KILKA NIEZBĘDNYCH INFORMACJI
1. Co to jest RODO?
To Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Rozporządzenie obowiązuje od 25 maja 2018 roku i nakłada szereg obowiązków na podmioty, które przetwarzają dane osobowe. Każdy podmiot prowadzący działalność gospodarczą bądź statutową posługuje się danymi osobowymi, które przetwarza i wykorzystuje w swojej codziennej pracy.
Przepisy Rozporządzenia stosuje się do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego na terenie Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii – czyli do administratorów, którzy mają siedzibę albo miejsce zamieszkania na terytorium Unii Europejskiej, albo w państwie trzecim (nienależącym do Europejskiego Obszaru Gospodarczego), o ile przetwarza dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium UE.
Administrator ma wykazać, że przestrzega przepisów Rozporządzenia poprzez wdrożenie środków (fizycznych, technicznych, organizacyjnych), które przy przetwarzaniu danych zagwarantują przestrzeganie przepisów o ochronie danych – środki te mają podlegać przeglądom i aktualizacjom – czyli ma obowiązek zabezpieczyć dane pod względem fizycznym, technicznym i organizacyjnym oraz sporządzenie dokumentacji wskazującej osobom, których dane dotyczą, oraz organom nadzorczym, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych – polityki ochrony danych. Ta reguła oznacza dla administratora obowiązek prowadzenia Polityki bezpieczeństwa przetwarzania danych i instrukcji zarządzania systemami informatycznymi (niezależnie od nazwy tych dokumentów);
2. Zmiany jakie wprowadziło RODO.
Najważniejsze zmiany, wynikające z nowego rozporządzania:
• Inspektor Danych Osobowych – (IOD) – to nowa osoba w organizacji odpowiadająca za bezpieczeństwo danych, ale też za raportowanie naruszeń do urzędu kontroli.( w określonych przypadkach);
• Zgłaszanie Naruszeń w ciągu 72 H – Administrator jest zobowiązany przekazać informację dotyczącą naruszeń bezpieczeństwa danych do Urzędu Ochrony Danych Osobowych;
• Rejestr Naruszeń – Obowiązek rejestrowania wszystkich naruszeń bezpieczeństwa danych osobowych;
• Analiza Ryzyka – Analiza ryzyka powinna zapewnić wykazanie się starannością co do poprawności przetwarzania danych, szczególnie przed organem nadzorczym w momencie kontroli;
• Bezpośrednia Odpowiedzialność Przetwarzającego Dane – Za naruszenie przepisów o ochronie danych osobowych odpowiada Administrator;
• Kary Finansowe – za nieprzestrzeganie przepisów firmy mogą zostać ukarane karą pieniężną od 10 do 20 mln euro lub od 2% do 4% wartości rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa. Administracja publiczna – wysokość kary przewidywana jest na poziomie 100.000 złotych;
• Prawo do „Zapomnienia” – czyli trwałe usunięcie danych osobowych przez daną instytucje w każdej wersji (papierowej, cyfrowej, kopii zapasowej);
• Prawo do Roszczeń – z tytułu szkód poniesionych z niewłaściwego przetwarzania danych;
• Prowadzenie rejestru czynności przetwarzanych danych osobowych;
• Prowadzenie rejestru kategorii przetwarzanych danych;
• Spełnienie obowiązku informacyjnego zgodnie z art. 13 RODO.