RODO znajdziecie TUTAJ

 

 

Debata RODO dostępna na stronie ApexNet.pl!

5 kwietnia 2018 roku odbyła się transmisja na żywo debaty poprowadzonej przez Macieja Orłosia, który dyskutował z naszymi ekspertami na temat nowego rozporządzenia o ochronie danych osobowych (RODO). Ci z Was, którzy nie zdążyli obejrzeć całego spotkania będą mogli nadrobić zaległości – zajrzyjcie na naszą podstronę i dowiedzcie się, jak RODO powinno zostać wdrożone w Waszej firmie. To już naprawdę ostatni dzwonek!

http://apexnet.com.pl/webinar_rodo/

rodo

Certyfikaty RODO w zamówieniach publicznych

Certyfikat RODO to pewnego rodzaju zaświadczenie o zgodności firmowych systemów z zasadami przetwarzania danych osobowych. Artykuł 42 Rozporządzenia o Ochronie Danych Osobowych mówi, iż

Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają – w szczególności na szczeblu Unii – do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z niniejszym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające. Przy tym uwzględnia się szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

Tego typu certyfikaty będą wydawane właścicielom firm zarówno przez Prezesa Urzędu Ochrony Danych Osobowych (do którego będzie należało ustalenie kryteriów przyznania certyfikatu), ale także przez firmy prywatne po uzyskaniu odpowiedniego dokumentu z Polskiego Centrum Akredytacji. O certyfikat będą mogli się ubiegać administratorzy danych osobowych, jak i tzw. procesorzy, czyli podmioty zewnętrzne, którym powierzane są dane osobowe w celu ich dalszego przetwarzania.

Obowiązek posiadania certyfikatu

Posiadanie certyfikatu nie jest jednak obowiązkowe, o czym traktuje punkt 3 artykułu 42:

„Certyfikacja jest dobrowolna, a proces jej uzyskania musi być przejrzysty.”

W większej mierze będzie on stanowił pewnego rodzaju przywilej. Certyfikat ten wesprze nie tylko przedsiębiorców, ale również pomoże klientom łatwiej zidentyfikować podmioty, które są sumienne, godne zaufania i przekonywające, a także profesjonalnie dbają o powierzone im dane osobowe – co jednoznacznie nie wskazuje na to, aby podmioty, które nie będą ubiegać się o przyznanie certyfikatu przetwarzają dane w sposób niezgodny z RODO. Niestosowanie się do przepisów znajdujących się w rozporządzeniu skutkuje bowiem wielomilionowymi karami finansowymi, co samo w sobie powinno być wystarczającym bodźcem do przestrzegania zapisów RODO.

Niemniej jednak podmioty, które posiadają certyfikat zgodności z RODO, mogą być korzystniej traktowane w przetargach o wykonanie zamówienia. Według Urzędu Zamówień Publicznych brak certyfikatu RODO nie może być podstawą odrzucenia oferty. UZP koncentruje się bardziej na tym, czy certyfikat RODO w ogóle może być jednym z warunków udziału w postępowaniu lub stanowić pozacenowe kryterium oceny ofert. Podsumowuje, że wszystko tak naprawdę zależy od przedmiotu zamówienia. Jeżeli ma ono związek z ochroną danych osobowych, to odpowiedź jest twierdząca.

Czy warto ubiegać się o certyfikat?

Jako że jest to kwestia dobrowolna, a jego przyznanie wymaga sporo pracy i dużego nakładu finansowego, nie jest to rzecz niezbędna. Aczkolwiek duże, europejskie przedsiębiorstwa mogłyby nadwerężyć swoją reputację za brak certyfikatu, co nie wpłynęłoby na pozytywny odzew konsumentów. Warto zwrócić uwagę na fakt, że jego posiadanie może przyczynić się do łagodniejszego wyroku w przypadku, gdy organ nadzorczy będzie musiał wziąć pod uwagę przyznanie kary.

Po więcej informacji zapraszamy na szkolenia RODO z ekspertami ApexNet -> TUTAJ

Jak RODO wpłynie na pracę działu Human Resources (HR)?

