Co warto wiedzieć o RODO?

Z dniem 25 maja 2018 roku wjedzie w życie unijne Rozporządzenie o Ochronie Danych Osobowych (RODO), które ma na celu ujednolicenie przepisów państw członkowskich Unii Europejskiej oraz zagwarantowanie odpowiedniego poziomu bezpieczeństwa danych osobowych.

Stosownie do treści art. 30 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – dalej RODO, każdy administrator oraz przedstawiciel administratora (gdy ma to zastosowanie) prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają.

W rejestrze tym zamieszcza się m.in. następujące informacje:
a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także – gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
b) cele przetwarzania;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
f) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Obowiązki te nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Zgodnie z art. 83 ust. 4 lit. a RODO za naruszenie obowiązków administratora i podmiotu przetwarzającego wymierzane będą kary w wysokości do 10.000.000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z po-przedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa). Warto przy tym zwrócić uwagę, że odpowiedzialności nie można przenieść na pracownika, a zatem będzie ona spoczywać na: prezesie, dyrektorze, wójcie, burmistrzu, prezydencie miasta (organy administracji publicznej także będą musiały wdrożyć RODO).

Wprowadzony został również obowiązek wyznaczenia Inspektora Ochrony Danych (IOD), gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na ope-racjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
IOD, jako osoba kierująca polityką bezpieczeństwa danych w organizacji, będzie m.in. odpowiedzialny za raportowanie naruszeń do urzędu kontroli. Do obowiązków IOD będzie należało prowadzenie rejestru naruszeń ochrony danych osobowych, a także zgłaszanie wszelkich naruszeń w nieprzekraczalnym czasie do 72 godzin od naruszenia, bezpośrednio do właściwego organu nadzoru. Dokumentowane mają być m.in. okoliczności naruszeń ochrony danych osobowych, ich skutki oraz podjęte działania zaradcze.

Warto również zwrócić uwagę, że RODO przyznaje obywatelom – osobom fizycznym, których dane osobowe są przetwarzane, szereg nowych uprawnień, które muszą być respektowane przez organizacje.

Takie uprawnienia to:
a) „prawo do bycia zapomnianym”, czyli trwałe usunięcie danych osobowych przetwarzanych przez daną instytucję; dotyczy to informacji: w formie cyfrowej, papierowej i kopii zapasowej,
b) żądanie przeniesienia danych np. do innego podmiotu przy zmianie umowy,
c) rozszerzone prawo dostępu i wglądu obywatela w jego dane, m.in.: prawo do otrzymania kopii danych,
d) roszczenia odszkodowawcze w sądach cywilnych z tytułu szkód poniesionych z niewłaściwego przetwarzania danych.1)

Zatem konsument zyska większą kontrolę nad swoimi danymi osobowymi.
Wprawdzie niektóre z tych obowiązków (najbardziej uciążliwe z nich) nie będą dotyczyć części przedsiębiorców, ale niemal każdy przedsiębiorca jest administratorem i/lub podmiotem przetwarzającym dane osobowe (dane: pracowników, klientów, kontrahentów), a więc spocznie na nim wiele obowiązków wynikających z RODO.

Niektóre z nich, to:
a) współpraca z organem nadzorczym (art. 31 RODO);
b) wdrożenie odpowiednich środków technicznych i organizacyjnych mających ograniczyć ryzyko naruszenia ochrony danych osobowych (art. 32 RODO);
c) zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 RODO);
d) zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (art. 34 RODO);
e) ocena skutków dla ochrony danych (art. 35 RODO);
f) uprzednie konsultacje z organem nadzorczym określone w art. 36 RODO.

Ze względu na złożoność zagadnienia oraz mnogość procedur, jakie muszą wdrożyć podmioty zobowiązane, przetwarzające dane osobowe, dla właściwego przygotowania się do nadchodzących zmian, administratorzy danych już powinni podjąć niezbędne prace przygotowawcze. Za niewywiązanie się z tego obowiązku będą wszakże grozić duże kary finansowe.