RODO – najważniejsze informacje

08.06.2017

Skrót RODO oznacza Rozporządzenie o Ochronie Danych Osobowych, który zakłada wprowadzenie ram prawnych, które zunifikują zasady ochrony danych osobowych we wszystkich państwach. RODO zacznie obowiązywać już od 25 maja 2018 roku i w praktyce dotyczyć będzie niemal każdego przedsiębiorcy w UE.

Rozporządzenie o Ochronie Danych Osobowych dotyczyć będzie przechowywania danych osób fizycznych, stąd głównie dotykać będzie przedsiębiorców oferujących swoje usługi i produkty klientom końcowym. RODO dotyczyć będzie jednak również danych osobowych pracowników, w praktyce obejmie więc wszystkich pracodawców.

Co dokładnie zawiera w sobie RODO?

  •  Rozszerzenie definicji pojęcia danych osobowych, tak by uwzględniała ona możliwości rozwoju technologicznego (np. uwzględnienie danych biometrycznych).
    •    Podejście oparte na ryzyku – im mniej potencjalnych zagrożeń dla danych, tym mniej obowiązków ciąży na podmiocie administrującym danymi.
    •    Obowiązek zgłaszania naruszeń – organowi nadzorczemu oraz samemu podmiotowi.
    •    Prawo osoby fizycznej do „bycia zapomnianym”
    •    Doprecyzowanie obowiązków podmiotów przetwarzających dane.
    •    Prawo dostępu do danych, poprawiania ich, uzupełniania i przenoszenia między systemami.

Kary za łamanie RODO

RODO wprowadza bardzo wysokie sankcje za naruszenie unijnych przepisów o ochronie danych osobowych: do 20 000 000 EUR (a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego) za ciężkie uchybienia w ochronie danych osobowych oraz do 10 000 000 EUR (a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego,) za te lżejsze, przy czym zastosowanie ma kwota wyższa.

Co więcej każda osoba, która poniosła szkodę w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego, odszkodowanie za poniesioną szkodę.

Systemy informatyczne, a RODO

Przede wszystkim zgodnie z rozporządzeniem, przedsiębiorca musi zapewnić, że dane osobowe są w jego firmie przechowywane w sposób zgodny z nowymi zasadami. I tak systemy informatyczne w których przechowujemy dane np. CRM, czy system kadrowo-płacowy powinien zawierać szereg informacji np.:

  • Daty pierwszego wprowadzenia danych osobowych do systemu
  • Identyfikatora użytkownika wprowadzającego dane do systemu
  • Źródła danych w przypadku gdy nie pochodzą one od osoby, których dane dotyczą
  • Informacji o odbiorcach danych, a więc podmiotach, które stają się kolejnymi administratorami tych danych
  • Zapewnienie w systemie informatycznym rejestrowania odrębnego identyfikatora dla każdego użytkownika
  • Zgody użytkownika na przetwarzanie swoich danych osobowych wraz z podaniem celu dla którego dane osobowe będą zbierane

Dodatkowo systemy w którym gromadzone są dane osobowe powinien spełniać rygorystyczne wymogi związane z bezpieczeństwem. Chodzi tu przede wszystkim o zabezpieczenie przed kradzieżą czy utratą danych, wykonywanie kopii zapasowych, szyfrowanie czy usuwanie danych. System informatyczny powinien również posiadać możliwość „przenoszenia danych”, a więc udostępnienia ich w formie pliku na wypadek żądania klienta.

Jak się przygotować?

Przygotowania do zmian w RODO przedsiębiorcy powinny rozpocząć od zidentyfikowania jakie dane osobowe są przechowywane w ich firmie i gdzie są one gromadzone. Następnie należy dokonać weryfikacji posiadanych procedur pod kontem zgodności z nowymi wymogami oraz dokonać audytu systemów informatycznych. Już dziś warto skontaktować się też ze swoim dostawcą systemu IT i upewnić się, że system z którego korzystamy będzie przygotowany na nowe przepisy.