Archiwa tagu: rodo marzec

Poradnik dla małych i średnich przedsiębiorców

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych to w ostatnim czasie najgorętszy i prawdopodobnie najczęściej wybierany temat do rozmów wśród przedsiębiorców, ale też i zwykłych użytkowników codziennych wydarzeń, będących świadkami fali naruszeń ochrony danych osobowych. Nierzadko przekładają się one na brak skutecznego egzekwowania odpowiedzialności wśród podmiotów przetwarzających dane, a co za tym idzie – coraz częstsza samowolka w zarządzaniu prywatnymi informacjami każdego z nas. Żaden szanujący się przedsiębiorca nie dopuści do utraty klienta z powodu nieprawidłowego przetwarzania jego danych, ale jak do tego nie dopuścić? Jakie będą nowe prawa podmiotów danych? Kto i w jaki sposób może przetwarzać informacje o konsumentach?

Zapraszamy do zapoznania się z poradnikiem ochrony danych osobowych, przygotowanym dla małych i średnich przedsiębiorców przez Polską Agencję Rozwoju Przedsiębiorczości. Znajdują się w nim zarówno fundamentalne informacje przedstawiające to, czym jest RODO, jak i cenne wskazówki mówiące o ryzyku jego wdrażania, a także obowiązkach i zgodach na przetwarzanie danych osobowych.

Poradnik dla przedsiębiorców wdrażających RODO

Zapraszamy do lektury 🙂

Wdrażanie RODO w małych i dużych przedsiębiorstwach

Rozporządzenie o Ochronie Danych Osobowych (RODO) to wprowadzony przez Unię istotny akt prawny. Nowe przepisy, nowe obowiązki, ale też szereg sankcji finansowych i różne rodzaje odpowiedzialności stają się fundamentem do wdrożenia RODO w przedsiębiorstwach. Różnice we wprowadzeniu RODO wiążą się ze specyfikacją firmy, rzadziej z jej wielkością. Najważniejsza w procesie wdrożenia RODO jest analiza ryzyka, podczas której należy zidentyfikować i zbadać potencjalne zagrożenia. Analiza ta ma za zadanie obniżyć negatywny wpływ ryzyka na to, jak funkcjonuje dany podmiot, co służy również ograniczaniu i przeciwdziałaniu ryzyka. Istotą RODO jest zmiana podejścia do ochrony danych osobowych tzw. risk-based approach czyli podejście oparte na ryzyku – jest to pewien mechanizm, który ma na celu różnicowanie ryzyka związanego z przetwarzaniem danych przez administratorów.

Zgodnie z art. 32 Rozporządzenia o Ochronie Danych Osobowych administrator i podmiot przetwarzający (procesor) są zobligowani do zapewnienia odpowiednich środków organizacyjnych i technicznych. Środki te mają być odpowiednie w stosunku do stanu wiedzy technicznej, kosztu wdrożenia oraz charakteru, zakresu, kontekstu i celu przetwarzania, a także ryzyka naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Aby zatem dokonać odpowiedniego doboru środków organizacyjnych i technicznych  administrator i procesor muszą najpierw ustalić, jakie ryzyka dla poufności istnieją w ich organizacji, integralności i dostępności danych.

Inne zagrożenia będą zatem dotyczyć sklepu stacjonarnego, a inne internetowego. Oczywiście duże przedsiębiorstwa mają z reguły bardziej skomplikowaną strukturę zarówno organizacyjną, jak i techniczną, stąd proces wdrażania RODO jest w nich bardziej kosztowny i czasochłonny. Ponadto, wciąż nie jest wykluczone, że małe i średnie przedsiębiorstwa (MŚP) zostaną zwolnione z obowiązku poinformowania o zaistnieniu incydentu osoby, której dane dotyczą bądź obowiązku wydania kopii danych. Będą one jednak zobligowane do spełnienia ograniczonego obowiązku informacyjnego.

Żeby jednak móc skorzystać z powołanych ograniczeń dane przedsiębiorstwo będzie musiało spełnić następujące kryteria:

  • zatrudniać do 250 osób
  • nie przetwarzać danych szczególnych kategorii, np. danych o stanie zdrowia (a takie znajdują się w zwolnieniach lekarskich)
  • a także nie będzie udostępniać danych

Decyzja odnośnie utrzymania wskazanych wyżej zwolnień dla MŚP zostanie ostatecznie podjęta przez Komisję Europejską, dlatego też aby mieć pewność co do tej kwestii, trzeba poczekać na ostateczną treść zmienianej w związku z RODO polskiej ustawy o ochronie danych osobowych.

