30 rzeczy, które musisz wiedzieć o RODO

30 rzeczy, które musisz wiedzieć o RODO

RODO – czyli Rozporządzenie Ogólne o Ochronie Danych – to unijne prawo, które w nowy sposób definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w firmach i urzędach. Obowiązuje od niedawna (maj 2018 roku) , ale jest niezwykle restrykcyjne i dlatego warto poznać bliżej jego zasady i nowe pojęcia takie jak np. administrator bezpieczeństwa informacji.

Bezpieczeństwo danych

1. Unijne przepisy dotyczące zapewnienia bezpieczeństwa danych osobowych dotyczą wszystkich firm. Nie ma zatem znaczenia, czy prowadzi się jednoosobową działalność gospodarcza, spółkę cywilną czy spółkę z o.o.

Sankcje finansowe

2. Nowe przepisy wprowadzają szereg obowiązków, nowe rodzaje odpowiedzialności, ale też sankcje finansowe. Firmy mogą więc zostać ukarane karą pieniężną od 10 do 20 mln euro lub od 2% do 4% wartości rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa.

Przepisy dla wszystkich

3. Przepisy obejmują wszystkie podmioty, które gromadzą i wykorzystują dane dotyczące osób fizycznych. RODO będą musiały wdrożyć również organy administracji publicznej, mimo że do tej pory nie było takiego obowiązku. 

Odpowiedzialność dla każdego

4. Za naruszenie przepisów o ochronie danych osobowych odpowiadać będzie szef firmy, jednostki, szkoły, urzędu. 

Bezpośrednia odpowiedzialność

5. Odpowiedzialność jest bezpośrednia i powołanie inspektora ochrony danych osobowych nie zwalnia z tej odpowiedzialności. Dlatego każdy prezes, dyrektor, wójt, burmistrz czy prezydent miasta powinien wdrożyć RODO. 

Brak cedowania odpowiedzialności

6. Szef organizacji odpowiada zarówno przed urzędem kontroli, jak i przed sądem cywilnym czy karnym. Nie może cedować tej odpowiedzialności na innych pracowników.

Nowa funkcja: Inspektor Ochrony Danych

7. W myśl nowych przepisów odpowiedzialność za bezpieczeństwo danych i raportowanie naruszeń do urzędu kontroli odpowiedzialny jest Inspektor Ochrony Danych (IOD). Z kolei dotychczasowy administrator danych osobowych (ABI) przestaje istnieć.

Kiedy powołać IOD?

8. Powołanie IOD jest obowiązkowe dla podmiotów, które prowadząc swoją działalność, przetwarzają takie rodzaje danych, których brak należytego zabezpieczenia może spowodować naruszenie praw i wolności osób fizycznych.

Obowiązek zgłaszania naruszeń

9. IOD ma obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w czasie do 72 godzin od naruszenia, bezpośrednio do właściwego organu nadzoru. Oznacza to, że każde naruszenie należy zgłosić bezpośrednio do organu nadzorczego w czasie 72 godzin, niezależnie od tego, czy powiadomiono przełożonych.

Nowa rola administrator bezpieczeństwa informacji

10. RODO nie wymaga rejestracji zbiorów danych osobowych. Jednak administrator bezpieczeństwa informacji musi prowadzić wewnętrzny rejestr czynności przetwarzania danych, zawierający m.in. informacje, takie jak: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, rejestry naruszeń, osoby odpowiedzialne za poszczególne procesy przetwarzania.

Nowe uprawnienia

11. RODO przyznaje obywatelom – osobom fizycznym, których dane osobowe są przetwarza, nowe uprawnienia, które muszą być respektowane przez organizacje.

Prawo do zapomnienia i inne…

12. Nowe uprawniania to m.in.: prawo do zapomnienia (trwałe usunięcie danych osobowych przetwarzanych przez instytucję), żądanie przeniesienia danych, rozszerzone prawo dostępu i wglądu w dane (np. prawo do otrzymania kopii danych) oraz roszczenia odszkodowawcze w sądach cywilnych z tytułu szkód poniesionych z niewłaściwego przetwarzania danych.

Monitoring w pracy

13. Nowe prawo to również możliwość wprowadzenia monitoringu. A zatem w myśl nowych przepisów pracodawca będzie mógł wprowadzić w firmie monitoring, jeśli uzna, że jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia, lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. 

