Бухгалтерия в Польше | inPL Group - бухгалтерское обслуживание в Люблине, Катовице, Кракове и Варшаве

Co to jest RODO?

25 maja 2018 r. weszły w życie przepisy dotyczące ochrony danych osobowych w Polsce. Osoby fizyczne mają prawo do usunięcia swoich danych osobowych z dowolnego źródła, a firmy i instytucje rządowe muszą wprowadzić szereg zmian. Za nieprzestrzeganie wymogów prawa grozi kara w postaci dużej grzywny pieniężnej w postaci setek tysięcy złotych, a nawet milionów euro.

Rozporządzenie o Ochronie Danych Osobowych (RODO) to przepisy o ochronie danych osobowych obowiązujące we wszystkich krajach UE.

Przepisy te dotyczą absolutnie wszystkich firm i organizacji rządowych w Polsce, które gromadzą i wykorzystują dane osobowe osób fizycznych. Wszystkie firmy, które posiadają dane osobowe lub dane osobowe osób fizycznych, muszą informować swoich właścicieli o przechowywaniu i wykorzystywaniu tych informacji. Na prośbę osoby, wszystkie informacje mogą zostać usunięte z określonej organizacji.

To prawodawstwo ma same zalety, ponieważ nie powinno być niezrozumiałych wezwań od różnych organizacji. Na przykład ci, którzy chcą reklamować swoje produkty lub usługi. Każda osoba fizyczna ma prawo żądać informacji o tym, skąd pochodzą jej dane osobowe z tej lub innej firmy.

10 ważnych zmian związanych z RODO
1. Kary finansowe

RODO wprowadza kary finansowe za niewdrożenie i nieprzestrzeganie nowych przepisów o ochronie danych osobowych.
Firmy mogą otrzymać kary w wysokości od 10 do 20 milionów euro lub od 2% do 4% całkowitego obrotu firmy.
Dla organizacji państwowych przewidziana jest grzywna w wysokości 100 000 zł.
Grzywny nakładane są proporcjonalnie do popełnionych naruszeń.

2. Odpowiedzialność organizacji
Za naruszenia przepisów o ochronie danych osobowych odpowiada szef firmy. Odpowiedzialność jest bezpośrednia i powołanie inspektora ochrony danych w firmie lub przekazanie tej funkcji osobie trzeciej nie zwalnia z tej odpowiedzialności. Kierownik przedsiębiorstwa jest osobą odpowiedzialną zarówno przed organem nadzorczym, jak i przed sądami właściwych instancji. Nie można przenieść tej odpowiedzialności na część pracowników przedsiębiorstwa.

3. Inspektor Ochrony Danych (IOD) – nowa funkcja
Inspektor Ochrony Danych (IOD) to nowa funkcja osoby odpowiedzialnej w organizacji, która zajmuje się nie tylko kwestiami danych osobowych, ale również odpowiada za zgłaszanie naruszeń organom kontrolnym. Pojęcie administratora danych osobowych (ABI), które istniało wcześniej, przestaje istnieć.
Definicja IOD jest obowiązkowa dla podmiotów prawnych, które podczas prowadzenia swojej działalności przetwarzają tego rodzaju dane osobowe, których brak bezpieczeństwa może prowadzić do naruszenia praw i wolności osób fizycznych, np. dzieci.

IOD musi przydzielić:

publiczne organizacje państwowe: szkoły, państwo. administracja um, organizacjami pomocy społecznej, usługami komunalnymi itp.,
firmy, które regularnie przetwarzają i przechowują dane osobowe osób fizycznych, np. firmy telekomunikacyjne, firmy reklamowe, firmy prowadzące różnego rodzaju ankiety, firmy ubezpieczeniowe itp.,
szpitale, przychodnie,
inne, o których mówi przepisy RODO.
IOD musi posiadać wiedzę na temat przechowywania danych osobowych, aby właściwie zarządzać polityką przechowywania przedsiębiorstwa.

