Czytaj: Ustawa o ochronie danych już opublikowana>>

Nowa regulacja wprowadza wiele nieznanych dotąd uprawnień. M.in. prawo do bycia zapomnianym, czyli możliwość usunięcia, również z internetu, informacji na swój temat, jeśli nie są prawdziwe lub są obraźliwe, a także prawo do przenoszenia danych – będzie można zażądać, aby każdy urząd albo bank, które mają nasze dane, przekazał je innemu urzędowi lub bankowi. Stanowi też, że przetwarzanie danych będzie możliwe za wyraźną zgodą tego, kogo dotyczą.

We wchodzących w życie przepisach znalazły się też zmiany rozszerzające kategorie odpowiedzialności za naruszenie, wskazujące kierowników jednostek, jako osoby odpowiedzialne bezpośrednio za poprawność przetwarzania danych osobowych, powołujące nowych inspektorów danych osobowych, nakazujące przeprowadzanie audytów bezpieczeństwa, czy prowadzenie rejestrów ryzyka i naruszeń.

- RODO to nowa filozofia ochrony danych osobowych - mówi radca prawny dr Dominik Lubasz. I dodaje, że ta regulacja oparta jest na nieco innej niż dotychczas koncepcji. - Odmiennie niż to było dotąd, to administrator będzie decydować, bazując na analizie ryzyka, jakiego rodzaju zabezpieczenia, jakie środki techniczne, organizacyjne i prawne będzie musiał wdrożyć, żeby prawidłowo przetwarzać dane osobowe - dodaje. Więcej>>

 



Nowe przepisy obejmują wszystkie podmioty, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Nadchodzące zmiany będą dotyczyły zarówno firm, jak i administracji. Co ważne – RODO będą musiały wdrożyć wszystkie organy administracji publicznej! Do tej pory nie było takiego obowiązku. Teraz zarówno te duże firmy, czy urzędy, jak i te małe kilku-, czy kilkunastoosobowe firmy, sklepy internetowe, szkoły, ośrodki pomocy społecznej czy domy kultury itp. muszą przetwarzać dane osobowe zgodnie z prawem.

Jeszcze zmiany w 150 ustawach

W związku z wejściem RODO w życie uchwalona została nowa ustawa o ochronie danych osobowych, ale potrzebne są jeszcze szczegółowe zmiany w około 150 innych ustawach, m.in. w kodeksie pracy, czy ustawach policyjnych. Jak informuje koordynator reformy dr Maciej Kawecki z Ministerstwa Cyfryzacji, ustawa wprowadzająca te zmiany powinna być uchwalona w lipcu. Ale uspokaja, że nie będzie z tego powodu luk w prawie, ponieważ w dziedzinach, które mają być uregulowane w tych ustawach sektorowych RODO obowiązuje wprost. - Ale trzeba też mieć świadomość, że to może nie wyczerpać listy koniecznych zmian wynikających z RODO. Stosowanie tej regulacji może wywołać dalsze potrzeby zmian przepisów prawnych. Bo dane osobowe są absolutnie wszędzie i życie może nam przynieść jeszcze niejedno wyzwanie w tej dziedzinie - mówi dr Kawecki.

Czytaj: Dr Kawecki: sprawnie wprowadzimy nowe zasady ochrony danych osobowych>>

Przedsiębiorca założy rejestr i powiadomi o przetwarzaniu

Wszystkie firmy, które przetwarzają dane osobowe, powinny mieć wdrożone nowe zasady ochrony danych osobowych. Jeśli dojdzie do wycieku, ich brak może kosztować miliony.
Każda firma, która systematycznie przetwarza dane, np. pracowników, musi prowadzić rejestr czynności przetwarzania. RODO nakazuje, aby przy gromadzeniu danych przekazywać osobie, której one dotyczą, szereg informacji, dotyczących m.in. tożsamości administratora danych i o jego danych kontaktowych, celów i podstaw przetwarzania danych, odbiorcach danych osobowych, a także czasu ich przechowywania.
Gdy firma zleca na zewnątrz obsługę księgową, poczt elektronicznej, niszczenie dokumentów, archiwizację, itp., RODO zobowiązuje do wyboru takiego podmiotu przetwarzającego, który gwarantuje odpowiednią ochronę danych osobowych, i który zobowiąże  się m.in. podejmowania środków zabezpieczenia danych wymaganych przez RODO. Wiecej>>

Monitoring pracowników i CV pod nadzorem

RODO nie odnosi się wprost do danych pracowniczych, ale każdy pracodawca przetwarza dane osobowe swoich pracowników i kandydatów. Co więcej, pracodawca może występować w różnych rolach - jest administratorem danych, ale może być też procesorem, czyli podmiotem, którym administrator danych powierzył przetwarzanie danych osobowych (np. gdy pracodawca pośredniczy przy zbieraniu deklaracji o przystąpieniu przez pracowników do pakietów benefitowych oferowanych przez firmę zewnętrzną).
Takie dane pracodawca gromadzi m.in. przy okazji rekrutacji, zatrudnienia,  monitoringu, postępowań sądowych, prowadzenia księgi gości czy rejestru osób wchodzących i wychodzących z budynków.