Od 25.05.2018 r. zacznie mieć zastosowanie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO). Będzie to skutkować istotnymi zmianami m.in. w zakresie przetwarzania danych osobowych pracowników i kandydatów do pracy, co wpłynie znacząco na pracę działów HR. Istotne są nie tylko przepisy samego RODO, ale także planowane zmiany w kodeksie pracy.
Przetwarzanie danych osobowych przez pracodawcę
Zgodnie z projektowanym art. 221 § 1 kodeksu pracy pracodawca może żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
1) imię (imiona) i nazwisko;
2) datę urodzenia;
3) adres do korespondencji;
4) adres poczty elektronicznej albo numer telefonu;
5) wykształcenie;
6) przebieg dotychczasowego zatrudnienia.
Pracodawca może przetwarzać inne dane osobowe kandydata do pracy, gdy dotyczą one stosunku pracy i osoba ubiegająca się o zatrudnienie wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Brak zgody nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia. W zakresie danych wymienionych w znowelizowanym art. 221 § 1 kodeksu pracy nie będzie potrzebna klauzula zgody na przetwarzanie danych osobowych tak często wymagana obecnie w procesach rekrutacyjnych. Jeżeli jednak dane kandydata do pracy mają zostać wykorzystane w rekrutacji na inne stanowisko pracy, to należy uzyskać zgodę na przetwarzanie jego danych osobowych na potrzeby innego ogłoszenia. Zgoda taka będzie potrzebna także wtedy, gdy CV ma zostać wykorzystane także na potrzeby przyszłych rekrutacji.
Obowiązki pracodawcy wobec kandydata
Pracodawca ma obowiązek spełnić wobec kandydata do pracy obowiązek informacyjny zgodnie z wymogami RODO. Pracodawca ma obwiązek poinformować kandydata m.in. o swoich danych kontaktowych oraz danych inspektora ochrony danych osobowych (jeżeli został powołany), celu i podstawie prawnej przetwarzania, o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, a także o okresie przechowywania danych i prawach osoby, której dane dotyczą, w szczególności prawie dostępu do danych osobowych dotyczących swojej osoby, żądania ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawie do sprzeciwu czy wniesienia skargi do organu nadzorczego (szczegółowy zakres obowiązku informacyjnego reguluje art. 13 ust. 1 i 2 RODO). Konieczność zrealizowania obowiązku informacyjnego zgodnie z RODO wyklucza możliwość przeprowadzenia tzw. rekrutacji ukrytych. Każda osoba, która aplikuje w procesie rekrutacyjnym musi wiedzieć, komu powierza swoje dane osobowe.
Jeżeli pracodawcy korzystają z usług portali rekrutacyjnych, to nie można również zapominać o konieczności zawarcia umowy o powierzeniu przetwarzania danych osobowych. Z portalami rekrutacyjnymi należy zawrzeć umowę powierzenia przetwarzania danych osobowych zgodną z RODO (przepisy szczegółowo wymieniają katalog elementów, jakie umowa taka powinna zawierać). Ponadto, zgodnie z art. 28 ust. 1 RODO administrator danych osobowych może korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje, by przetwarzanie
chroniło prawa kandydatów. Przed powierzeniem danych Administrator Danych Osobowych musi więc ocenić, czy poziom stosowanych zabezpieczeń jest odpowiedni.
Od osoby już zatrudnionej, pracodawca będzie mógł się domagać podania:
1) adresu zamieszkania;
2) numeru PESEL, a w przypadku jego braku – rodzaju i numeru dokumentu potwierdzającego tożsamość;
3) innych danych osobowych pracownika, a także danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych będzie konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.
Wymóg uzyskania zgody na przetwarzanie danych
Do pracowników również ma zastosowanie wymóg uzyskania zgody (w postaci papierowej lub elektronicznej) na przetwarzanie innych danych, o ile dotyczą one stosunku pracy (przetwarzanie danych osobowych związanych ze sferą intymną człowieka takich jak dane o nałogach, stanie zdrowia oraz o życiu seksualnym lub orientacji seksualnej, nie będzie możliwe nawet za zgodą pracownika). Brak zgody nie może wywoływać negatywnych konsekwencji dla pracownika, np. być podstawą wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę. Projekt zakłada również, że pracodawca może przetwarzać adres do korespondencji, poczty elektronicznej i numer telefonu już po nawiązaniu stosunku pracy, tylko wówczas, gdy pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Pracodawca musi wobec pracownika spełnić obowiązek informacyjny z art. 13 ust. 1 i 2 RODO, a zatem stosowna klauzula informacyjna musi zostać przekazana pracownikowi wraz z umową o pracę.
Prawo do bycia zapomnianym
Projektowane zmiany dotyczą również kwestii bardziej szczegółowych, jak dopuszczalność stosowania monitoringu w pracy czy pozyskiwania danych biometrycznych. Interesująca jest kwestia stosowania wobec pracowników tzw. „prawa do bycia zapomnianym” szczegółowo uregulowanego w RODO. Prawo to ma bowiem ograniczone zastosowanie do pracowników, których dane zawarte w aktach osobowych muszą być przechowywane przez okres 50 lat od zakończenia stosunku pracy. Przez ten okres pracownik nie może zatem skutecznie powołać się na „prawo do bycia zapomnianym” w zakresie danych zawartych w jego aktach osobowych.

