Ochrona danych osobowych RODO

Na temat RODO już każdy coś słyszał, ponieważ funkcjonuje ono w prawie międzynarodowym od kilku lat. Niestety nadal wiele osób tak naprawdę nie wie czym jest i jakie są jego zasady, a tym samym krąży wokół niego wiele mitów. Warto je rozwiać, zwłaszcza, że z danymi osobowymi mamy kontakt na co dzień.

Zaufali mi najlepsi:

Co to jest RODO?

RODO to unijne Rozporządzenie o Ochronie Danych Osobowych (GDPR – General Data Protection Regulation), które weszło w życie w maju 2018 roku. Jest zbiorem przepisów regulujących między innymi to kto ma prawo do jakich danych na nasz temat, jak powinny być one przechowywane i przetwarzane, w jaki sposób firmy mogą je pozyskiwać i co każda osoba fizyczna może zrobić w związku z tym przetwarzaniem. Rozporządzenie to dotyczy każdego, ponieważ choć obowiązki nakłada na przedsiębiorców, to jednak konsumentom daje określone prawa. Nad dokumentem pracowało wielu ekspertów z różnych dziedzin i krajów, aby był on kompleksowy.

Dlaczego wprowadzono obowiązek RODO?

Powodów wprowadzenia RODO jest całkiem sporo. Pierwszym z nich jest fakt, że stopniowo coraz bardziej zacieśnia się współpraca pomiędzy państwami Unii Europejskiej – jej członkowie współpracują ze sobą, co oznacza konieczność wymiany danych; otwarte granice i swoboda podejmowania zatrudnienia w różnych krajach, sprawiają, że do rajów trafiają kolejne dane, do tego dochodzą kwestie zakupów przez Internet, a tu ponownie pojawiają się dane.

Proces integracji wprawdzie nieco zahamowała pandemia COVID-19, ale po jej względnym opanowaniu pojawiła się konieczność przepływu nowych danych na masową skalę, tym razem dotyczących zdrowia. Można więc przypuszczać, że wraz z upływem czasu RODO stanie się jeszcze ważniejsze, być może w stopniu przekraczającym wyobrażenia mocodawców w chwili jego tworzenia.

REKLAMA

Koniecznie zobacz NAJLEPSZE szkolenie z Facebooka na rynku

Link do kursu: szkolenie Facebook Ads

Koniec reklamy.

Drugim powodem wprowadzenia RODO jest postęp technologiczny – przedsiębiorstwa i państwa mogą obecnie przetwarzać i wykorzystywać dane na bardzo dużą skalę. Z jednej strony RODO, ustalając reguły tych działań, ujednolica przepisy w całej Unii Europejskiej, tym samym ułatwiając tę procedurę.

Z drugiej strony zapewnia też większe bezpieczeństwo – nie musimy się aż tak bardzo obawiać sposobu, w jaki mogą być wykorzystane informacje o nas w innych krajach, ponieważ przepisy są takie same w całej Unii. Oznacza to także, że za ich naruszenie możemy na podstawie tych samych zapisów dochodzić swoich praw, a naruszający bez względu na pochodzenie otrzyma taką samą karę.

Czy RODO jest potrzebne wszędzie?

Na to pytanie można odpowiedzieć krótkim „tak, ale w różnym zakresie”. Ochroną są objęte dane, dzięki którym można kogoś zidentyfikować w sposób bezpośredni lub pośredni. Każda firma dysponuje takimi danymi – są to dane zatrudnianych i czasami byłych pracowników, klientów. Zależnie od ilości danych i ich pochodzenia, a także profilu działalności firmy różny będzie sposób ich przechowywania, przetwarzania, niszczenia, ale co do zasady trzeba je chronić w równym stopniu i takie same są konsekwencje naruszenia Rozporządzenia.

Obowiązki przedsiębiorcy wynikające z RODO

Jeżeli przetwarzanie danych to podstawa działalności przedsiębiorstwa, to musi ono powołać Inspektora Danych Osobowych, konieczne jest także zgłaszanie wycieków danych osobowych, omówione w dalszej części tekstu. Poza tym przedsiębiorstwo musi dokumentować jakie dane, w jaki sposób i w jakim celu przetwarza. Należy przy tym pamiętać, że osoby, których dane przetwarzamy mają prawo je zmieniać, przenosić, mieć do nich dostęp oraz żądać usunięcia z bazy, a więc obowiązkowo należy umożliwić takie działania.