Zmiany w księgowości

14. Rzecz czternasta: firmy świadczące usługi księgowe oraz kadrowe od maja tego roku stały się administratorem danych osobowych, np. swoich pracowników, oraz podmiotem przetwarzającym takie dane powierzone przez klientów, znajdujące się na fakturach czy umowach. 

Zmiany w HR

15. RODO to zmiana sposobu pracy HR-owców, których zadaniem będzie zapewnienie odpowiedniego stopnia bezpieczeństwa posiadanych i przetwarzanych danych osobowych (sposób przechowywania dokumentacji). 

Rekrutacja

16. RODO zmienia zasady rekrutacji: po wejściu w życie nowych przepisów pracodawca nie będzie mógł pozyskać innych danych na temat pracownika niż te, na których wykorzystanie pracownik się zgodził.

Nowe zasady rekrutacji

17. A co się z tym wiąże: prowadzący proces rekrutacyjny, którzy chcą zasięgnąć opinii współpracowników na temat danego kandydata, muszą pamiętać, że dane w CV to dane osobowe. 

Konsultacje rekrutacyjne

18. Zatem, aby porozmawiać o konkretnej kandydaturze z kimś innym, powinno się usunąć imię i nazwisko, adres, numer telefonu i wszelkie inne informacje umożliwiające identyfikację.

Zakaz gromadzenia danych

19. RODO zabrania również, o czym warto pamiętać w procesie rekrutacji, gromadzenia danych w nadmiarze, na zapas.

Pola marketingowe

20. Zgodnie z RODO wstępnie zaznaczone pola zgód marketingowych lub domyślne zgody (brak zaznaczenia, że klient nie zgadza się na przesyłanie informacji), nie będą już zgodne z prawem.

Prosty język, przejrzyste zasady

21. Prośba o wyrażenie zgody na komunikację musi być zrozumiała i napisana prostym językiem.

Zgoda na marketing

22. Według nowego prawa zgodę na marketing, przetwarzanie danych o lokalizacji i preferencjach musi wyrazić samodzielnie obywatel.

Ochrona danych dziecka

23. RODO umożliwia przetwarzanie danych osobowych osób, które ukończyły szesnasty rok życia. W związku z tym: należy się zastanowić, zanim udostępnimy zdjęcia dziecka współpracownika. Może się to odbyć tylko za zgodą lub autoryzacją rodzica. 

Czy obchodzić urodziny?

24. Zgodnie z RODO świętowanie urodzin pracownika może się odbywać wyłącznie za jego zgodą.

Świąteczne życzenia

25. Firmy powinny zwrócić baczną uwagę również podczas wysyłania kartek świątecznych: jeśli bowiem wysyłka zakłada wykorzystanie czyjegoś prywatnego adresu domowego, jest to już przetwarzanie danych osobowych.

Informacje o diecie to również dane pracownika

26. RODO to również zastrzeżona informacja na temat diety pracownika, zatem informacje o dietach, alergiach pokarmowych i innych są traktowane jako dane osobowe. Krótko mówiąc: zamawiając posiłki w firmie cateringowej, należy się upewnić, że posiadamy odpowiednie zgody zainteresowanych osób.

Informacje o stanie zdrowia

27. Zdrowie pracownika: informacje o stanie zdrowia są danymi szczególnie chronionymi przez RODO. Osoba, której chory zgłosił nieobecność uzasadnioną stanem zdrowia, nie powinna rozprzestrzeniać tej informacji wśród innych współpracowników, chyba że chory pracownik wyraził zgodę na jej udostępnienie.

Inaczej u lekarza

28. RODO zmienia również zasady funkcjonowania służby zdrowia: a zatem lekarz, który nie może rozkładać na stole kart pacjenta.

Komfort pacjenta

29. Gabinet medyczny może zrezygnować z oznaczenia specjalnością lekarza: by zapewnić pacjentowi komfort leczenia i ochronę jego danych.

Polityka, polityka

30. I wreszcie rzecz ostatnia, istotna tak samo jak powyższe: opinie na temat polityki to część specjalnej kategorii danych osobowych (wrażliwych danych osobowych). Organizacje nie mogą rejestrować ani przetwarzać tego rodzaju informacji.

