30 rzeczy, które musisz wiedzieć o RODO

RODO – czyli Rozporządzenie Ogólne o Ochronie Danych – to unijne prawo, które w nowy sposób definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w firmach i urzędach. Obowiązuje od niedawna (maj 2018 roku) , ale jest niezwykle restrykcyjne i dlatego warto poznać bliżej jego zasady i nowe pojęcia takie jak np. administrator bezpieczeństwa informacji.

Bezpieczeństwo danych

1. Unijne przepisy dotyczące zapewnienia bezpieczeństwa danych osobowych dotyczą wszystkich firm. Nie ma zatem znaczenia, czy prowadzi się jednoosobową działalność gospodarcza, spółkę cywilną czy spółkę z o.o.

Sankcje finansowe

2. Nowe przepisy wprowadzają szereg obowiązków, nowe rodzaje odpowiedzialności, ale też sankcje finansowe. Firmy mogą więc zostać ukarane karą pieniężną od 10 do 20 mln euro lub od 2% do 4% wartości rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa.

Przepisy dla wszystkich

3. Przepisy obejmują wszystkie podmioty, które gromadzą i wykorzystują dane dotyczące osób fizycznych. RODO będą musiały wdrożyć również organy administracji publicznej, mimo że do tej pory nie było takiego obowiązku.

Odpowiedzialność dla każdego

4. Za naruszenie przepisów o ochronie danych osobowych odpowiadać będzie szef firmy, jednostki, szkoły, urzędu.

Bezpośrednia odpowiedzialność

5. Odpowiedzialność jest bezpośrednia i powołanie inspektora ochrony danych osobowych nie zwalnia z tej odpowiedzialności. Dlatego każdy prezes, dyrektor, wójt, burmistrz czy prezydent miasta powinien wdrożyć RODO.

Brak cedowania odpowiedzialności

6. Szef organizacji odpowiada zarówno przed urzędem kontroli, jak i przed sądem cywilnym czy karnym. Nie może cedować tej odpowiedzialności na innych pracowników.

Nowa funkcja: Inspektor Ochrony Danych

7. W myśl nowych przepisów odpowiedzialność za bezpieczeństwo danych i raportowanie naruszeń do urzędu kontroli odpowiedzialny jest Inspektor Ochrony Danych (IOD). Z kolei dotychczasowy administrator danych osobowych (ABI) przestaje istnieć.

Kiedy powołać IOD?

8. Powołanie IOD jest obowiązkowe dla podmiotów, które prowadząc swoją działalność, przetwarzają takie rodzaje danych, których brak należytego zabezpieczenia może spowodować naruszenie praw i wolności osób fizycznych.

Obowiązek zgłaszania naruszeń

9. IOD ma obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w czasie do 72 godzin od naruszenia, bezpośrednio do właściwego organu nadzoru. Oznacza to, że każde naruszenie należy zgłosić bezpośrednio do organu nadzorczego w czasie 72 godzin, niezależnie od tego, czy powiadomiono przełożonych.

Nowa rola administrator bezpieczeństwa informacji

10. RODO nie wymaga rejestracji zbiorów danych osobowych. Jednak administrator bezpieczeństwa informacji musi prowadzić wewnętrzny rejestr czynności przetwarzania danych, zawierający m.in. informacje, takie jak: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, rejestry naruszeń, osoby odpowiedzialne za poszczególne procesy przetwarzania.

Nowe uprawnienia

11. RODO przyznaje obywatelom – osobom fizycznym, których dane osobowe są przetwarza, nowe uprawnienia, które muszą być respektowane przez organizacje.

Prawo do zapomnienia i inne…

12. Nowe uprawniania to m.in.: prawo do zapomnienia (trwałe usunięcie danych osobowych przetwarzanych przez instytucję), żądanie przeniesienia danych, rozszerzone prawo dostępu i wglądu w dane (np. prawo do otrzymania kopii danych) oraz roszczenia odszkodowawcze w sądach cywilnych z tytułu szkód poniesionych z niewłaściwego przetwarzania danych.

Monitoring w pracy

13. Nowe prawo to również możliwość wprowadzenia monitoringu. A zatem w myśl nowych przepisów pracodawca będzie mógł wprowadzić w firmie monitoring, jeśli uzna, że jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia, lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Zmiany w księgowości

14. Rzecz czternasta: firmy świadczące usługi księgowe oraz kadrowe od maja tego roku stały się administratorem danych osobowych, np. swoich pracowników, oraz podmiotem przetwarzającym takie dane powierzone przez klientów, znajdujące się na fakturach czy umowach.

Zmiany w HR

15. RODO to zmiana sposobu pracy HR-owców, których zadaniem będzie zapewnienie odpowiedniego stopnia bezpieczeństwa posiadanych i przetwarzanych danych osobowych (sposób przechowywania dokumentacji).

Rekrutacja

16. RODO zmienia zasady rekrutacji: po wejściu w życie nowych przepisów pracodawca nie będzie mógł pozyskać innych danych na temat pracownika niż te, na których wykorzystanie pracownik się zgodził.

Nowe zasady rekrutacji

17. A co się z tym wiąże: prowadzący proces rekrutacyjny, którzy chcą zasięgnąć opinii współpracowników na temat danego kandydata, muszą pamiętać, że dane w CV to dane osobowe.

Konsultacje rekrutacyjne

18. Zatem, aby porozmawiać o konkretnej kandydaturze z kimś innym, powinno się usunąć imię i nazwisko, adres, numer telefonu i wszelkie inne informacje umożliwiające identyfikację.