4. Zawiadomienie o naruszeniach w ciągu 72 godzin
Inspektor Danych Osobowych IOD ma obowiązek powiadomić organy regulacyjne o naruszeniu bezpieczeństwa danych osobowych w przedsiębiorstwie w ciągu 72 godzin od momentu wystąpienia naruszenia.
W niektórych przypadkach istnieje potrzeba powiadomienia osób bezpośrednio dotkniętych incydentem (wyciekiem).

5. Rejestr naruszeń
Jedną ze zmian, jakie nakłada na nas RODO, jest nowy obowiązek inspektora danych osobowych w przedsiębiorstwie – prowadzenie rejestru naruszeń. Zgodnie z przepisami IOD musi udokumentować wszelkie naruszenia bezpieczeństwa danych osobowych, istotę samych naruszeń, a także opisać podjęte w tym zakresie działania.
Prowadzenie w ten sposób ewidencji powinno umożliwić organom regulacyjnym sprawdzenie, czy firma zastosowała się do przepisów RODO w zakresie prowadzenia takiej ewidencji, a także możliwość sprawdzenia zawiadomienia organu regulacyjnego o takich naruszeniach.

6. Analiza ryzyka
Analiza ryzyka będzie obowiązkowa dla organizacji przechowujących dane osobowe „wysokiego ryzyka”, takie dane obejmują: dane dotyczące zdrowia (fizycznego, psychicznego, korzystania z usług medycznych), dane o dzieciach, dane poufne.

7. Nowe procedury i przepisy
Odpowiedzialność to konieczność opracowania i wdrożenia procedur, a także mechanizmów, które zapewnią bezpieczeństwo przetwarzania danych osobowych, testowanie i ocenianie ich skuteczności 

inspektora danych osobowych RODO.
Nowe obowiązki to kwestia zwiększonej odpowiedzialności inspektora danych osobowych, wobec braku gotowych rozwiązań w tym zakresie. RODO nie wskazuje wprost, jakie dokumenty, procedury i polityki należy wdrożyć. Ogólnie mówi się, że same firmy muszą zachować ostrożność i staranność w zapewnieniu tych procesów, aby podczas przetwarzania danych osobowych nie doszło do naruszenia.

8. Obowiązek inwentaryzacji informacji zawierających dane osobowe
RODO nie ma obowiązku rejestrowania rejestrów danych, które zawierają dane osobowe. Wprowadzają jednak obowiązek prowadzenia wewnętrznego rejestru przetwarzania tych danych, który powinien zawierać następujące informacje: powód przetwarzania określonych danych osobowych, opis kategorii danych osobowych, rejestry naruszeń, dane osoby odpowiedzialnej osoby odpowiedzialne za przetwarzanie określonego obiektu danych w przedsiębiorstwie.

9. Prawo do usunięcia danych osobowych oraz prawo do przeglądania historii przechowywanych danych osobowych
RODO uznaje prawo osoby fizycznej do żądania od organizacji przechowujących dane osobowe osoby fizycznej usunięcia jej danych osobowych, taki wniosek nie ma możliwości odmowy.

Kilka szczegółów:

  • „Prawo do bycia zapomnianym” lub prawo do usunięcia swoich danych osobowych; dotyczy to informacji: w postaci cyfrowej, na papierze, a także informacji w kopiach zapasowych,
  • rozszerzone prawo jednostki do wglądu w jej dane osobowe, na przykład: prawo do otrzymania kopii przechowywanych danych osobowych.

10.Przetwarzanie danych osobowych dzieci
Administrator danych musi zapewnić rodzicom możliwość wyrażenia zgody na przechowywanie danych osobowych dzieci (dotyczy to przede wszystkim usług w Internecie).

Dokumenty regulujące kwestie związane z RODO

  1. Rozporządzenie Parlamentu Europejskiego 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osobowych
  2. Uzupełnieniem do europejskich regulacji RODO jest projekt ustawy z dnia 13 września 2017 r. o ochronie danych osobowych.

Kontakt