Ryzyko, jakie niesie za sobą nieprzestrzeganie postanowień RODO

W związku z nową regulacją prawną Rozporządzenia o Ochronie Danych Osobowych, zarówno osobie, której dane dotyczą, jak również organom  nadzorczym przyznano szereg uprawnień, które pozwalają na ukaranie podmiotu, który przetwarza dane osobowe niezgodnie z RODO.

Uprawnienia osoby, której dane dotyczą to:

        a) każda osoba, której dane dotyczą, ma prawo wnieść skargę do jednego organu nadzorczego (w szczególności w państwie członkowskim, w którym znajduje się m.in. miejsce jej zwykłego pobytu),  jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczących nie jest zgodne z RODO. W związku z powyższym uprawnieniem, organ nadzorczy wydaje decyzję administracyjną dotyczącą naruszenia praw osoby, której te prawa dotyczą, a która podlega zaskarżeniu na drodze sądowej;

        b) każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku przetwarzania danych niezgodnego z RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego na zlecenie odszkodowania za poniesioną szkodę;

Uwolnienie się przez administratora lub podmiot przetwarzający od winy jest możliwe pod warunkiem, iż podmioty te wykażą brak ich winy w zdarzeniu, które doprowadziło do powstania szkody.

Kary pieniężne i inne sankcje

RODO zakłada zarówno kary pieniężne, jak i inne sankcje za nieprzestrzeganie zasad przetwarzanie danych osobowych. Kary pieniężne mogą być nakładane obok lub zamiast środków, takich jak m. in.: ostrzeżenia, upomnienia, nakazanie administratorowi lub podmiotowi przetwarzającemu wykonania lub powstrzymania się od dokonywania określonych czynności, mające na celu przetwarzanie danych zgodnie z RODO. Organ nadzorczy ma obowiązek zapewnić, aby nakładanie kar pieniężnych za naruszenia RODO było w każdym przypadku skuteczne, proporcjonalne i odstraszające.

W zależności od kategorii naruszenia organ nadzorczy może nałożyć karę w wysokości do 10 000 000 albo 20 000 000 euro, a w przypadku przedsiębiorstwa, do 2% albo 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) – za naruszenie określonych w RODO obowiązków.

Ponadto, nieprzestrzeganie przez administratora lub podmiot przetwarzający nakazu podjęcia określonych czynności, mających na celu przywrócenie przetwarzania danych zgodnie z RODO orzeczonego przez organ nadzorczy na podstawie art 58 RODO, podlega karze pieniężnej sięgającej 20 000 000 euro, a w przypadku przedsiębiorstwa – sięgającej 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

 

Anna Żmijewska

Ekspert RODO, prowadząca szkolenia w ApexNet.pl

 

Czy konieczne jest stworzenia w firmie stanowiska Inspektora Ochrony Danych Osobowych?

25 maja 2018 roku wchodzi w życie rozporządzenie unijne traktujące o ochronie danych osobowych, tzw. RODO. W jego treści pojawią się zapisy dotyczące Inspektora Ochrony Danych Osobowych (IODO) – jest to naturalny następca Administratora Danych Osobowych, czyli jednostki organizacyjnej, organu lub samodzielnego podmiotu decydującego o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 – „Ilekroć w ustawie jest mowa o administratorze danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych,”). Administrator Danych Osobowych jest podmiotem praw i obowiązków, sprawującym władzę nad przetwarzaniem danych osobowych przez zaciąganie zobowiązań i rozporządzanie prawami. Wszystkie osoby, które sprawują obowiązki Administratora Bezpieczeństwa Informacji, by zachować swój obecny status, powinny zostać zgłoszone w terminie do trzech miesięcy po wprowadzeniu RODO (do 25 sierpnia) do organu nadzorczego, czyli Generalnego Inspektora Danych Osobowych (GIODO). Nieustannie sprawuje on kontrolę nad zgodnością przetwarzania danych osobowych z przepisami ustawy, prowadzi jawny i ogólnokrajowy rejestr zbiorów danych osobowych, a także rozpatruje skargi i wydaje decyzje administracyjne.

Kto musi wprowadzić Inspektora Danych Osobowych?

Każdy pracownik może stać się IODO, pod warunkiem, iż jest on spoza organizacji.  Nie wszyscy administratorzy są zobowiązani do wprowadzenia inspektora w swojej firmie. Obowiązek dotyczy jedynie organów wypełniających ustawowe przesłanki art. 5 kpa i art. 9 ustawy o finansach publicznych. Dotyczy to administratorów przetwarzających dane sensytywne (grupa szczególnie chronionych danych, takich jak np.: pochodzenie, filozofia, wiara) na masową skalę. Przykładem są administratorzy, którzy prowadzą na przykład sklep internetowy na bardzo dużą skalę, a co za tym idzie ich profilowanie jest wykonywane na dużą skalę (tzw. Cookies).

