fbpx
Zaznacz stronę

Jeszcze niewiele osób zdaje sobie sprawę z tego, że w maju 2016 r.  weszło w życie Ogólne rozporządzenie o ochronie danych UE. Obecnie jesteśmy w trakcie 2-letniego okresu przejściowego. Rozporządzenie UE zacznie bezpośrednio nas obowiązywać od 25 maja 2018 r. Od tego dnia wszystkie firmy muszą spełniać nowe wymogi prawa i standardy.

Kiedy przetwarzamy dane osobowe?

Warto wiedzieć, że 99% firm prywatnych przetwarza dane osobowe, gdyż wystarczy, że wystąpi chociaż jedna z poniższych sytuacji:

  • zatrudniamy pracowników, zleceniobiorców, a nawet gdy mamy stażystów i wolontariuszy;
  • pobieramy dane do zawarcia umowy z osobą fizyczną, np. pośrednictwo nieruchomości, organizacja wypoczynku, ubezpieczenia itp.;
  • gromadzimy dane w celu realizacji zamówienia, np. sklepu internetowego, sklepu medycznego, realizacji recepty;
  • pobieramy dane osobowe w celu wykonania usługi dla osoby fizycznej np. przedszkole, fryzjer, gabinety lekarskie, fizjoterapeutyczne, kosmetyczne, dietetyczne itp.
  • wysyłamy newsletter do naszych obecnych i potencjalnych klientów;
  • prowadzimy program lojalnościowy, w którym gromadzimy dane osób fizycznych;
  • posiadamy dostęp do danych innych podmiotów w celu wykonania usługi, np. biuro rachunkowe, biuro prawne, agencja zatrudnienia;
  • dane osobowe są niezbędne do działań fundacji, czy stowarzyszenia;

Zgodnie z Rozporządzeniem UE nie ma ono zastosowania tylko wtedy, gdy jest się osobą fizyczną i przetwarza dane  w celach osobistych lub domowych. 

Jakie będą konsekwencje?

Obecnie nieprzestrzeganie przepisów może się dla nas zakończyć karą grzywny do 50 tysięcy złotych dla podmiotu. Grzywna ta może być nakładana nawet czterokrotnie. W skrajnych przypadkach może być to także ograniczenie lub pozbawienia wolności do lat 3. Rozporządzenie UE od 2018 r. wprowadzi bardzo duże zmiany. Kara finansowa wzrośnie nawet do 20 mln EUR lub 4% obrotu za rok poprzedni, przy czym zastosowanie będzie miała wyższa kwota. Za co konkretnie czekają nas tak wysokie kary? 

Rozporządzenie określa dwa przedziały “przewinienia”, od których uzależnia maksymalny poziom grzywny.  

Okazuje się, że grzywna do 10 mln EUR lub 2% obrotu, możliwa jest już za m.in.:

  • nieprowadzenie rejestru czynności przetwarzania danych;
  • niezgłaszanie naruszenia w ciągu 72h do GIODO;
  • nieprowadzenie oceny skutków przetwarzania danych;
  • niewyznaczenie inspektora ochrony danych, jeśli firma podlega pod ten przepis;

Są to w większości nowe obowiązki, które dotyczą każdego kto w celach zarobkowych gromadzi, przechowuje, modyfikuje lub usuwa dane osobowe. Wyznaczenie inspektora ochrony danych dotyczy sytuacji przetwarzania danych wrażliwych, np. o stanie zdrowia pacjenta lub monitorowania osób, gdy odbywa się to na dużą skalę.

Wyznaczenie inspektora ochrony danych dotyczy sytuacji przetwarzania danych wrażliwych, np. o stanie zdrowia pacjenta lub monitorowania osób, gdy odbywa się to na dużą skalę.

 

Zdecydowanie wyższa grzywna, bo do 20 mln EUR lub 4% obrotu, dotyczy sytuacji, gdy firma m.in.:

  • nie uwzględnia praw osób, których dane dotyczą (prawo do informacji, do przenoszenia danych, do bycia zapomnianym, prawo do ograniczenia przetwarzania itp.). W większości to także nowe prawa osób, których dane wykorzystywane są w działalności zarobkowej. 
  • gdy gromadzenie, przechowywanie, modyfikowanie lub usuwanie danych osobowych odbywa się bez właściwej podstawy prawnej. Chodzi o to, czy posiadamy podstawę, która umożliwia w konkretnej sytuacji zbieranie danych.

Czy 20 mln EUR jest realną karą grzywny?

Kary będą nakładane wprost do naruszenia wymagań prawnych oraz do zagrożenia prywatności. GIODO weźmie także pod uwagę podejście firmy do ochrony danych, wypełnienie obowiązków prawnych, czas trwania naruszenia, a także to, czy ma ono charakter umyślny, czy nieumyślny.

Jak wynika ze sprawozdań GIODO za lata ubiegłe praktycznie żaden podmiot nie może czuć się zwolniony z przestrzegania przepisów. GIODO bada przestrzeganie obowiązków zarówno w dużych firmach prywatnych, jak i działalnościach jednoosobowych. Pod lupę brane były kancelarie prawne, biura rachunkowe, przedszkola, przychodnie i gabinety lekarskie, sklepy i portale internetowe, a nawet wypożyczalnie sprzętu, czy usługi przewozu osób.  Już dziś GIODO zapewnia, że w przyszłym roku kary będą dotkliwe. Co więcej każda osoba będzie miała prawo do odszkodowania za poniesioną krzywdę, gdy poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przez firmę wymagań Rozporządzenia UE.

Co muszę zrobić, by moja firma była przygotowana na nowe przepisy?

Aby sprostać tym wymaganiom należy co najmniej wykazać przestrzeganie zasad prawnych Rozporządzenia.

Rozporządzenie UE określa szereg nowych zadań dla firm i instytucji. Jednocześnie przyznaje wiele nowych praw osobom, których dane są przetwarzane. Aby sprostać tym wymaganiom należy co najmniej wykazać przestrzeganie zasad prawnych Rozporządzenia. W tym celu trzeba opracować i wdrożyć niezbędne procedury i instrukcje, a także zapewnić adekwatne do zagrożeń środki techniczne i informatyczne.

Warto mieć na uwadze, że przepisy o ochronie danych osobowych należy przestrzegać zawsze, nawet jeśli dane nie są przechowywane w systemach informatycznych. Najważniejsze jest wiedzieć, czy i jakie dane osobowe można w firmie przetwarzać, w jakim celu i na jakich zasadach można to robić, by było to zgodne z prawem. Należy posiadać także niezbędną dokumentację, jest to minimum polityka bezpieczeństwa informacji i instrukcje informatyczne, jeśli mamy dane w systemach. Są to również upoważnienia, rejestry upoważnień i oświadczenia. Chroniąc dane osobowe i stosując wymagane procedury chronimy także inne rodzaje informacji, do których mają dostęp pracownicy i współpracownicy.

 

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!