Anna Żmijewska
Ekspert RODO, prowadząca szkolenia w ApexNet.pl

Informacje na temat szkoleń z RODO znajdziesz TUTAJ

7 zasad przetwarzania danych według RODO

Przedsiębiorcy mają coraz mniej czasu, aby przygotować się do RODO i wdrożyć nowe przepisy nakładające na nich szereg wymogów. Unijne rozporządzenie wprowadza wiele zasad przetwarzania danych osobowych, które stanowią fundament RODO, a także są otoczką dla pozostałych przepisów. Reguły te staną się wytycznymi nowych obowiązków dla administratorów oraz innych podmiotów przetwarzających dane osobowe.

Co warto wiedzieć o RODO? Poniżej  7 zasad przetwarzania danych według RODO:

1. Zasada zgodności z prawem, przejrzystości i rzetelności. 

art. 5 ust. 1 lit. a

Dane osobowe muszą być:

– przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

Prawidłowa realizacja obowiązków informacyjnych jest warunkiem niezbędnym dla osiągnięcia zgodności z zasadą rzetelności i przejrzystości.

2. Zasada ograniczenia celu przetwarzania.

art. 5 ust. 1 lit. b

Dane osobowe muszą być:

– zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);

Zgodnie z zapisami RODO dalsze przetwarzanie danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych jest traktowane jako zgodne z prawem oraz pierwotnymi celami.

3. Zasada minimalizacji danych.

art. 5 ust. 1 lit. c

Dane osobowe muszą być: (…)

– adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

Zgodnie z zasadą minimalizacji danych, zakres przetwarzanych danych powinien być taki jaki jest niezbędny do osiągnięcia określonego celu przetwarzania danych. Innymi słowy, każdy podmiot przetwarzający dane musi dokonać selekcji danych i wybrać tylko taką ich ilość oraz rodzaj, jakie są dla niego niezbędne.

4. Zasada prawidłowości danych.

art. 5 ust. 1 lit. d

Dane osobowe muszą być: (…)

– prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);Przestrzeganie zasady prawidłowości danych sprowadza się do tego, aby stworzone zostały odpowiednie rozwiązania techniczne oraz organizacyjne umożliwiające korygowanie nieprawidłowych lub nieaktualnych danych.

5. Zasada ograniczenia przechowywania danych.

art. 5 ust. 1 lit. e

Dane osobowe muszą być:

– przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);

Głównym celem zasady ograniczenia przechowania danych jest ograniczenie do minimum czasu przechowania danych osobowych. Osiągniecie tego będzie możliwe poprzez wdrożenie odpowiednich procedur wyznaczających terminy przechowania danych (okresy retencji) lub procedur określających terminy okresowych przeglądów danych.