Realizacja tych obowiązków w rzeczywistości sprawia, że przedsiębiorstwa muszą spełniać szereg wymagań bardziej technicznych. Przede wszystkim oznacza to zabezpieczanie urządzeń firmowych – korzystanie z programów antywirusowych, legalnego oprogramowania, w razie wymiany sprzętu usunięcie wszystkich informacji z dysków – oraz szyfrowanie posiadanych danych, by ograniczyć ryzyko w przypadku ich naruszenia. Konieczne jest także uważne monitorowanie zasobów firmy i ostrożne nadawanie uprawnień pracownikom, aby dostęp mieli do tych informacji, których rzeczywiście potrzebują, a nie wszystkich, jakie firma posiada.

Komu zgłaszać naruszenia RODO i czy każdy ma obowiązek dokonać zgłoszenia?

Naruszeniem danych osobowych nazywa się sytuację, w której są one przetwarzane w sposób niezgodny z RODO, polityką bezpieczeństwa lub polityką ochrony danych osobowych administratora danych. Jeśli do takiego naruszenia dojdzie, to pracodawca ma obowiązek zgłosić to do Prezesa Urzędu Ochrony Danych Osobowych i w myśl rozporządzenia, tylko pracodawca ma taki obowiązek. Oznacza to, że jeśli pracownik odkryje naruszenie danych, to zgłasza to kierownictwu, nie musi jednak robić tego wobec Prezesa UODO, a ewentualne konsekwencje niezgłoszenia do Urzędu zostaną poniesione przez pracodawcę. Pracodawca na takie zgłoszenie ma 72 godziny. Oczywiście, fakt, że tylko pracodawca ma obowiązek dokonać takiego zgłoszenia nie oznacza, że nie może tego zrobić ktoś inny – każdy ma do tego prawo.

Od obowiązku zgłoszenia jest jeden wyjątek – można z niego zrezygnować, jeśli uznamy za mało prawdopodobne, by na naruszeniu ucierpiały prawa i wolności osób trzecich. Skorzystanie z tego wyjątku należy jednak gruntownie przemyśleć, ponieważ ryzyko jest dość duże – czasem trudno przewidzieć, jakie skutki przyniesie naruszenie, a jeśli te okażą się jednak negatywne i duże, to może się okazać, ze brak zgłoszenia zaskutkuje dużą karą finansową, większą niż gdyby samodzielnie się zgłosiło zaistniały problem.

Zgłoszenia naruszenia RODO można dokonywać w formie tradycyjnej oraz elektronicznej. W formie tradycyjnej należy zawrzeć następujące informacje: imię i nazwisko oraz adres zgłaszającego, opis naruszenia i wskazanie podmiotu naruszającego, określenie, jakich działań w związku z naruszeniem się oczekuje i własnoręczny podpis. Forma elektroniczna oprócz wcześniej wymienionych elementów musi zawierać także adres elektroniczny zgłaszającego oraz jego kwalifikowany podpis elektroniczny bądź ten potwierdzony profilem zaufany ePUAP. Do zgłoszenia należy dołączyć dowody naruszenia, jeśli takie posiadamy. Mogą to być umowy, zaświadczenia, korespondencja i inne. Jeśli skarga jest wnoszona przez pełnomocnika, to należy pamiętać o tym, by załączyć także pełnomocnictwo – bez niego nie można wszcząć kontroli.

Poinformowanie osoby, której prawa wynikłe z RODO zostały naruszone

Administrator danych ma również obowiązek poinformować podmiot, którego dane zostały naruszone. Musi tego dokonać bez zbędnej zwłoki, jeśli naruszenie praw wynikłych z RODO może doprowadzić do naruszenia praw i wolności osób fizycznych. Od tej reguły są jednak wyjątki i takiego zgłoszenia można nie dokonywać w przypadku, gdy administrator podjął już kroki mające na celu ochronę tych danych (np. zaszyfrowanie) lub poinformowanie konkretnej osoby wymaga niewspółmiernie dużego wysiłku – wówczas można wydać publiczny komunikat, mający na celu poinformowanie i ostrzeżenie wszystkich osób, których dane zostały naruszone.

