Od dnia 25 maja 2018 r. we wszystkich krajach członkowskich Unii Europejskiej obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (zwane dalej „RODO”).
RODO nakłada liczne obowiązki i znacznie rozszerza odpowiedzialność wszystkich podmiotów, które zgodnie z przepisami ustawy o danych osobowych przetwarzają, czyli m.in. zbierają, przechowują, opracowują bądź udostępniają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych (przykładem może być zbieranie danych osobowych w toku prowadzonych rekrutacji lub przechowywanie danych osobowych pracowników, klientów czy kontrahentów). Podmiotem takim, czyli Administratorem Danych Osobowych, może być zarówno osoba fizyczna np. przedsiębiorca prowadzący działalność gospodarczą, jak i osoba prawna np. spółka, jeśli tylko przetwarza dane osobowe.
Nowe regulacje, które wprowadza RODO to m.in.:
- w zakresie ułatwienia osobom fizycznym kontroli przepływu własnych danych i ich wykorzystania przez administratorów danych:
- prawo do bycia zapomnianym, czyli prawo do całkowitego usunięcia własnych danych,
- prawo do żądania przeniesienia danych innemu, wskazanemu przez osobę fizyczną administratorowi,
- wzmocnienie prawa do wglądu we własne dane,
- poszerzenie prawa sprzeciwu w związku z przetwarzaniem danych a także prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych,
- konieczność wprowadzenia zasady privacy by default, czyli zastosowanie takich środków, które pozwolą na domyślne przetwarzanie tylko tych danych, które są niezbędne w danym procesie,
- wymóg prowadzenia przez przedsiębiorców rejestru naruszeń bezpieczeństwa przetwarzanych danych osobowych,
- tzw. obowiązek notyfikacyjny, czyli konieczność zgłoszenia organowi nadzorczemu incydentu naruszenia w czasie 72 godzin,
- konieczność udokumentowania udzielenia zgody na przetwarzanie danych i przechowywanie dokładnych informacji w tym zakresie,
- zastąpienie Administratora Bezpieczeństwa Informacji funkcją Inspektora Ochrony Danych Osobowych i rozszerzenie jego uprawnień,
- możliwość pseudonimizacji danych, czyli takiego przetwarzania danych by nie było możliwe zidentyfikowanie do kogo należą poprzez zastosowanie tzw. klucza szyfrującego polegającego np. na stałym zastępowaniu w zapisie pewnych danych innymi,
- zastrzeżenie, wskazujące, iż niestosowanie się do przepisów może skutkować nałożeniem kar pieniężnych w wysokości nawet do 20 mln EUR lub do 4% całkowitego rocznego obrotu.
Co powyższe oznacza dla przedsiębiorców, którzy przetwarzają dane?
Do dnia 25 maja 2018 r. mięli oni czas na wdrożenie zmian w funkcjonowaniu systemu ochrony danych osobowych w swoim przedsiębiorstwie tak, by były w pełni zgodne z RODO.
W tym celu przedsiębiorcy powinni w szczególności:
- przeprowadzić audyt polegający na analizie ryzyka procesów przetwarzania danych w ich przedsiębiorstwie oraz ocenie dokumentacji – ze szczególnym naciskiem na ocenę treści zawieranych umów pod kątem przetwarzania danych osobowych a także stosowanych formularzy zgody na przetwarzanie danych, klauzuli informacyjnych oraz polityki bezpieczeństwa,
- na podstawie audytu opracować odpowiednie środki techniczne, organizacyjne oraz procedury wynikające z dostępu do danych osobowych i związane z ich otrzymywaniem, wykorzystywaniem, usuwaniem i archiwizacją, procedury rejestrowania działań, kontaktu z organami nadzorczymi (np. GIODO), procedury zgłaszania naruszeń,
- opracować umowy oraz wszelką inną dokumentację dotyczącą przetwarzania danych osobowych, m.in. formularze zgody,
- wyznaczyć i określić zadania dla Inspektora Ochrony Danych Osobowych, o ile zachodzi konieczność jego powołania.
Kancelaria świadczy usługi w zakresie ochrony danych osobowych oraz kompleksowego wdrażania RODO polegające w szczególności na przeprowadzaniu audytów, dokonywaniu indywidualnych analiz ryzyka oraz opracowywaniu koniecznych procedur. Oferuje także wsparcie przy sporządzaniu dokumentacji niezbędnej przy ochronie danych osobowych, w szczególności w zakresie prawa pracy.
Zapraszamy do współpracy.