KLUB500 - Łódź | Stowarzyszenie Właścicieli Prezesów i Dyrektorów Firm
KLUB500 - <!--Łódź | Stowarzyszenie Właścicieli Prezesów i Dyrektorów Firm-->
KLUB500 - <!--Łódź | Stowarzyszenie Właścicieli Prezesów i Dyrektorów Firm-->

RODO czyli zmiany w ochronie danych osobowych

Podczas listopadowego spotkania członków Klubu 500-Łodź zostało zaprezentowane niebywale ważne zagadnienie zmian, jakie czekają przedsiębiorców w zakresie ochrony danych osobowych.

Zmiany te wyjaśniły we wspólnej prezentacji pt. „Ochrona danych osobowych w firmie - najważniejsze nadchodzące zmiany i obowiązki dla przedsiębiorców” panie Noemi Chudzik - partner w kancelarii Chudzik i Wspólnicy i Anna Damas- prawnik w kancelarii Chudzik i Wspólnicy.

Temat spotkania koncentrował się na  RODO czyli  Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.  Rozporządzenie to weszło w życie 17 maja 2016 r. i zacznie obowiązywać bezpośrednio w krajowych porządkach prawnych od 25 maja 2018 r. Rozporządzenie wiązać będzie wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą.

W Polsce jest przygotowywana ustawa dotycząca stosowania RODO,  natomiast do czasu jej uchwalenia  obowiązuje dyrektywa parlamentu Unii Europejskiej.  Jest bardzo szczegółowa w zakresie tego, co przedsiębiorca powinien mieć, by spełnić jej wymogi.

RODO ma za zadanie urealnić zakres ochrony danych osobowych w związku z szerokim zastosowaniem technik informacyjnych, i ma pozwolić na swobodny przepływ danych w ramach Unii Europejskiej. Twórcy RODO położyli nacisk na ujednolicenie przepisów w całej UNII. Są jednak sektory pozostawione ustawodawcy krajowemu: to są organy nadzoru plus postępowania kontrolne w sprawach o naruszeniach oraz dostosowanie przepisów branżowych.

Polska ustawa o ochronie danych jest w fazie wczesnego projektu. Ustalono, że do maja 2018 roku firmy muszą się dostosować, czyli przeanalizować stan, który aktualnie mają aby wprowadzić odpowiednie regulacje zapewniające wymagane przez RODO standardy.

Kluczowe zmiany:

  • podejście na zasadzie ryzyka (firma ma za zadanie sama określić, na ile ryzykowną prowadzi politykę dotyczącą ochrony danych osobowych)
  • zmiany w zakresie obowiązku prowadzenia dokumentacji (już nie trzeba będzie prowadzić określonej liczby koniecznych dokumentów),
  • obowiązki notyfikacyjne i informacyjne,
  • profilowanie,
  • prawo dostępu do danych, poprawiania i sprzeciwu wobec przetwarzania (ważne ze względu na indywidualne prawa osoby fizycznej)
  • możliwość certyfikacji  (daje to firmie pewną ochronę),
  • kary finansowe za naruszenia.
Zmienia się definicja danych osobowych. Dotychczas były to wszelkie informacje o możliwej do zidentyfikowania osoby. Według RODO są to informacje o zidentyfikowanej i możliwej do zidentyfikowania osobie. Ta osoba, to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, lub szczegóły określające – fizyczne, fizjologiczne, genetyczne, ekonomiczne, kulturowe, społeczne. Zatem, wszystko, co łączy się z osoba fizyczną da się podciągnąć pod tę definicję.

Mamy także kategorię danych o szczególnym  charakterze. To tzw. dane wrażliwe. Należą do nich informacje o pochodzeniu rasowym, poglądach politycznych, przynależności do związków zawodowych. Są to także dane genetyczne a także te dotyczące zdrowia, oraz  orientacji seksualnej. Katalog danych wrażliwych podlega innym zasadom przetwarzania, co oznacza w praktyce zakaz ich przetwarzania. Przypadki szczególne to: wyraźna zgoda, albo gdy jest to niezbędne do wykonania obowiązku wynikającego np. z prawa pracy. Informacja o zdrowiu kandydata do konkretnej pracy ma prawo interesować pracodawcę. Dotyczy to także sytuacji związanych z ochrona socjalną jak również ochrony żywotnych interesów osoby, której dane te dotyczą (np. w kontaktach z firmami ubezpieczeniowymi, które wchodzą w posiadanie danych o zdrowiu klienta, który na przykład uległ wypadkowi).