Główna działalność administratora polega na operacjach przetwarzania danych, które ze względu na swój charakter wymagają regularnego i systematycznego monitorowania (nadzór nad ruchem w sieci, ilością wejść na stronę itd.). Grupa przedsiębiorstw będzie mogła wyznaczyć jednego IODO, o ile będą mieli zagwarantowany z nim dobry kontakt. Firma może mieć tylko jednego Inspektora Danych Osobowych (zamiast kilku w różnych działach) pod warunkiem, iż będzie on stale dostępny pod ustalonymi wcześniej kanałami komunikacyjnymi (e-mail, telefon). W wypadku podmiotów publicznych ilość jednostek będzie ograniczona do  kilku (maksymalnie do 9). Mowa tu o Administratorach, którzy są jednostkami organizacyjnymi szeroko rozumianej administracji publicznej.

Od 25 maja nie będzie obowiązku rejestracji zbirów w organie nadzorczym, zamiast tego powstanie za to obowiązek prowadzenia rejestru czynności przetwarzania.

Rola IODO, a osoby trzecie

Rola Inspektora Ochrony Danych Osobowych będzie niebagatelna. Poza reprezentacją Administratora Danych Osobowych ma on pełnić także nadzór nad przestrzeganiem powszechnie obowiązujących i wewnętrznych przepisów, a także dokonywać szacowania ryzyka w zakresie ochrony danych w oparciu o metody audytu. IODO będzie również przeprowadzał ocenę skutków wdrożenia nowych rozwiązań dla ochrony danych osobowych, a ponad to będzie na nim spoczywać obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych w związku z likwidacją obowiązku rejestracji zbiorów danych osobowych w GIODO.

Zmianie ulegnie fakt, iż inspektorzy nie będą już więcej uwidoczniani w jawnym rejestrze. Administratorzy Danych Osobowych będą mieli jednak obowiązek umieszczenia w Biuletynie Informacji Publicznej (BIP) lub na swoich stronach internetowych następujących danych IODO: imienia, nazwiska, numeru telefonu oraz adresu e-mail. Inspektor będzie bowiem skrzynką kontaktową pomiędzy Administratorem, a osobami trzecimi, właścicielami danych osobowych oraz pomiędzy organem nadzoru.

W  wielu jednostkach to IODO będzie odpowiedzialny za tworzenia dokumentacji ochrony danych osobowych, udzielanie odpowiedzi na pytania osób trzecich i właścicieli danych osobowych oraz za współpracę z podmiotami przetwarzającymi. Zadania, a także obowiązki, jakie nakłada na IODO Rozporządzenie danych osobowych są bardzo obszerne, dlatego tez winien on być przez ADO niezwłocznie, prawidłowo I na bieżąco włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Jest to pewna kwestia skutecznej współpracy – Administrator działa tak naprawdę w dobrej wierze i z własnej woli, toteż musi on być nieustannie informowany o innowacjach, wdrożeniach, programach czy profilach działalności funkcjonujących w firmie. IODO gwarantuje za to poprawność wykonywanej pracy, szczególnie w przypadku kontroli – jest on odpowiedzialny za swoją pracę, dlatego wszystkie informacje muszą być pełne i zgodne z prawdą.

Podsumowanie Eksperta

Inspektor Ochrony Danych Osobowych nie powinien wykonywać innych obowiązków poza obowiązkami inspektora, mimo, że RODO pozwala łączyć tę funkcję z innymi (o ile nie będą ze sobą kolidować). IODO nie powinien podlegać presji, naciskom czy instrukcjom ADO. Nie będzie on ani odwoływany, ani karany za wypełnianie swoich zadań przez administratora, ponosi on jednak odpowiedzialność za swoje czyny: jeśli inspektorem zostaje pracownik firmy, to ciąży na nim odpowiedzialność pracownicza, gdzie w przypadku niezgodności ponosi on karę w postaci trzech pensji wynagrodzenia. Jest inspektorem zostaje osoba z zewnątrz firmy, to wszelką odpowiedzialność zawiera się w umowie – może to być odpowiedzialność gwarancyjna czy kara umowna.

Podmiot przetwarzający podlegać będzie najwyższemu kierownictwu administratora lub podmiotowi przetwarzającemu, natomiast IODO będzie zobligowany do zachowania tajemnicy lub poufności przy wykonywaniu zadań; będzie tez musiał wypełniać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze kontekst, charakter, zakres i cele przetwarzania.

 

Małgorzata Czartoryska

Ekspert RODO, prowadząca szkolenia w ApexNet.pl