Podstawy RODO

Kogo dotyczy RODO?

Odpowiedz jest bardzo prosta - każdego, kto operuje danymi osobowymi obywateli Unii Europejskiej w celach innych niż czysto osobiste lub domowe.

Idąc tym tropem, każdy przedsiębiorca współpracujący z obywatelami UE musi zadbać o przestrzeganie nowego prawa ochrony danych osobowych. Przykładowo: sklepy internetowe, blogerzy wysyłający newslettery, firmy posiadające bazy danych klientów itd.

Jaka kara może mnie spotkać?

Rozporządzenie o ochronie danych osobowych przewiduje możliwość nakładania kar finansowych w wysokości do 4% obrotu w skali roku ubiegłego lub do 20 mln euro. Oczywiście tutaj występuje proporcjonalność kary do uchybień, które wystąpiły. Kwoty te powinny zachęcić do zainteresowania się nowymi przepisami.

Wewnętrzna dokumentacja ochrony danych osobowych w świetle RODO

Do chwili obecnej każdy administrator danych osobowych powinien posiadać politykę bezpieczeństwa oraz instrukcję zarządzania systemami informatycznymi. Zawarte są w nich informacje o postępowaniu z danymi osobowymi w firmie, wdrożonych zabezpieczeniach czy też sposobie i miejscu ich przetwarzania. Przedsiębiorcy kopiowali wzory dostępne w internecie, zapominając aby wszystko odpowiadało rzeczywistości.

Rejestr czynności przetwarzania danych osobowych w RODO, choć teoretycznie jest obowiązkowy dla przedsiębiorców zatrudniających więcej niż 250 osób to wyjątki powodują, że tak naprawdę musi go mieć każda firma zatrudniająca chociaż 1 pracownika lub operująca innymi danymi osobowymi.

Kontrole przedsiębiorstw w oparciu o RODO

Jako że kary za naruszenie przepisów wchodzących w życie będą stanowiły przychód do budżetu państwa, możemy spodziewać się częstszych kontroli. Ponadto nieskuteczność dotychczasowych kontroli była tłumaczona trudnością w egzekwowaniu kar za łamanie istniejących przepisów. Od 25.05.2018 r. prawo staje się łatwiejsze do interpretacji oraz przestrzegania. Więc kary stają się w tym momencie realnym zagrożeniem dla przedsiębiorców - warto się przed nimi uchronić. Ich wielkość jest co prawda uzależniona od firmy i obowiązuje zasada proporcjonalności. Lepiej jednak nie sprawdzać tego na własnej działalności.

Wdrażanie procedur

Należy najpierw wdrożyć odpowiednie procedury ochrony danych osobowych a następnie sporządzić niezbędną dokumentację. Od 25.05.2018 r. nie będzie już bezwzględnego obowiązku posiadania polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi - zbiory nie będą musiały być zgłaszane. A administrator sam zdecyduje jakie dokumenty są wymagane ze względu na specyfikę zbioru oraz działalności.

RODO, a zgoda na przetwarzanie danych osobowych

RODO w zakresie zgody jest jasne – ma być wyraźna, uprzednia, dobrowolna, a jej fakt wyrażenia musi zostać udokumentowany przez administratora. W trakcie wyrażania zgody użytkownik musi otrzymać informację, że będzie mógł taką zgodę odwołać w każdym czasie.