Zakaz gromadzenia danych

19. RODO zabrania również, o czym warto pamiętać w procesie rekrutacji, gromadzenia danych w nadmiarze, na zapas.

Pola marketingowe

20. Zgodnie z RODO wstępnie zaznaczone pola zgód marketingowych lub domyślne zgody (brak zaznaczenia, że klient nie zgadza się na przesyłanie informacji), nie będą już zgodne z prawem.

Prosty język, przejrzyste zasady

21. Prośba o wyrażenie zgody na komunikację musi być zrozumiała i napisana prostym językiem.

Zgoda na marketing

22. Według nowego prawa zgodę na marketing, przetwarzanie danych o lokalizacji i preferencjach musi wyrazić samodzielnie obywatel.

Ochrona danych dziecka

23. RODO umożliwia przetwarzanie danych osobowych osób, które ukończyły szesnasty rok życia. W związku z tym: należy się zastanowić, zanim udostępnimy zdjęcia dziecka współpracownika. Może się to odbyć tylko za zgodą lub autoryzacją rodzica.

Czy obchodzić urodziny?

24. Zgodnie z RODO świętowanie urodzin pracownika może się odbywać wyłącznie za jego zgodą.

Świąteczne życzenia

25. Firmy powinny zwrócić baczną uwagę również podczas wysyłania kartek świątecznych: jeśli bowiem wysyłka zakłada wykorzystanie czyjegoś prywatnego adresu domowego, jest to już przetwarzanie danych osobowych.

Informacje o diecie to również dane pracownika

26. RODO to również zastrzeżona informacja na temat diety pracownika, zatem informacje o dietach, alergiach pokarmowych i innych są traktowane jako dane osobowe. Krótko mówiąc: zamawiając posiłki w firmie cateringowej, należy się upewnić, że posiadamy odpowiednie zgody zainteresowanych osób.

Informacje o stanie zdrowia

27. Zdrowie pracownika: informacje o stanie zdrowia są danymi szczególnie chronionymi przez RODO. Osoba, której chory zgłosił nieobecność uzasadnioną stanem zdrowia, nie powinna rozprzestrzeniać tej informacji wśród innych współpracowników, chyba że chory pracownik wyraził zgodę na jej udostępnienie.

Inaczej u lekarza

28. RODO zmienia również zasady funkcjonowania służby zdrowia: a zatem lekarz, który nie może rozkładać na stole kart pacjenta.

Komfort pacjenta

29. Gabinet medyczny może zrezygnować z oznaczenia specjalnością lekarza: by zapewnić pacjentowi komfort leczenia i ochronę jego danych.

Polityka, polityka

30. I wreszcie rzecz ostatnia, istotna tak samo jak powyższe: opinie na temat polityki to część specjalnej kategorii danych osobowych (wrażliwych danych osobowych). Organizacje nie mogą rejestrować ani przetwarzać tego rodzaju informacji.

Jak widać, RODO dość mocno wpływa na nasze funkcjonowanie w społeczeństwie. Warto pamiętać, że ochrona danych osobowych to proces ciągły, ale też niezwykle istotny w naszej codzienności, zarówno postrzeganej z perspektywy pracodawcy, jak i pracownika.

Z poważaniem,

Adwokat Marta Wnuk

Jeżeli chcesz skorzystać z pomocy prawnej, zapraszam Cię do kontaktu:

tel.: +48691512933

e-mail: kontakt@adwokatwnuk.pl

Adwokat Gdańsk

Adwokat Gdańsk. Inspektor Danych Osobowych to nowa funkcja, która powstała po wejściu w życie rozporządzenia RODO. O sposobie wyznaczenia IOD i procedurach z tym związanych będzie traktować poniższy tekst.

Kto może zostać IOD?

Zgodnie z art. 37 ust. 5 Inspektora Danych Osobowych powołuje się na podstawie kwalifikacji zawodowych (wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO). Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników wymienionych podmiotów.

Adwokat Gdańsk – Kto musi powołać IOD?

RODO przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających, jeśli:

przetwarzania dokonują organ lub podmiot publiczny;
działalność administratora (lub podmiotu) przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają systematycznego monitorowania osób, których dane dotyczą na dużą skalę;
działalność administratora (lub podmiotu) przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10.

Jak wyznaczyć IOD?

Wyznaczenie Inspektora Danych Osobowych należy zgłosić w ciągu dwóch tygodni od dnia wyznaczenia do Urzędu Ochrony Danych Osobowych. Zgłoszenie Inspektora nie powinno jednak nastąpić później niż 31 lipca (jeśli dotychczas nie zatrudniano ABI) lub 1 września (jeśli dotychczasowy ABI został IOD). Niezgłoszenie tego faktu sprawi, że status IOD wygaśnie.

Inspektor danych osobowych i jego zadania

W rozporządzeniu o ochronie danych zostały sformułowane bez wskazania trybu oraz terminów ich realizacji. Można jednak wśród nich wymienić konieczność: informowania pracowników, którzy przetwarzają dane osobowe o ich obowiązkach i doradzania im w tych sprawach; przeprowadzania szkoleń i audytów pracowników oraz monitorowanie przestrzegania przepisów o ochronie danych; współpracy z Prezesem UODO oraz pełnienie funkcji punktu kontaktowego dla UODO.

Koszt wyznaczenia IOD

Usługa wyznaczenia IOD jest bezpłatna. Dodatkowe opłaty można ponieść tylko w przypadku realizacji tej usługi przez pełnomocnika.

IOD dla wielu firm

Warto wiedzieć, że istnieje możliwość wyznaczenia jednego Inspektora Danych Osobowych dla wielu firm stanowiących grupę przedsiębiorstw, ale o wyznaczeniu każda z tych firm musi osobno zawiadomić Prezesa Urzędu Ochrony Danych Osobowych. Ważne, by po wyznaczeniu IOD udostępnić jego dane na stronie internetowej lub innym dostępnym miejscu.