fbpx
Zaznacz stronę

Jeszcze niewiele osób zdaje sobie sprawę z tego, że w maju 2016 r.  weszło w życie Ogólne rozporządzenie o ochronie danych UE. Obecnie jesteśmy w trakcie 2-letniego okresu przejściowego. Rozporządzenie UE zacznie bezpośrednio nas obowiązywać od 25 maja 2018 r. Od tego dnia wszystkie firmy muszą spełniać nowe wymogi prawa i standardy.

Kiedy przetwarzamy dane osobowe?

Warto wiedzieć, że 99% firm prywatnych przetwarza dane osobowe, gdyż wystarczy, że wystąpi chociaż jedna z poniższych sytuacji:

  • zatrudniamy pracowników, zleceniobiorców, a nawet gdy mamy stażystów i wolontariuszy;
  • pobieramy dane do zawarcia umowy z osobą fizyczną, np. pośrednictwo nieruchomości, organizacja wypoczynku, ubezpieczenia itp.;
  • gromadzimy dane w celu realizacji zamówienia, np. sklepu internetowego, sklepu medycznego, realizacji recepty;
  • pobieramy dane osobowe w celu wykonania usługi dla osoby fizycznej np. przedszkole, fryzjer, gabinety lekarskie, fizjoterapeutyczne, kosmetyczne, dietetyczne itp.
  • wysyłamy newsletter do naszych obecnych i potencjalnych klientów;
  • prowadzimy program lojalnościowy, w którym gromadzimy dane osób fizycznych;
  • posiadamy dostęp do danych innych podmiotów w celu wykonania usługi, np. biuro rachunkowe, biuro prawne, agencja zatrudnienia;
  • dane osobowe są niezbędne do działań fundacji, czy stowarzyszenia;

Zgodnie z Rozporządzeniem UE nie ma ono zastosowania tylko wtedy, gdy jest się osobą fizyczną i przetwarza dane  w celach osobistych lub domowych. 

Jakie będą konsekwencje?

Obecnie nieprzestrzeganie przepisów może się dla nas zakończyć karą grzywny do 50 tysięcy złotych dla podmiotu. Grzywna ta może być nakładana nawet czterokrotnie. W skrajnych przypadkach może być to także ograniczenie lub pozbawienia wolności do lat 3. Rozporządzenie UE od 2018 r. wprowadzi bardzo duże zmiany. Kara finansowa wzrośnie nawet do 20 mln EUR lub 4% obrotu za rok poprzedni, przy czym zastosowanie będzie miała wyższa kwota. Za co konkretnie czekają nas tak wysokie kary? 

Rozporządzenie określa dwa przedziały “przewinienia”, od których uzależnia maksymalny poziom grzywny.  

Okazuje się, że grzywna do 10 mln EUR lub 2% obrotu, możliwa jest już za m.in.:

  • nieprowadzenie rejestru czynności przetwarzania danych;
  • niezgłaszanie naruszenia w ciągu 72h do GIODO;
  • nieprowadzenie oceny skutków przetwarzania danych;
  • niewyznaczenie inspektora ochrony danych, jeśli firma podlega pod ten przepis;

Są to w większości nowe obowiązki, które dotyczą każdego kto w celach zarobkowych gromadzi, przechowuje, modyfikuje lub usuwa dane osobowe. Wyznaczenie inspektora ochrony danych dotyczy sytuacji przetwarzania danych wrażliwych, np. o stanie zdrowia pacjenta lub monitorowania osób, gdy odbywa się to na dużą skalę.

Wyznaczenie inspektora ochrony danych dotyczy sytuacji przetwarzania danych wrażliwych, np. o stanie zdrowia pacjenta lub monitorowania osób, gdy odbywa się to na dużą skalę.

 

Zdecydowanie wyższa grzywna, bo do 20 mln EUR lub 4% obrotu, dotyczy sytuacji, gdy firma m.in.:

  • nie uwzględnia praw osób, których dane dotyczą (prawo do informacji, do przenoszenia danych, do bycia zapomnianym, prawo do ograniczenia przetwarzania itp.). W większości to także nowe prawa osób, których dane wykorzystywane są w działalności zarobkowej. 
  • gdy gromadzenie, przechowywanie, modyfikowanie lub usuwanie danych osobowych odbywa się bez właściwej podstawy prawnej. Chodzi o to, czy posiadamy podstawę, która umożliwia w konkretnej sytuacji zbieranie danych.

