Co to jest RODO/GDPR?
RODO to regulacje wprowadzone przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Rozporządzenie to znane społeczności międzynarodowej jako General Data Protection Regulation (GDPR), czyli w polskiej wersji językowej rozporządzenie o ochronie danych osobowych (powszechnie używany skrót – RODO).
Od 25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zacznie być stosowane Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO/GDPR). Wprowadza ono szereg zmian w podejściu do danych osobowych oraz rozszerza zakres obowiązków administratorów i podmiotów przetwarzających dane.
Celem RODO jest zapewnienie swobodnego przepływu danych osobowych pomiędzy państwami członkowskimi UE, ale także wprowadzenie zasad, zgodnie z którymi przetwarzanie danych osobowych będzie ujednolicone na terenie całej Unii Europejskiej oraz wyposażenie osób fizycznych oraz organów nadzorujących w skuteczne narzędzia reagowania na naruszenia Rozporządzenia 2016/679.
Kogo dotyczy RODO?
Przepisy Rozporządzenia o Ochronie Danych Osobowych obejmują swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe. Dotyczą każdego podmiotu działającego na terenie UE, począwszy od jednoosobowych działalności gospodarczych, przez instytucje publiczne po duże międzynarodowe korporacje.
Mimo bardzo szerokiego stosowania Rozporządzenie wyróżnia grupy podmiotów, których zakres nie dotyczy. Są to między innymi osoby fizyczne, które w działalności czysto osobistej, bez związku z działalnością zawodową lub handlową przetwarzają dane osobowe (na przykład przechowywanie danych adresowych znajomych). Rozporządzenie nie ma również zastosowania do przetwarzania danych osobowych związanych z bezpieczeństwem narodowym, publicznym, zapobieganiem przestępczości a także do działalności związanej z przetwarzaniem danych przez instytucje dyplomatyczne.
Kluczowe zasady i wymagania RODO
Nowe Rozporządzenie o Ochronie Danych Osobowych wprowadza szereg zmian, które muszą być zastosowane we wszystkich podmiotach gospodarczych mających do czynienia z przetwarzaniem danych osobowych. Kluczowe z nich to:
– zgłaszanie naruszeń – administrator danych jest zobowiązany do zgłaszania w ciągu 72 godzin od wykrycia do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Dodatkowo może także wystąpić konieczność zawiadomienia konkretnej osoby fizycznej o przypadku takiego naruszenia;
– ograniczenie profilowania – ograniczenia w zakresie profilowania włączając w to obowiązek otrzymania zgody na profilowanie przed rozpoczęciem zbierania danych, obowiązek informowania o profilowaniu oraz konieczność akceptacji braku zgody na profilowanie;
– prawo do bycia zapomnianym – osoba fizyczna ma prawo żądać usunięcia jeżeli np. ustał cel przetwarzania danych, dane osobowe były przetwarzanie niezgodnie z prawem itd.
– prawo do przenoszenia danych – osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi;
– bezpośrednia odpowiedzialność przetwarzającego dane – organizacje przetwarzające dane osobowe pochodzące z innych firm, w trakcie świadczenia usług na ich rzecz (np. rozwiązania chmurowe, firmy hostingowe) będą ponosić bezpośrednią odpowiedzialność za złamanie zapisów Rozporządzenia;
– analiza ryzyka – RODO przedstawia aspekt analizy ryzyka związanego z przetwarzaniem danych osobowych jako niezbędny element skutecznego zabezpieczania danych osobowych. Zarządzanie ryzykiem to proces identyfikacji, oceny, postępowania i kontroli zdarzeń lub sytuacji mogących negatywnie wpłynąć na poufność, dostępność lub integralność danych osobowych;
– rozbudowany obowiązek informacyjny – Rozporządzenie zdecydowanie rozszerza obowiązek informacyjny jaki Administratorzy Danych Osobowych będą musieli spełnić w stosunku do osób, których dane osobowe przetwarzają np. informowanie o celu przetwarzania danych osobowych, oraz podstawy prawnej przetwarzania;
– ocena skutków – czyli PIA (ang. Privacy Impact Assessment) lub DPIA (ang. Data Protection Impact Assessment). Głównym założeniem tej analizy będzie identyfikacja ewentualnych zagrożeń oraz zaplanowanie działań mających na celu ograniczenie naruszeń danych osobowych;
Kto musi powołać Inspektora Ochrony Danych
Wyznaczenie Inspektora Ochrony Danych będzie obowiązkiem niektórych firm zarówno administrujących, jak i przetwarzających dane. Organizacje, które muszą powołać Inspektora Ochrony Danych to:
– organy i podmioty publiczne;
– administratorzy lub podmioty przetwarzające, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę;
– główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10;
Osoba powołana na Inspektora Ochrony Danych musi dysponować wiedzą ekspercką w zakresie ochrony danych osobowych.
Zadania Inspektora Ochrony Danych (IOD)
Główne zadania Inspektor Ochrony Danych (DPO – Data Protection Officer):
– informowanie administratora, podmiotu przetwarzającego oraz pracowników o obowiązkach spoczywających na nich na mocy Rozporządzenia oraz innych przepisów,
– doradzanie Administratorowi w zakresie skutecznego wdrożenia wymagań RODO;
– monitorowanie przestrzegania Rozporządzenia, polityk Administratora oraz innych przepisów Unii i państw członkowskich,
– szkolenie personelu uczestniczącego w operacjach przetwarzania,
– współpraca z UODO,
– uczestnictwo w procesie oceny skutków,
– przeprowadzanie systematycznych audytów;
Usługi oferowane przez Dolnośląskie Biuro Jakości w zakresie RODO:
– przeprowadzenie audytu zgodności z RODO /analiza luk/;
– kompleksowe wdrożenie wymagań RODO /przygotowanie dokumentacji, szkolenie pracowników itd./;
– usługi doradztwa dla Administratorów Danych;
– usługa zewnętrznego Inspektora Ochrony Danych (IOD);
W zależności od rodzaju organizacji, wielkości, skali przetwarzania danych osobowych dopasujemy ofertę do Twoich potrzeb.