6. Zasada integralności i poufności.

art. 5 ust. 1 lit. f

Dane osobowe muszą być:

– przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Realizacja zasady integralności i poufności danych będzie więc polegała na wdrożeniu odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo danych. „Odpowiednie środki” będą zawsze pojęciem niedookreślonym. Najprawdopodobniej zostaną w pewnym zakresie doprecyzowane w drodze dobrych praktyk, które ma wydać regulator – Prezes Urzędu Ochrony Danych Osobowych (nazwa organu wg projektu nowej UODO)

7. Zasada rozliczalności.

art. 5 ust. 2

Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Administrator będzie więc musiał wykazać, że określone decyzje odnoszące się do procesów przetwarzania danych osobowych zostały przeanalizowane z punktu widzenia zgodności z ogólnymi zasadami przetwarzania danych, a przede wszystkim, że są z nimi zgodne.

 

Aneta Sieradzka, Ph.D, MBA

Partner Zarządzający Sieradzka&Partners, ekspert RODO w ApexNet

Zapraszamy na szkolenia pani Anety Sieradzkiej, więcej informacji znajduje się TUTAJ.

RODO przeds

 

Poradnik dla małych i średnich przedsiębiorców

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych to w ostatnim czasie najgorętszy i prawdopodobnie najczęściej wybierany temat do rozmów wśród przedsiębiorców, ale też i zwykłych użytkowników codziennych wydarzeń, będących świadkami fali naruszeń ochrony danych osobowych. Nierzadko przekładają się one na brak skutecznego egzekwowania odpowiedzialności wśród podmiotów przetwarzających dane, a co za tym idzie – coraz częstsza samowolka w zarządzaniu prywatnymi informacjami każdego z nas. Żaden szanujący się przedsiębiorca nie dopuści do utraty klienta z powodu nieprawidłowego przetwarzania jego danych, ale jak do tego nie dopuścić? Jakie będą nowe prawa podmiotów danych? Kto i w jaki sposób może przetwarzać informacje o konsumentach?

Zapraszamy do zapoznania się z poradnikiem ochrony danych osobowych, przygotowanym dla małych i średnich przedsiębiorców przez Polską Agencję Rozwoju Przedsiębiorczości. Znajdują się w nim zarówno fundamentalne informacje przedstawiające to, czym jest RODO, jak i cenne wskazówki mówiące o ryzyku jego wdrażania, a także obowiązkach i zgodach na przetwarzanie danych osobowych.

Poradnik dla przedsiębiorców wdrażających RODO

Zapraszamy do lektury 🙂

Wdrażanie RODO w małych i dużych przedsiębiorstwach

Rozporządzenie o Ochronie Danych Osobowych (RODO) to wprowadzony przez Unię istotny akt prawny. Nowe przepisy, nowe obowiązki, ale też szereg sankcji finansowych i różne rodzaje odpowiedzialności stają się fundamentem do wdrożenia RODO w przedsiębiorstwach. Różnice we wprowadzeniu RODO wiążą się ze specyfikacją firmy, rzadziej z jej wielkością. Najważniejsza w procesie wdrożenia RODO jest analiza ryzyka, podczas której należy zidentyfikować i zbadać potencjalne zagrożenia. Analiza ta ma za zadanie obniżyć negatywny wpływ ryzyka na to, jak funkcjonuje dany podmiot, co służy również ograniczaniu i przeciwdziałaniu ryzyka. Istotą RODO jest zmiana podejścia do ochrony danych osobowych tzw. risk-based approach czyli podejście oparte na ryzyku – jest to pewien mechanizm, który ma na celu różnicowanie ryzyka związanego z przetwarzaniem danych przez administratorów.

Zgodnie z art. 32 Rozporządzenia o Ochronie Danych Osobowych administrator i podmiot przetwarzający (procesor) są zobligowani do zapewnienia odpowiednich środków organizacyjnych i technicznych. Środki te mają być odpowiednie w stosunku do stanu wiedzy technicznej, kosztu wdrożenia oraz charakteru, zakresu, kontekstu i celu przetwarzania, a także ryzyka naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Aby zatem dokonać odpowiedniego doboru środków organizacyjnych i technicznych  administrator i procesor muszą najpierw ustalić, jakie ryzyka dla poufności istnieją w ich organizacji, integralności i dostępności danych.

