30 rzeczy, które musisz wiedzieć o RODO

RODO – czyli Rozporządzenie Ogólne o Ochronie Danych – to unijne prawo, które w nowy sposób definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w firmach i urzędach. Obowiązuje od niedawna (maj 2018 roku) , ale jest niezwykle restrykcyjne i dlatego warto poznać bliżej jego zasady i nowe pojęcia takie jak np. administrator bezpieczeństwa informacji.

Bezpieczeństwo danych

1. Unijne przepisy dotyczące zapewnienia bezpieczeństwa danych osobowych dotyczą wszystkich firm. Nie ma zatem znaczenia, czy prowadzi się jednoosobową działalność gospodarcza, spółkę cywilną czy spółkę z o.o.

Sankcje finansowe

2. Nowe przepisy wprowadzają szereg obowiązków, nowe rodzaje odpowiedzialności, ale też sankcje finansowe. Firmy mogą więc zostać ukarane karą pieniężną od 10 do 20 mln euro lub od 2% do 4% wartości rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa.

Przepisy dla wszystkich

3. Przepisy obejmują wszystkie podmioty, które gromadzą i wykorzystują dane dotyczące osób fizycznych. RODO będą musiały wdrożyć również organy administracji publicznej, mimo że do tej pory nie było takiego obowiązku. 

Odpowiedzialność dla każdego

4. Za naruszenie przepisów o ochronie danych osobowych odpowiadać będzie szef firmy, jednostki, szkoły, urzędu. 

Bezpośrednia odpowiedzialność

5. Odpowiedzialność jest bezpośrednia i powołanie inspektora ochrony danych osobowych nie zwalnia z tej odpowiedzialności. Dlatego każdy prezes, dyrektor, wójt, burmistrz czy prezydent miasta powinien wdrożyć RODO. 

Brak cedowania odpowiedzialności

6. Szef organizacji odpowiada zarówno przed urzędem kontroli, jak i przed sądem cywilnym czy karnym. Nie może cedować tej odpowiedzialności na innych pracowników.

Nowa funkcja: Inspektor Ochrony Danych

7. W myśl nowych przepisów odpowiedzialność za bezpieczeństwo danych i raportowanie naruszeń do urzędu kontroli odpowiedzialny jest Inspektor Ochrony Danych (IOD). Z kolei dotychczasowy administrator danych osobowych (ABI) przestaje istnieć.

Kiedy powołać IOD?

8. Powołanie IOD jest obowiązkowe dla podmiotów, które prowadząc swoją działalność, przetwarzają takie rodzaje danych, których brak należytego zabezpieczenia może spowodować naruszenie praw i wolności osób fizycznych.

Obowiązek zgłaszania naruszeń

9. IOD ma obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w czasie do 72 godzin od naruszenia, bezpośrednio do właściwego organu nadzoru. Oznacza to, że każde naruszenie należy zgłosić bezpośrednio do organu nadzorczego w czasie 72 godzin, niezależnie od tego, czy powiadomiono przełożonych.

Nowa rola administrator bezpieczeństwa informacji

10. RODO nie wymaga rejestracji zbiorów danych osobowych. Jednak administrator bezpieczeństwa informacji musi prowadzić wewnętrzny rejestr czynności przetwarzania danych, zawierający m.in. informacje, takie jak: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, rejestry naruszeń, osoby odpowiedzialne za poszczególne procesy przetwarzania.

Nowe uprawnienia

11. RODO przyznaje obywatelom – osobom fizycznym, których dane osobowe są przetwarza, nowe uprawnienia, które muszą być respektowane przez organizacje.

Prawo do zapomnienia i inne…

12. Nowe uprawniania to m.in.: prawo do zapomnienia (trwałe usunięcie danych osobowych przetwarzanych przez instytucję), żądanie przeniesienia danych, rozszerzone prawo dostępu i wglądu w dane (np. prawo do otrzymania kopii danych) oraz roszczenia odszkodowawcze w sądach cywilnych z tytułu szkód poniesionych z niewłaściwego przetwarzania danych.

Monitoring w pracy

13. Nowe prawo to również możliwość wprowadzenia monitoringu. A zatem w myśl nowych przepisów pracodawca będzie mógł wprowadzić w firmie monitoring, jeśli uzna, że jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia, lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. 

Zmiany w księgowości

14. Rzecz czternasta: firmy świadczące usługi księgowe oraz kadrowe od maja tego roku stały się administratorem danych osobowych, np. swoich pracowników, oraz podmiotem przetwarzającym takie dane powierzone przez klientów, znajdujące się na fakturach czy umowach. 