Zgłoszenie konkretnej osobie, że jej dane zostały naruszone powinno być napisane jasnym i zrozumiałym językiem, wyjaśniającym zdarzenie. Powinno zawierać informacje na temat Inspektora Danych Osobowych (kto to jest, jak się z nim skontaktować – adres siedziby i numer telefonu), by zainteresowany mógł uzyskać więcej informacji na temat naruszenia danych i zagrożenia. Należy także przedstawić możliwe konsekwencje naruszenia danych oraz środki podjęte i proponowane w celu ich ograniczenia, tak po stronie podmiotu zarządzającego danymi, jak i samego poszkodowanego.

Co grozi za złamanie przepisów RODO?

Rozporządzenie definiuje maksymalne wysokości kar, które mogą być zasądzone wobec przedsiębiorstw. Za niedozwolone udostępnianie danych lub złamanie podstawowych zasad ich przetwarzania, naruszenie praw konsumenckich kara może wynieść do 20 mln euro lub 4% rocznego dochodu. Natomiast niewypełnienie obowiązku informacyjnego, błędne rejestry danych lub braki w systemach ochrony danych mogą być karane na poziomie 10 mln euro lub 2% rocznego dochodu. Poza konsekwencjami finansowymi istotne też są straty niematerialne, jak renoma firmy, bo te też potrafią przełożyć się na finansowe – klienci mniej chętnie współpracują z firmami, przez które są narażeni na niebezpieczeństwo.

Kary za naruszenie RODO wyglądają strasznie, należy wiec podkreślić, że podane wysokości są maksymalnymi. To nie jest tak, że każde naruszenie zostanie potraktowane w ten sam sposób a urzędnicy będą dawać najwyższe możliwe kary. Dla wielu przedsiębiorstw, szczególnie mniejszych i działalności jednoosobowych, takie kary byłyby po prostu końcem działalności, dlatego też możliwe jest ukaranie niższymi kwotami, jeśli naruszenia nie są drastyczne i skrajnie niebezpieczne.

Czy RODO naprawdę jest takie straszne, jak je malują?

Faktem jest, że Rozporządzenie o Ochronie Danych Osobowych nakłada sporo obowiązków wobec przedsiębiorców i grozi dotkliwymi karami za ich niewypełnienie. Jednakże funkcjonuje ono od 3 lat i zdaje się, że firmy już przywykły do stosowania się do nowych przepisów, po chwilowym paraliżu i zagubieniu dotyczącym tego, co można przetwarzać i w jaki sposób. Informacje na temat przetwarzania danych są dziś codziennością, na każdej stronie znajdujemy politykę prywatności i RODO stało się właściwie codziennością.

Niewiele było też sytuacji groźnych naruszeń danych i związanych z tym ogromnych kar, przypuszczać więc można, że choć początkowo Rozporządzenie wydawało się straszne, ostatecznie takie nie jest i przedsiębiorstwa bardzo szybko się do niego dostosowały. Największym problemem okazała się dezinformacja w chwili wejścia ustawy w życie, ale i ta szybko została opanowana.

Warto też zauważyć, że choć z roku na rok liczba zgłaszanych naruszeń rośnie, to jednak rośnie także liczba odwołań, a te bywają uznawane przez sądy, które zauważają niezasadność nałożenia kary bądź jej wysokości. Do tej pory też najwyższymi karami obarczono wielkie korporacje – Google, Marriott – co dość dobrze świadczy o dostosowaniu kary do możliwości firmy i stopnia naruszenia.

Ogólne rozporządzenie o ochronie danych osobowych 25 maja 2018 UE

Osobą do której możesz się zgłaszać w razie problemów jest inspektor ochrony danych osobowych iod. Dlaczego? Bo jak już wiesz przetwarzanie danych osobowych to wrażliwy temat i lepiej dwa razy zapytać.

• szkolenia online
• szkolenia u Ciebie w firmie i doradztwo-konsulting
• agencja SEO/SEM

Co myślisz o moim nowym wpisie na blogu?

A może masz pytanie dotyczące strategii lub techniki jak działać najlepiej?

Tak czy inaczej, chciałbym usłyszeć, co masz do powiedzenia.

Więc śmiało, teraz udostępnij ten wpis na swoich social mediach i zobacz co inni mają do powiedzenia.