Inne zagrożenia będą zatem dotyczyć sklepu stacjonarnego, a inne internetowego. Oczywiście duże przedsiębiorstwa mają z reguły bardziej skomplikowaną strukturę zarówno organizacyjną, jak i techniczną, stąd proces wdrażania RODO jest w nich bardziej kosztowny i czasochłonny. Ponadto, wciąż nie jest wykluczone, że małe i średnie przedsiębiorstwa (MŚP) zostaną zwolnione z obowiązku poinformowania o zaistnieniu incydentu osoby, której dane dotyczą bądź obowiązku wydania kopii danych. Będą one jednak zobligowane do spełnienia ograniczonego obowiązku informacyjnego.

Żeby jednak móc skorzystać z powołanych ograniczeń dane przedsiębiorstwo będzie musiało spełnić następujące kryteria:

  • zatrudniać do 250 osób
  • nie przetwarzać danych szczególnych kategorii, np. danych o stanie zdrowia (a takie znajdują się w zwolnieniach lekarskich)
  • a także nie będzie udostępniać danych

Decyzja odnośnie utrzymania wskazanych wyżej zwolnień dla MŚP zostanie ostatecznie podjęta przez Komisję Europejską, dlatego też aby mieć pewność co do tej kwestii, trzeba poczekać na ostateczną treść zmienianej w związku z RODO polskiej ustawy o ochronie danych osobowych.

Ryzyko, jakie niesie za sobą nieprzestrzeganie postanowień RODO

W związku z nową regulacją prawną Rozporządzenia o Ochronie Danych Osobowych, zarówno osobie, której dane dotyczą, jak również organom  nadzorczym przyznano szereg uprawnień, które pozwalają na ukaranie podmiotu, który przetwarza dane osobowe niezgodnie z RODO.

Uprawnienia osoby, której dane dotyczą to:

        a) każda osoba, której dane dotyczą, ma prawo wnieść skargę do jednego organu nadzorczego (w szczególności w państwie członkowskim, w którym znajduje się m.in. miejsce jej zwykłego pobytu),  jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczących nie jest zgodne z RODO. W związku z powyższym uprawnieniem, organ nadzorczy wydaje decyzję administracyjną dotyczącą naruszenia praw osoby, której te prawa dotyczą, a która podlega zaskarżeniu na drodze sądowej;

        b) każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku przetwarzania danych niezgodnego z RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego na zlecenie odszkodowania za poniesioną szkodę;

Uwolnienie się przez administratora lub podmiot przetwarzający od winy jest możliwe pod warunkiem, iż podmioty te wykażą brak ich winy w zdarzeniu, które doprowadziło do powstania szkody.

Kary pieniężne i inne sankcje

RODO zakłada zarówno kary pieniężne, jak i inne sankcje za nieprzestrzeganie zasad przetwarzanie danych osobowych. Kary pieniężne mogą być nakładane obok lub zamiast środków, takich jak m. in.: ostrzeżenia, upomnienia, nakazanie administratorowi lub podmiotowi przetwarzającemu wykonania lub powstrzymania się od dokonywania określonych czynności, mające na celu przetwarzanie danych zgodnie z RODO. Organ nadzorczy ma obowiązek zapewnić, aby nakładanie kar pieniężnych za naruszenia RODO było w każdym przypadku skuteczne, proporcjonalne i odstraszające.

W zależności od kategorii naruszenia organ nadzorczy może nałożyć karę w wysokości do 10 000 000 albo 20 000 000 euro, a w przypadku przedsiębiorstwa, do 2% albo 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) – za naruszenie określonych w RODO obowiązków.

Ponadto, nieprzestrzeganie przez administratora lub podmiot przetwarzający nakazu podjęcia określonych czynności, mających na celu przywrócenie przetwarzania danych zgodnie z RODO orzeczonego przez organ nadzorczy na podstawie art 58 RODO, podlega karze pieniężnej sięgającej 20 000 000 euro, a w przypadku przedsiębiorstwa – sięgającej 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

 

Anna Żmijewska

Ekspert RODO, prowadząca szkolenia w ApexNet.pl