Zmiany w HR

15. RODO to zmiana sposobu pracy HR-owców, których zadaniem będzie zapewnienie odpowiedniego stopnia bezpieczeństwa posiadanych i przetwarzanych danych osobowych (sposób przechowywania dokumentacji). 

Rekrutacja

16. RODO zmienia zasady rekrutacji: po wejściu w życie nowych przepisów pracodawca nie będzie mógł pozyskać innych danych na temat pracownika niż te, na których wykorzystanie pracownik się zgodził.

Nowe zasady rekrutacji

17. A co się z tym wiąże: prowadzący proces rekrutacyjny, którzy chcą zasięgnąć opinii współpracowników na temat danego kandydata, muszą pamiętać, że dane w CV to dane osobowe. 

Konsultacje rekrutacyjne

18. Zatem, aby porozmawiać o konkretnej kandydaturze z kimś innym, powinno się usunąć imię i nazwisko, adres, numer telefonu i wszelkie inne informacje umożliwiające identyfikację.

Zakaz gromadzenia danych

19. RODO zabrania również, o czym warto pamiętać w procesie rekrutacji, gromadzenia danych w nadmiarze, na zapas.

Pola marketingowe

20. Zgodnie z RODO wstępnie zaznaczone pola zgód marketingowych lub domyślne zgody (brak zaznaczenia, że klient nie zgadza się na przesyłanie informacji), nie będą już zgodne z prawem.

Prosty język, przejrzyste zasady

21. Prośba o wyrażenie zgody na komunikację musi być zrozumiała i napisana prostym językiem.

Zgoda na marketing

22. Według nowego prawa zgodę na marketing, przetwarzanie danych o lokalizacji i preferencjach musi wyrazić samodzielnie obywatel.

Ochrona danych dziecka

23. RODO umożliwia przetwarzanie danych osobowych osób, które ukończyły szesnasty rok życia. W związku z tym: należy się zastanowić, zanim udostępnimy zdjęcia dziecka współpracownika. Może się to odbyć tylko za zgodą lub autoryzacją rodzica. 

Czy obchodzić urodziny?

24. Zgodnie z RODO świętowanie urodzin pracownika może się odbywać wyłącznie za jego zgodą.

Świąteczne życzenia

25. Firmy powinny zwrócić baczną uwagę również podczas wysyłania kartek świątecznych: jeśli bowiem wysyłka zakłada wykorzystanie czyjegoś prywatnego adresu domowego, jest to już przetwarzanie danych osobowych.

Informacje o diecie to również dane pracownika

26. RODO to również zastrzeżona informacja na temat diety pracownika, zatem informacje o dietach, alergiach pokarmowych i innych są traktowane jako dane osobowe. Krótko mówiąc: zamawiając posiłki w firmie cateringowej, należy się upewnić, że posiadamy odpowiednie zgody zainteresowanych osób.

Informacje o stanie zdrowia

27. Zdrowie pracownika: informacje o stanie zdrowia są danymi szczególnie chronionymi przez RODO. Osoba, której chory zgłosił nieobecność uzasadnioną stanem zdrowia, nie powinna rozprzestrzeniać tej informacji wśród innych współpracowników, chyba że chory pracownik wyraził zgodę na jej udostępnienie.

Inaczej u lekarza

28. RODO zmienia również zasady funkcjonowania służby zdrowia: a zatem lekarz, który nie może rozkładać na stole kart pacjenta.

Komfort pacjenta

29. Gabinet medyczny może zrezygnować z oznaczenia specjalnością lekarza: by zapewnić pacjentowi komfort leczenia i ochronę jego danych.

Polityka, polityka

30. I wreszcie rzecz ostatnia, istotna tak samo jak powyższe: opinie na temat polityki to część specjalnej kategorii danych osobowych (wrażliwych danych osobowych). Organizacje nie mogą rejestrować ani przetwarzać tego rodzaju informacji.

Jak widać, RODO dość mocno wpływa na nasze funkcjonowanie w społeczeństwie. Warto pamiętać, że ochrona danych osobowych to proces ciągły, ale też niezwykle istotny w naszej codzienności, zarówno postrzeganej z perspektywy pracodawcy, jak i pracownika.

 

Z poważaniem,

Adwokat Marta Wnuk

 Jeżeli chcesz skorzystać z pomocy prawnej, zapraszam Cię do kontaktu:

tel.: +48691512933

 e-mail: kontakt@adwokatwnuk.pl