Radca prawny dr Dominika Dörre-Kolasa wyjaśnia, że pracodawca musi przeprojektować cały system ochrony danych. Jeżeli jedynymi danymi, które przetwarza, są dane pracowników, to ma zdecydowanie mniej pracy, bo może ograniczyć się tylko do procesów kadrowo-płacowych i dokumentacyjnych.
Więcej>>

Lekarz ma być bardziej dyskretny

W ochronie zdrowia nowa regulacja oznacza m.in, że lekarz nie powinien wywoływać pacjenta do gabinetu po nazwisku. Inaczej będzie musiał wyglądać obchód lekarski, by informacji o stanie zdrowia pacjenta, czyli danych wrażliwych, nie słyszały inne osoby leżące w sali. Dla szpitali RODO oznacza dodatkowe szkolenia personelu, przygotowanie nowych dokumentów, ale także zweryfikowanie tego, kto z personelu ma dostęp do danych chorych. Więcej>>

W urzędach kilkadziesiąt zmian do wdrożenia

Samorządy będą musiały wykonać kilkadziesiąt czynności związanych z wdrożeniem RODO - to m.in.  zabezpieczenie dokumentów i systemów informatycznych, wprowadzenie zmian organizacyjnych oraz usunięcie danych, które są przetwarzane w sposób nieuzasadniony. Odpowiadają za to wójt, burmistrz, prezydent, starosta, marszałek. Kadra zarządzająca w urzędach, inspektor i pracownicy odpowiadają za ochronę danych w zależności od swoich obowiązków i pełnomocnictw. - Samorządy powinny myśleć o ochronie danych w procesach – od momentu zbierania danych, poprzez ich wykorzystywanie w założonym celu i przechowywanie do momentu decyzji, czy zgodnie z przepisami archiwizujemy dane, czy je usuwamy - mówi radca prawny dr Marlena Sakowska-Baryła. Więcej>>

 

Ochrona danych osobowych. Przewodnik po ustawie i RODO ze wzorami ebook

Maciej Gawroński

Sprawdź  

Doradcy podatkowi administratorami i procesorami

RODO to także dodatkowe obowiązki dla doradców podatkowych i biur rachunkowych. Jak wyjaśnia Szymon Goździk, prawnik w kancelarii BSO, w myśl przepisów rozporządzenia, doradcy podatkowi będą nie tylko administratorami danych osobowych, odpowiedzialnymi za przestrzeganie przepisów oraz zobowiązanymi do wykazania ich przestrzegania zgodnie z zasadą rozliczalności, ale w wielu przypadkach będą także podmiotami przetwarzającymi dane osobowe.
Procesorem (czyli podmiotem przetwarzającym dane, które są własnością innego podmiotu) firma będzie natomiast zawsze w stosunku do danych osobowych zawartych w dokumentacji klientów i korespondencji z nimi (dane pracowników, współpracowników i kontrahentów przedsiębiorcy obsługiwanego przez biuro rachunkowe). Więcej>>

Sądy i kancelarie prawne też obowiązuje RODO

Kancelarie prawne i sądy, podobnie jak wszystkie firmy i instytucje, są zobowiązane do stosowania nowych unijnych przepisów o ochronie danych osobowych. Od piątku mają m.in. chronić tzw. dane wrażliwe - czyli dot. pochodzenia rasowego, poglądów politycznych, przekonań religijnych, danych genetycznych i biometrycznych. Inaczej chronione mają być dane orzecznicze.
W sądach będą obowiązywać dwa obszary przetwarzania i ochrony danych osobowych. Jeden dla danych podlegających monitorowaniu przez inspektora ochrony danych osobowych i drugi niedostępny dla niego, dotyczący danych przetwarzanych w ramach działalności orzeczniczej - tak, by chronić niezawisłość sprawowania wymiaru sprawiedliwości. Więcej>>

W szkołach wszyscy mają chronić dane

Dotychczasowe przepisy w takim stopniu nie angażowały nauczycieli, za ochronę danych odpowiedzialny był głównie dyrektor i jego zastępca. Obecnie każdy z pracowników będzie odpowiedzialny za ochronę danych osobowych i będzie musiał umieć stosować te przepisy.
W przypadku szkół większość danych zbiera się w związku z realizacją obowiązku szkolnego, a zatem rodzice nie mają prawa, jak również powodu, na niewyrażenie zgody na ich gromadzenie. A zatem, jeżeli uczeń nie korzysta z żadnych dodatkowych form działalności szkoły, nie trzeba rodzica o niczym dodatkowo informować. Jednak gdy uczeń z dodatkowej działalności korzysta, choćby biorąc udział w wycieczkach, konkursach, festiwalach. W takim przypadku przydałoby się przygotować formularz, będący częścią regulaminu danego wydarzenia. - Nauczycieli i wychowawców trzeba przeszkolić, a następnie systematycznie uczyć i wspierać, aby wiedzieli, jakie obowiązki wiążą się z przetwarzaniem danych - mówi Jarosław Feliński, prezes Stowarzyszenia Inspektorów Ochrony Danych Osobowych. Więcej>>

