RODO. Czym jest? Kogo obowiązuje? Jakie niesie za sobą konsekwencje?

RODO, czyli Rozporządzenie Ochrony Danych Osobowych weszło w życie już 25 maja 2016 roku, jednak w polskim Internecie dyskusja na ten temat „wrze” zaledwie od kilku miesięcy, ze szczególnym natężeniem w ostatnich tygodniach… Skąd wynika to nagłe ożywienie związane z Rozporządzeniem? Otóż, na dostosowanie się do nowych przepisów przedsiębiorstwa miały równe 2 lata, co oznacza że okres przygotowawczy skończył się 25 maja 2018. Od tego dnia, przepisy wynikające z Rozporządzenia będą obowiązywały każdego przedsiębiorcę prowadzącego działalność, w ramach której przetwarzane są dane osobowe obywateli Unii Europejskiej. Z czym wiążą się zmiany? W niniejszym artykule postaram się przybliżyć ten temat, wraz ze wskazówkami co do dalszego postępowania, tak aby spełnić wymogi ustawy.

W największym skrócie - RODO zmienia sposób, w jaki przedsiębiorstwa zbierają, przetwarzają i przechowują dane osobowe swoich klientów, pracowników czy pacjentów. Nowa ustawa o ochronie danych osobowych wzmacnia rolę Urzędu Ochrony Danych Osobowych (Generalnego Inspektora Ochrony Danych Osobowych), który będzie mógł nakładać kary finansowe za naruszenie przepisów związanych z ochroną danych osobowych.

Jakie obowiązki nakłada na przedsiębiorców nowa ustawa?

Przede wszystkim, ustawa nakazuje przedsiębiorcom prowadzenie wewnętrznego rejestru danych osobowych, którego dokumentacja będzie stanowiła podstawę rozliczenia się przed organem nadzoru w przypadku kontroli. Rejestr stanowi formę dokumentacji dotyczącej przetwarzania danych osobowych – powinny znajdować się w nim wszelkie czynności dot. przetwarzania danych, w szerokim tego sformułowania ujęciu, czyli również cele, dla których przetwarzamy dane czy kategorie podmiotów danych, które są w organizacji przetwarzane (np. klienci, hurtownicy, pracownicy). Następnie należy określić czynności przetwarzania danych dla danej kategorii, np. w kategorii pracowników czynności przetwarzania mogą dotyczyć zatrudnienia, wypłat, ubezpieczeń, organizacji wyjazdów, itd. Do każdej kategorii czynności należy przypisać dokonywane operacje przetwarzania. Forma, w jakiej prowadzony będzie rejestr, nie jest jasno precyzowana przez ustawę. Określone są kryteria jakie rejestr powinien spełniać, jednak jego forma to indywidualna kwestia danej organizacji. Może być to np. plik komputerowy w wybranym przez przedsiębiorstwo programie (np. prosty Excel). Ważne jest to, aby rejestr był na bieżąco aktualizowany i odpowiednio chroniony przed dostępem osób nieuprawnionych.

Dodatkowo, jeśli Twoja firma powierza dane osobowe innym podmiotom (np. w celu wysyłki paczek i palet przez 10ka.pl), należy podpisać z nim umowę powierzenia danych (jej wzór znajdziesz na końcu artykułu).

Które przedsiębiorstwa nie muszą prowadzić rejestru?

Nie wszystkie organizacje są bezwzględnie objęte koniecznością prowadzenia rejestru czynności dotyczących przetwarzania danych osobowych. Nie musi być on prowadzony w tych firmach, które zatrudniają mniej niż 250 osób, chyba że:
  • przetwarzanie danych może naruszać prawa lub wolności osób, których dane są w organizacji przetwarzane (np. może skutkować kradzieżą tożsamości lub dyskryminacją),
  • przetwarzanie danych nie ma sporadycznego charakteru, np. przetwarzanie związane z zarządzaniem klientami / personelem,
  • przetwarzanie obejmuje dane związane z wyrokami skazującymi lub naruszeniami prawa, bądź obejmuje szczególne kategorie danych, takie jak np. dane biometryczne.

Jakie kary grożą za naruszenie nowych przepisów?

Za naruszenie przepisów RODO przewidziane są bardzo surowe kary finansowe. Mogą one wynosić do 20 mln euro lub 4% rocznego obrotu przedsiębiorstwa. Co ważne, w projekcie ustawy o ochronie danych osobowych przewidziana jest również odpowiedzialność karna. Warto zatem zadbać odpowiednio o ich przestrzeganie w firmie.

W związku z przytoczonymi zmianami, przedsiębiorstwa powinny przeprowadzić wewnętrzną analizę i ocenę ryzyka, związanych z przetwarzaniem danych osobowych w ramach polityki bezpieczeństwa. W przypadku braku możliwości przeprowadzenia samodzielnego audytu, niezbędna może się okazać pomoc zewnętrznych specjalistów.

PS. Zwracamy w tym miejscu również uwagę na konieczność dopełnienia pewnych obowiązków związanych z omawianą ustawą przez Klientów 10ka.pl. W związku z dotychczasowymi, jak również nowymi, przepisami – nasi klienci, przekazując nam dane osobowe swoich klientów w celu świadczenia usług kurierskich, powinni wystąpić do naszej firmy o podpisanie umowy powierzenia danych osobowych. Wzory tego typu umów, bez problemu można odnaleźć w Internecie, lub pobrać wzór przygotowany przez nas.

Chcesz być na bieżąco?

Zapisz się do newslettera
Śledź też nasz profil na Twitterze