"Loading..."

Adwokat Iga Michałowska | Kancelaria Adwokacka w Warszawie - RODO – co to takiego i jak go przestrzegać?

RODO – co to takiego i jak go przestrzegać?

RODO – co to takiego i jak go przestrzegać?

 

Rozporządzenie Parlamentu  Europejskiego i Rady  (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w skrócie „RODO”, to akt prawny stosowany bezpośrednio od dnia 25 maja 2018 r. we wszystkich krajach Unii Europejskiej, a traktujący o ochronie danych osobowych.

Kogo chroni RODO?

Chroni osoby fizyczne. Z jego zakresu podmiotowego wyłączone są osoby prawne. 

Kto musi przestrzegać RODO?

Każdy, kto przetwarza dane osobowe w związku z działalnością prowadzoną na terenie UE, bez względu na to czy samo przetwarzanie odbywa się w Unii. Nie dotyczy to przetwarzania danych osobowych przez osoby fizyczne ramach czynności o czysto osobistym lub domowym charakterze.

Kim jest administrator danych osobowych?

„Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania (art. 4 pkt 7 RODO).

Na jakiej podstawie dopuszczalne jest przetwarzanie danych osobowych?

1) zgoda osoby, której dane dotyczą 

2) umowa, której stroną jest osoba, której dane dotyczą, ewentualnie konieczność podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; 

3) obowiązek prawny ciążący na administratorze 

4) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; 

5) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; 

6) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą

Jakie obowiązki nakłada RODO na administratorów.?

Administratorzy, podmioty przetwarzające (procesorzy) oraz inne osoby przetwarzające dane osobowe na jakiejkolwiek podstawie prawnej, są zobowiązani do przestrzegania zasad stanowionych przez RODO, takich jak: zgodność z prawem przetwarzania, rzetelność, przejrzystość, ograniczenie celu, minimalizacja danych,  prawidłowość, ograniczenie przechowywania, integralność, poufność i rozliczalność (art. 5 RODO).

Administratorzy muszą zapewnić umożliwić osobom fizycznym, których dane osobowe są przetwarzane, realizowanie przysługujących im względem tych danych praw oraz spełnić wobec nich obowiązek informacyjny (art. 12-20 RODO).

Każdy administrator musi zadbać, aby przetwarzanie danych odbywało się w sposób bezpieczny, a zatem winien zadbać o wysoki poziom ochrony danych osobowych poprzez uniemożliwienie dostępu do d.o. osobom nieupoważnionym (zasada czystego biurka, zamykanie dokumentów zawierających d.o. w szafach na klucz, zamykanie pomieszczeń, dbałość o bezpieczeństwo systemu informatycznego etc.). 

Dostęp do danych osobowych winny mieć jedynie osoby dysponujące upoważnieniem administratora i dające gwarancję przestrzegania zasad ochrony danych osobowych.

W przypadku powierzania danych osobowych do przetwarzania podmiotom zewnętrznym np. outsourcing usług (księgowość, informatycy, niszczenie dokumentów itp.) istnieje konieczność zawarcia z nimi umów powierzenia przetwarzania danych osobowych. 

Każdy administrator winien rozważyć również celowość wdrożenia w swojej firmie odpowiednich polityk, które regulowałyby w sposób kompleksowy procedurę przetwarzania danych osobowych (m.in. polityka bezpieczeństwa, polityka prywatności HR, instrukcja zarządzania systemem informatycznym).

Kary pieniężne

RODO przewiduje nakładanie przez organy uprawnione państw członkowskich kar finansowych z tytułu nieprzestrzegania rozporządzenia.  W zależności od rodzaju naruszenia, kary wynosić mogą nawet do 10.000.000  Euro albo do 20.000.000 Euro (art. 83 RODO).