Poradnik Przedsiębiorcy

RODO - zmiany od 25.05.2018 r. dotyczące ochrony danych osobowych

Przepisy dotyczące ochrony danych osobowych kandydatów do pracy i pracowników określone są w Kodeksie pracy oraz od 25 maja 2018 roku w Rozporządzeniu RODO. To rozporządzenie nazywane jest również podstawowym rozporządzeniem o ochronie danych. Przepisy te obowiązują we wszystkich państwach członkowskich Unii Europejskiej.

Jak przygotować się do zmian w związku RODO?

W związku ze zmianami, które zostały wprowadzone RODO,  zalecane jest wykonanie audytu przygotowawczego i udokumentowanie:

  • jakie dane osobowe są przetwarzane,

  • skąd pochodzą przetwarzane dane osobowe,

  • co uprawnia do wykorzystywania tych danych,

  • czy te dane są komuś udostępniane (jeżeli tak, to komu),

  • jak zabezpieczane są dane osobowe.

Dane wrażliwe to dane:

  • ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową;

  • o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym;

  • dotyczące skazań, kar, mandatów, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Podstawowe rozporządzenie o ochronie danych osobowych wymaga, rownież, aby zostały wprowadzone odpowiednie środki techniczne i organizacyjne, by zapewniony był odpowiedni stopień bezpieczeństwa. W tym celu pomocne będzie stosowanie zatwierdzonego kodeksu postępowania lub uzyskanie odpowiedniego certyfikatu.

Prawo do bycia zapomnianym według RODO

Przepisy RODO mówią również o “prawie do bycia zapomnianym”. Prawo to wprowadza możliwość sprostowania, usunięcia oraz ograniczenia przetwarzania danych osobowych. Zgodnie z tym osoba, której dane osobowe są przetwarzane, może zażądać usunięcia jej danych.

Dane osobowe muszą zostać usunięte w następujących przypadkach:

  • jeśli dane są przetwarzane niezgodnie z prawem;

  • jeśli dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego;

  • jeśli dane nie są już niezbędne;

  • jeśli osoba, której dane dotyczą, cofnie zgodę na przetwarzanie jej danych i jeśli dodatkowo nie ma innej podstawy do przetwarzania tych danych;

  • jeśli osoba, której dane dotyczą, wniesie sprzeciw na mocy art. 21 i jeśli dodatkowo nie ma innej nadrzędnej podstawy do przetwarzania tych danych;

  • jeśli dane muszą zostać usunięte, aby wywiązać się z obowiązku prawnego przewidzianego w prawie Unii lub w prawie państwa członkowskiego, do którego przynależy podmiot przetwarzający dane. 

Jak wygląda prawo do bycia zapomnianym wg RODO, dowiemy się z artykułu: Czym w praktyce jest prawo do bycia zapomnianym? 

Prawo do przenoszenia danych

Zgodnie z art. 20 Rozporządzenia (RODO) każda osoba ma prawo otrzymania od administratora, danych, które mu dostarczyła. Co ważne, prawo przenoszenie nie dotyczy tylko dostarczonych administratorowi danych, ale wszystkich, jakie zgromadził administrator na temat danej osoby. Dane osobowe powinny zostać przekazane w ustrukturyzowanym formacie (np. w pliku pdf).

Prawo do sprzeciwu

Zgodnie z art. 21 RODO osoba, której dane dotyczą, jest uprawniona do wniesienia sprzeciwu wobec przetwarzania tych danych osobowych. Sprzeciw musi wynikać z przyczyn związanych ze szczególną sytuacją danej osoby. 

Obowiązek uzyskania zgody na przetwarzanie danych osobowych

Zgodnie z art. 7 RODO na administratorach danych osobowych ciąży obowiązek uzyskania wyraźnej zgody na przetwarzanie danych osobowych.

 Wyczerpujące informacje na temat zgody na przetwarzanie danych osobowych znajdują się w artykule: Zgoda na przetwarzanie danych osobowych - wzór z omówieniem

Dziecko, które ukończyło 16 lat, a zgoda na przetwarzanie danych osobowych

RODO wprowadza możliwość uzyskania takiej zgody od dziecka, które ukończyło 16 r.ż, z tym że obowiązkiem firmy jest zweryfikowanie, czy zgoda jest wiarygodna. Rozporządzenie to dotyczy przetwarzania danych osobowych w związku z usługami informatycznymi. 

Inspektor ochrony danych zamiast ABI

Wraz z pojawieniem się podstawowego rozporządzenia o ochronie danych osobowych (RODO) pojawi się nowa funkcja, inspektora ochrony danych osobowych, który zastąpi obecnie funkcjonujących ABI - Administratorów Bezpieczeństwa Informacji.

Póki co powołanie ABI nie jest obowiązkiem, a uprawnieniem. Natomiast powołanie inspektora ochrony danych osobowych będzie w pewnych przypadkach obowiązkiem administratora danych.

Obowiązek powołania inspektora danych osobowych dotyczy:

  • organów lub podmiotów publicznych (z wyjątkiem sądów);

  • administratorów i podmiotów przetwarzających, których główna działalność opiera się na przetwarzaniu danych wymagających regularnego i systematycznego monitorowania osób, których dane są przetwarzane;

  • podmiotów przetwarzających, których główna działalność polega na przetwarzaniu  szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Zadanie inspektora danych osobowych, to m.in.:

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach, jakie na nich spoczywają;

  • współpraca z GIODO;

  • monitorowanie przestrzegania wszystkich przepisów dotyczących ochrony danych osobowych;

  • działania zwiększające świadomość;

  • szkolenia pracowników przetwarzających dane osobowe;

  • przeprowadzanie audytów.

Więcej o zadaniach Inspektora Danych Osobowych oraz kto dokładnie musi go powołać przedstawiamy w artykule: Inspektor Ochrony Danych Osobowych - kiedy jest potrzebny?

Kary za złamanie zasad ochrony danych osobowych w RODO

Wszelkie naruszenie bezpieczeństwa danych osobowych powinno być raportowane do PUODO, czyli Prezesa Urzędu Ochrony Danych Osobowych.

Kary za nieprzestrzeganie RODO omawia artykuł: Jakie są kary za nieprzestrzeganie RODO i o czym należy pamiętać? 

Za nieprzestrzeganie zasad ochrony danych osobowych na administratorów mogą być nakładane kary finansowe. Wysokość tych kar uzależniona będzie m.in. od rodzaju, wagi czy czasu trwania naruszenia (art. 83 ust. 2 RODO) i będzie wynosić nawet 20 mln euro, a w przypadku przedsiębiorców 2% albo 4% rocznego światowego obrotu przedsiębiorstwa (z poprzedniego roku obrotowego).