Zmienia się definicja przetwarzania. Dotychczas pod tym pojęciem rozumieliśmy takie czynności, jak – zbierane, utrwalanie, przechowywanie, opracowanie, zmienianie i usuwanie (zwłaszcza przy użyciu systemów informatycznych). Zgodnie z RODO ten katalog jest znacznie poszerzony. Jedną z ważniejszych zmian jest poszerzenie o czynność fizycznego niszczenia dokumentów. Jeśli firma ma to zrobić, jest obowiązana do przekazania dokumentów firmie niszczącej dokumenty. To jest powierzenie danych do przetwarzania. I tu, uwaga! Jeśli komukolwiek przekazujemy dokumenty z danymi, powinno być to obwarowane umową, jako powierzenie danych do przetwarzania.

Do przetwarzania danych potrzebna jest zgoda, chyba, że jest ono niezbędne do realizacji umowy lub jeśli jest to konieczne do realizacji celów wynikających z prawnie uzasadnionych interesów. Zgodę na przetwarzanie danych może wyrazić osoba od 16. roku życia. Do tego wieku zgodę musi wyrazić osoba sprawująca władzę rodzicielską. Ze względu na trudność z respektowaniem tego przepisu w portalach społecznościowych i  w ogóle w przestrzeni internetowej, polskie prawodawstwo dopuszcza obniżenie granicy wieku do 13. roku.

Dotychczas ochroną danych osobowych w firmach zajmują się ABI, czyli Administratorzy Bezpieczeństwa Informacji. Tę funkcję zachowają do września 2018 roku. Od tego dni pojawi się w ro miejsce IOD (Inspektor Ochrony Danych). Czy jego powołanie jest prawem, czy obowiązkiem? Co do zasady, nie ma takiego obowiązku z wyjątkiem podmiotów, których główna działalność opiera na się na działaniach przetwarzania danych, czyli np. banków. Zatem, ABI nie staną się automatycznie IOD. Z chwilą wygaśnięcia obowiązków ABI firma będzie mogła zadecydować, czy  powołać IOD. Ma on dosyć niezależną pozycję w firmie, z prawem włączania się w sprawy w jakikolwiek sposób związane z ochroną danych osobowych. Jednak posiadanie IOD w żaden sposób nie zwalnia przedsiębiorcy z odpowiedzialności za błędy w ochronie danych w firmie.


Prace nad doskonaleniem ochrony danych osobowych należy prowadzić w firmie nieustannie. Nie wystarczy raz opracowany katalog metod. Trzeba go cały czas modyfikować ze względu na wiele zmieniających się czynników zewnętrznych w których funkcjonuje przedsiębiorstwo.

Mimo że dokument wprowadzający zmiany opiewa na wiele stron, przepisy RODO są nieprzejrzyste, niejednoznaczne i stwarzają niebezpieczeństwo niewłaściwej interpretacji.

Najbardziej dotkliwą zmianą jest chyba to, że wprawdzie przedsiębiorca, właściciel, dyrektor firmy może sam projektować zasady ochrony danych osobowych i przestrzegać ich sumiennie, ale nie uchroni go to przed karą jeśli: kontrola wykaże naruszenie zasad już w fazie ich projektowania,  rejestrowania czynności przetwarzania, przetwarzania z upoważnienia administratora, współpracy z organem nadzorczym lub bezpieczeństwa przetwarzania danych osobowych.

Kara przewidziana jest w wysokości do 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa.

Jeśli kontrola wykaże naruszenia w zakresie podstawowych zasad dotyczących przetwarzania danych osobowych, warunków wyrażenia zgody na przetwarzanie danych, udzielenia prawa dostępu, sprostowania i usuwania danych. Wówczas kara przewidziana jest w wysokości do 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa.

 

 

powrót
Zostań członkiem Certyfikacja Menedżerów więcej


Nagroda Klubu 500

Nagroda KLUBU 500-ŁÓDŹ jest wyróżnieniem dla autora najlepszej pracy magisterskiej w danym roku akademickim, dotyczącej zagadnień biznesowych, napisanej na Wydziale Organizacji i Zarządzania Politechniki Łódzkiej oraz Wydziale Zarządzania Uniwersytetu Łódzkiego.

Certyfikacja menedżerów

Celem głównym procesu Certyfikacji Menedżerów jest troska o rozwój gospodarczy regionu łódzkiego poprzez doskonalenie kadr menedżerskich, które są najważniejszym czynnikiem sukcesu gospodarczego.