Więcej obowiązków dla administratorów

Administrator na etapie pozyskiwania danych osobowych będzie zobowiązany m.in. do podania nowych informacji np.: o podstawie prawnej przetwarzania, danych kontaktowych do inspektora, o okresie przechowywania danych, prawie do ich przenoszenia, prawie wniesienia skargi do organu nadzorczego, cofnięcia zgody na przetwarzanie danych w dowolnym momencie itp.
RODO nakłada także na administratorów obowiązek powiadomienia o wycieku danych osobowych. Inspektor ochrony danych będzie miał obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w czasie do 72 godzin od naruszenia, bezpośrednio do właściwego organu nadzoru.
Administratorzy będą mieli obowiązek prowadzenia rejestrów czynności przetwarzania danych osobowych, który zastąpi dotychczasowy rejestr zbiorów danych osobowych. Polegać on ma na wyodrębnieniu czynności i każdej z nich należy przyporządkować określone operacje przetwarzania danych osobowych, czyli to, co jest robione z tymi danymi.

Trzeba oszacować ryzyko

Zgodnie z RODO, każdy podmiot musi samodzielnie oceniać ryzyko, jakie przetwarzanie danych osobowych może spowodować dla praw i wolności osób, których te dane dotyczą. Do przeprowadzania takich analiz będą zobowiązani administratorzy danych. Będzie to obowiązkowe przed podjęciem działań „wysokiego ryzyka”, takich jak np.: przetwarzanie danych dotyczących zdrowia (fizycznego, psychicznego, korzystania z usług medycznych), danych dzieci, danych wrażliwych. Analiza ryzyka powinna zapewnić wykazanie się starannością co do poprawności przetwarzania danych, szczególnie przed organem nadzorczym w momencie kontroli.

Inspektor zadba o standardy w instytucji

Rolę fachowego wsparcia dla administratorów danych i podmiotów przetwarzających spełniać będą inspektorzy ochrony danych osobowych. Ich zadaniem - tak jak obecnie administratorów bezpieczeństwa informacji - będzie działanie na rzecz zgodnego z przepisami o ochronie danych przetwarzania danych, zarówno w administracji publicznej, jak i w sektorze prywatnym.
Inspektor będzie zajmował się nie tylko ochroną danych, ale też kontaktem z osobami, których dane są przetwarzane. Inspektor zobowiązany będzie do informowania pracowników firmy i podmiotu przetwarzającego dane o ich obowiązkach i monitorowania ich przestrzegania. Inspektorzy będą w pewnym stopniu niezależni od przedsiębiorcy czy urzędu zatrudniającego ich.

Surowe kary za naruszenia

RODO przewiduje kary za naruszenie prawa do ochrony danych - od 10 do 20 mln euro lub od 2 do 4 procent wartości rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa. W administracji publicznej – wysokość kary przewidywana jest na poziomie do 100 tys. złotych. Kary będą nakładane proporcjonalnie w zależności od skali naruszenia przepisów.

Urząd skontroluje i doradzi

Organem nadzorującym stosowanie nowego prawa jest Prezes Urzędu Ochrony Danych Osobowych (PUODO), który zastępuje funkcjonującego do tej pory Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zamiana nastąpiła automatycznie w dniu wejścia w życie ustawy, czyli 25 maja br., a pracownicy zatrudnieni w GIODO stali się pracownikami tego Urzędu.
UODO ma prawo do przeprowadzania kontroli naruszenia zasad ochrony danych osobowych oraz nakładania kar. Szef urzędu będzie mógł kierować do organów państwowych, samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych. Będzie mógł również występować do organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.

- Rzpoczynamy stosowanie przepisów unijnego ogólnego rozporządzenia o ochronie danych, czyli RODO. Kończy się zatem dwuletni okres dostosowawczy - mówi dr Edyta Bielak-Jomaa, która od 25 maja jest prezesem Urzędu Ochrony Danych Osobowych. I dodaje, że doświadczenie Urzędu GIODO oraz wszystkich, którzy zajmowali się dotąd tą problematyką, zarówno od strony teoretycznej, jak i praktycznej – a więc przedstawicieli świata nauki, administratorów, administratorów bezpieczeństwa informacji i wszystkich, którym bliskie są zagadnienia ochrony danych osobowych i prawa do prywatności, pozwoli na efektywne stosowanie nowych przepisów i zapewni realizację celów rozporządzenia.