Jak widać, RODO dość mocno wpływa na nasze funkcjonowanie w społeczeństwie. Warto pamiętać, że ochrona danych osobowych to proces ciągły, ale też niezwykle istotny w naszej codzienności, zarówno postrzeganej z perspektywy pracodawcy, jak i pracownika.

 

Z poważaniem,

Adwokat Marta Wnuk

✅ Jeżeli chcesz skorzystać z pomocy prawnej, zapraszam Cię do kontaktu:

☎ tel.: +48691512933

? e-mail: kontakt@adwokatwnuk.pl

 

10 rzeczy, które musisz wiedzieć o ochronie danych osobowych

10 rzeczy, które musisz wiedzieć o ochronie danych osobowych

Rozporządzenie, jakie weszło w życie w tym roku, dotyczące ochrony danych osobowych, wywołało niemałe zamieszanie, szczególnie pośród przedsiębiorców przejętych czarnymi wizjami kar finansowych. GIODO i ochrona danych osobowych jest na pierwszym miejscu i choć zmiany są duże, wcale nie trzeba się ich bać.

Ochrona danych osobowych – Nowe rozporządzenie w praktyce

Tak naprawdę ochrona danych osobowych obowiązywała już od lat dziewięćdziesiątych, teraz jednak przepisy zostały ujednolicone dla wszystkich państw Unii. Co to oznacza w praktyce? Przyjrzymy się temu rozporządzeniu z perspektywy przedsiębiorcy…

Nowe prawo, nowe obowiązki

Nowe prawo określa wiele obowiązków administratora danych (czyli przedsiębiorcy, który jest bezpośrednio odpowiedzialny za jego wprowadzenie). Pośród tych obowiązków wymienić należy:

1. Konieczność wykazania, że dana osoba wyraziła zgodę na przetwarzanie swoich danych osobowych (jeśli przetwarzanie danych odbywa się na podstawie zgody).

2. Udzielania informacji osobie, których dane dotyczą (dotyczących celu przetwarzania danych osobowych, odbiorców danych osobowych).

3. Prostowania danych osobowych – na żądanie osoby, której dane są przetwarzane, nieprawidłowych.

4. Usunięcia danych osobowych (jeśli osoba cofnęła zgodę, a nie ma podstaw do przetwarzania lub dane osobowe nie są niezbędne do celów, dla których zostały zebrane);

5. Ograniczenia przetwarzania danych na żądanie osoby, której dane dotyczą;

6. Usunięcia danych osoby, której dane były przetwarzane niezgodnie z prawem.

7. Wdrożenia odpowiednich środków, aby przetwarzanie odbywało się zgodnie z rozporządzeniem.

8. Zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia (chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw osób fizycznych).

9. Powiadomienie o naruszeniu osoby, której dane dotyczą, jeżeli naruszenie ochrony danych osobowych może powodować ryzyko naruszenia praw lub wolności osób fizycznych.

10. Przygotowanie rejestru czynności przetwarzania – w przypadku pracodawców zatrudniających co najmniej 250 pracowników (w rejestrze zamieszcza się informacje, takie jak: imię i nazwisko administratora, dane kontaktowe, cele przetwarzania).

Ochrona danych osobowych

Jak widać, RODO i ochrona danych osobowych nakłada na przedsiębiorców nowe obowiązki. Nie są one jednak ani tak trudne, ani tym bardziej niemożliwe do zrealizowania. Warto je wdrożyć, aby zabezpieczyć się przed kontrolą GIODO.

 

Z poważaniem,

Adwokat Marta Wnuk

✅ Jeżeli chcesz skorzystać z pomocy prawnej, zapraszam Cię do kontaktu:

☎ tel.: +48691512933

? e-mail: kontakt@adwokatwnuk.pl

 

Rozporządzenie RODO – 5 najważniejszych rzeczy

Rozporządzenie RODO

Rozporządzenie RODO – o tym mówi się już od co najmniej kilku miesięcy. A ponieważ emocje wokół RODO nie gasną, warto raz jeszcze krótko o rozporządzeniu RODO wspomnieć. 

Co to RODO?

Rozporządzenie RODO czyli Ogólne Rozporządzenie o Ochronie Danych, to Rozporządzenie Parlamentu Europejskiego i Rady UE z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.

Jakie są cele RODO?