Czy 20 mln EUR jest realną karą grzywny?

Kary będą nakładane wprost do naruszenia wymagań prawnych oraz do zagrożenia prywatności. GIODO weźmie także pod uwagę podejście firmy do ochrony danych, wypełnienie obowiązków prawnych, czas trwania naruszenia, a także to, czy ma ono charakter umyślny, czy nieumyślny.

Jak wynika ze sprawozdań GIODO za lata ubiegłe praktycznie żaden podmiot nie może czuć się zwolniony z przestrzegania przepisów. GIODO bada przestrzeganie obowiązków zarówno w dużych firmach prywatnych, jak i działalnościach jednoosobowych. Pod lupę brane były kancelarie prawne, biura rachunkowe, przedszkola, przychodnie i gabinety lekarskie, sklepy i portale internetowe, a nawet wypożyczalnie sprzętu, czy usługi przewozu osób.  Już dziś GIODO zapewnia, że w przyszłym roku kary będą dotkliwe. Co więcej każda osoba będzie miała prawo do odszkodowania za poniesioną krzywdę, gdy poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przez firmę wymagań Rozporządzenia UE.

Co muszę zrobić, by moja firma była przygotowana na nowe przepisy?

Aby sprostać tym wymaganiom należy co najmniej wykazać przestrzeganie zasad prawnych Rozporządzenia.

Rozporządzenie UE określa szereg nowych zadań dla firm i instytucji. Jednocześnie przyznaje wiele nowych praw osobom, których dane są przetwarzane. Aby sprostać tym wymaganiom należy co najmniej wykazać przestrzeganie zasad prawnych Rozporządzenia. W tym celu trzeba opracować i wdrożyć niezbędne procedury i instrukcje, a także zapewnić adekwatne do zagrożeń środki techniczne i informatyczne.

Warto mieć na uwadze, że przepisy o ochronie danych osobowych należy przestrzegać zawsze, nawet jeśli dane nie są przechowywane w systemach informatycznych. Najważniejsze jest wiedzieć, czy i jakie dane osobowe można w firmie przetwarzać, w jakim celu i na jakich zasadach można to robić, by było to zgodne z prawem. Należy posiadać także niezbędną dokumentację, jest to minimum polityka bezpieczeństwa informacji i instrukcje informatyczne, jeśli mamy dane w systemach. Są to również upoważnienia, rejestry upoważnień i oświadczenia. Chroniąc dane osobowe i stosując wymagane procedury chronimy także inne rodzaje informacji, do których mają dostęp pracownicy i współpracownicy.

 

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!

Czy wszyscy pracownicy muszą mieć upoważnienia do przetwarzania danych? Kto właściwie powinien je otrzymać?

Upoważniamy zawsze osoby, które w ramach swoich obowiązków, stanowiska, czy pełnionej funkcji przetwarzają dane. Czynność przetwarzania powinna być tu niezbędna, aby mogli wykonać należycie swoje obowiązki. Momentem wyjścia będą więc opisy stanowisk, a w mniejszych firmach po prostu ustalenie zadań i obowiązków, które dla danej osoby wiążą się z przetwarzaniem danych.

Zobacz, jak to robią inni!  Joanna, właścicielka biura nieruchomości przyszła do mnie na konsultacje, ponieważ słyszała, że powinna wydać swoim pracownikom upoważnienia do przetwarzania danych osobowych klientów jej biura, ale nie wiedziała, czy rzeczywiście wszyscy muszą je mieć. Przekonaj się, jaką radę dałam Joannie i wykorzystaj u siebie. 

Joanna współpracuje na stałe z Martą, która jest jej asystentką i umawia klientów na prezentacje nieruchomości, a także odbiera firmową korespondencję, która przychodzi do biura. Marta jest zatrudniona na podstawie umowę o pracę. Joanna współpracuje także z dwiema osobami na podstawie umowy zlecenia, które dwa razy w tygodniu przychodzą do biura, aby pomóc przy obsłudze umów. A trzy razy w tygodniu do biura wpada Pani Jadzia, która sprząta całe biuro. 

Pierwszym pytaniem, jakie zadałam Joannie było - Która z tych osób potrzebuje dostępu do danych osobowych klientów, aby mogła wykonać powierzone jej zadania? Odpowiedź padła od razu - Marta, moja asystentka! Jednak po chwili zastanowienia Joanna dodała, że przecież te dwie osoby, która ma na zlecenie także obsługują umowy z klientami i muszą mieć do nich dostęp. No i jest jeszcze Pani Jadzia, która jak przyjdzie do biura to może mieć dostęp do umów, bo przecież zdarza się, że leżą na biurku po zakończeniu pracy biura. Jak widzisz to są zupełnie różne zadania i nawet inne podstawy zatrudnienia, dlatego Joanna miała nie lada dylemat.