Celem RODO jest ochrona klientów przed wykorzystywaniem ich danych osobowych. Rozporządzenie RODO dotyczy wszystkich przedsiębiorstw i przedsiębiorców, którzy gromadzą i wykorzystują dane osób fizycznych. Podmiot gospodarczy, który wykorzystuje dane osobowe osób fizycznych, musi zatem wdrożyć odpowiednie regulacje w swoim przedsiębiorstwie, które również reguluje ustawa o ochronie danych osobowych.

Kogo dotyczy RODO?

Przepisy RODO objęły wszystkie podmioty działające na terenie Unii Europejskiej, które gromadzą i przetwarzają dane osób fizycznych. Dotyczy to również przedsiębiorstw spoza Unii Europejskiej, które oferują swoje towary i usługi osobom przebywającym na terytorium Unii. Osoby fizyczne, prowadzące działalność gospodarczą, są zobligowane do stosowania RODO zarówno w stosunku do danych osobowych swoich kontrahentów, jak i zatrudnionych pracowników.

Co zmienia RODO?

RODO nie precyzuje dokładnie czynności, jakie mają podjąć przedsiębiorcy, a jedynie nakreśla wytyczne, na które należy zwrócić uwagę w zakresie przetwarzania danych osobowych. Przedsiębiorca jest więc zobowiązany przeanalizować, jakimi danymi osobowymi dysponuje, co się z nimi dzieje i jakie ryzyko się z tym wiąże – by dobrać właściwe środki, które zminimalizują ryzyko.

Obowiązki wynikające z RODO

Spośród najważniejszych obowiązków nakładanych na firmy należy wymienić:

  • Konieczność zdefiniowania celów przetwarzania danych osobowych oraz poinformowanie klientów, które dane osobowe są przetwarzane;
  • Zgłaszanie naruszeń;
  • Wyznaczenie Inspektora Ochrony Danych Osobowych;
  • Realizację prawa klienta do bycia zapomnianym.

Przyjrzawszy się bliżej rozporządzeniu, można chyba powiedzieć, że nie takie RODO straszne (i nowe), jak je malują, choć o jego lekceważeniu z pewnością nie może być mowy.

 

Z poważaniem,

Adwokat Marta Wnuk

✅ Jeżeli chcesz skorzystać z pomocy prawnej, zapraszam Cię do kontaktu:

☎ tel.: +48691512933

? e-mail: kontakt@adwokatwnuk.pl

 

 

Adwokat Gdańsk – Jak wyznaczyć Inspektora Danych Osobowych

Adwokat Gdańsk

Adwokat Gdańsk. Inspektor Danych Osobowych to nowa funkcja, która powstała po wejściu w życie rozporządzenia RODO. O sposobie wyznaczenia IOD i procedurach z tym związanych będzie traktować poniższy tekst.

Kto może zostać IOD?

Zgodnie z art. 37 ust. 5 Inspektora Danych Osobowych powołuje się na podstawie kwalifikacji zawodowych (wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO). Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników wymienionych podmiotów.

Adwokat Gdańsk – Kto musi powołać IOD?

RODO przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających, jeśli:

  • przetwarzania dokonują organ lub podmiot publiczny;
  • działalność administratora (lub podmiotu) przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają systematycznego monitorowania osób, których dane dotyczą na dużą skalę;
  • działalność administratora (lub podmiotu) przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10.          

    Jak wyznaczyć IOD?

Wyznaczenie Inspektora Danych Osobowych należy zgłosić w ciągu dwóch tygodni od dnia wyznaczenia do Urzędu Ochrony Danych Osobowych. Zgłoszenie Inspektora nie powinno jednak nastąpić później niż 31 lipca (jeśli dotychczas nie zatrudniano ABI) lub 1 września (jeśli dotychczasowy ABI został IOD). Niezgłoszenie tego faktu sprawi, że status IOD wygaśnie.

Inspektor danych osobowych i jego zadania

W rozporządzeniu o ochronie danych zostały sformułowane bez wskazania trybu oraz terminów ich realizacji. Można jednak wśród nich wymienić konieczność: informowania pracowników, którzy przetwarzają dane osobowe o ich obowiązkach i doradzania im w tych sprawach; przeprowadzania szkoleń i audytów pracowników oraz monitorowanie przestrzegania przepisów o ochronie danych; współpracy z Prezesem UODO oraz pełnienie funkcji punktu kontaktowego dla UODO.