Dane osobowe są nieodłączną częścią niemalże każdej działalności gospodarczej. Dane osobowe dotyczą osoby fizycznej.

Dane osobowe są nieodłączną częścią niemalże każdej działalności gospodarczej. Dane osobowe przetwarzamy zawierając umowy z klientami, podczas realizacji zamówienia w sklepie internetowym, wysyłając newsletter, zatrudniając pracowników, etc.

Jeśli prowadzisz jakąkolwiek działalność, w której pojawiają są dane osobowe to jednym z Twoich obowiązków jako administratora tych danych jest zapewnienie, by dostęp do nich był ograniczony wyłącznie do osób, które zostały do tego upoważnione. Joanna powinna zatem najpierw ustalić kto i do czego powinien mieć dostęp. Jeśli zatrudniasz wiele osób i na różnych stanowiskach to możesz wcześniej przygotować prostą tabelę, w której określisz to jakie dane są potrzebne na konkretnym stanowisku i będziesz działać według tego schematu.

Upoważnienie jest podstawą do tego, by można było uznać, że dana osoba przetwarza dane osobowe w sposób legalny i z polecenia. Upoważnienia nadajemy wszystkim pracownikom i współpracownikom, których zadania są nierozerwalnie związane z przetwarzaniem danych. Musisz przy tym pamiętać, że przetwarzaniem danych jest już sam podgląd do danych, ich przechowywanie, wprowadzanie danych, usuwanie lub modyfikowanie. Niemalże każda czynność wiąże się z przetwarzaniem danych.

Upoważnienie można wydać osobie zatrudnionej na umowę o pracę, na umowę zlecenie, o dzieło, a nawet stażyście, czy wolontariuszowi. Ważne jest to, czy ich zadania mają bezpośredni związek z potrzebą dostępu do danych przy ich realizacji.

W przypadku Joanny upoważnienie będzie konieczne dla jej asystentki Marty, ale i dla dwóch zleceniobiorców, którym dane są niezbędne do obsługi umów z klientami. Nie ma znaczenia podstawa ich zatrudnienia. Upoważnienie można wydać osobie zatrudnionej na umowę o pracę, na umowę zlecenie, o dzieło, a nawet stażyście, czy wolontariuszowi. Ważne jest to, czy ich zadania mają bezpośredni związek z potrzebą dostępu do danych przy ich realizacji.

A co z Panią Jadzią, która przychodzi od czasu do czasu pomóc z porządkami i przypadkiem zobaczy dane osobowe klientów? Bardzo często spotykam się z błędnym założeniem, że upoważnienie trzeba wydać dosłownie wszystkim, nawet jeśli osoba nie ma i nie potrzebuje dostępu do danych przy wykonywaniu swojej pracy. Tymczasem, w opisanym przypadku, nie ma racjonalnego uzasadnienia do tego, aby upoważniać osoby sprzątające do danych klientów. Takie upoważnienie oznaczałoby, że Pani Jadzia może swobodnie przeglądać dane klientów i ich umowy, a nawet tego zażądać, bo przecież została do tego upoważniona!

Jak więc postąpić w podobnej sytuacji? Zapewnić, aby wszelkie dane na umowach, czy w systemach zostały tak zabezpieczone, aby osoby nieupoważnione nie mogły uzyskać do nich dostępu. Jeśli sprzątanie odbywa się po zakończeniu pracy osób odpowiedzialnych to wszelkie dokumenty muszą się znaleźć co najmniej w szafie zamykanej na klucz, a użytkownicy systemów komputerowych powinni się z nich wylogować. Nadawanie upoważnienia wszystkim i do wszystkiego nie jest prawidłowe i nie powinno być uzasadnione brakiem zabezpieczeń przed dostępem osób postronnych. A Ty, czy wiesz już kto w Twojej firmie powinien otrzymać upoważnienia do przetwarzania danych?

Chcesz szybko i skutecznie wydać upoważnienia?

Zapoznaj się z moją publikacją, w której szczegółowo omawiam ten proces.

W e-booku znajdziesz także przydatne wzory: upoważnienia, oświadczenia i rejestr upoważnień.

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!