Koszt wyznaczenia IOD

Usługa wyznaczenia IOD jest bezpłatna. Dodatkowe opłaty można ponieść tylko w przypadku realizacji tej usługi przez pełnomocnika.

IOD dla wielu firm

Warto wiedzieć, że istnieje możliwość wyznaczenia jednego Inspektora Danych Osobowych dla wielu firm stanowiących grupę przedsiębiorstw, ale o wyznaczeniu każda z tych firm musi osobno zawiadomić Prezesa Urzędu Ochrony Danych Osobowych. Ważne, by po wyznaczeniu IOD udostępnić jego dane na stronie internetowej lub innym dostępnym miejscu. 

 

Z poważaniem,

Adwokat Marta Wnuk

✅ Jeżeli chcesz skorzystać z pomocy prawnej, zapraszam Cię do kontaktu:

☎ tel.: +48691512933

? e-mail: kontakt@adwokatwnuk.pl

Zgoda na przetwarzanie danych osobowych

Jak powinna wyglądać zgoda na przetwarzanie danych osobowych?

Jak powinna wyglądać zgoda na przetwarzanie danych osobowych? Rozporządzenie RODO to również zmiany w wyrażaniu zgody na przetwarzanie danych osobowych. W myśl nowych przepisów zgoda nie może pozostawiać wątpliwości. Oznacza to, iż przedsiębiorcy i administratorzy danych zobowiązani są zapewnić, że osoba, której dane są przetwarzane, ma świadomość kto i w jakim celu wykorzystuje jej dane.

Jasne zasady, prosty język

Zgodnie z rozporządzeniem RODO zgoda na przetwarzanie danych osobowych musi zostać przedstawiona w zrozumiałej, klarownej i łatwo dostępnej formie. Niezbędnymi elementami treści zgody są: dobrowolność, konkretność, świadomość i jednoznaczność. Jak już wspomniano, osoba, której dane są przetwarzane, powinna mieć pewność, na co ową zgodę wyraża (tym samym okienka zaznaczone domyślnie nie muszą oznaczać zgody). 

Udowodnienie zgody

Fakt uzyskania zgody  na przetwarzanie danych osobowych musi być możliwy do udowodnienia. Obowiązek ten wpisuje się w zasadę rozliczalności, na której oparte są przepisy dotyczące ochrony danych osobowych. Dlatego w przypadku zbierania zgód w formie pisemnej należy archiwizować podpisane formularze. Jeśli odbieranie zgód odbywa się w formie elektronicznej, system informatyczny powinien zapisywać adres IP oraz datę. Jeżeli pozyskiwanie zgody odbywa się w innej formie niż pisemna, administrator danych osobowych (w razie potrzeby) powinien udowodnić, że została ona pozyskana, a nie dorozumiana. 

Treść zgody

Przedstawiając treść zgody na przetwarzanie danych osobowych, należy przede wszystkim pamiętać o obowiązku informacyjnym. W klauzuli zgody powinien być jasno określony cel przetwarzania danych osobowych oraz zakres tych danych. Administrator nie może odebrać ogólnej zgody na przetwarzanie danych osobowych bez określenia konkretnego celu (zgoda blankietowa). W przypadku zgody elektronicznej wystarczy jedno okienko, natomiast w przypadku zgody na piśmie należy wstawić okienka TAK/NIE, na przykład:

[ ] TAK [ ] NIE Wyrażam zgodę na przetwarzanie moich danych osobowych przez […] w celu […].

[ ] TAK [ ] NIE Wyrażam zgodę na udostępnienie moich danych osobowych

w celu […].

Zgoda na przetwarzanie danych osobowych powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu. Jeśli więc przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. 

Zgodnie z prawem

Konkluzja na temat zgody na przetwarzanie danych osobowych powinna być taka sama jak na temat samego RODO. Tym bardziej, że obowiązek jej uzyskania to nie tylko przepis, ale również możliwość budowania zaufania pomiędzy podmiotem a firmą, które przełoży się na realizację konkretnych celów, o ile oczywiście zgoda została wyrażona zgodnie z prawem.

 

Z poważaniem,

Adwokat Marta Wnuk

✅ Jeżeli chcesz skorzystać z pomocy prawnej, zapraszam Cię do kontaktu:

☎ tel.: +48691512933

? e-mail: kontakt@adwokatwnuk.pl