Od 25 maja 2018 r. większość z nas będzie pod większą ochroną, dlaczego? Ponieważ wtedy wchodzi w życie ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Uzupełnieniem do europejskiego rozporządzenia RODO jest projekt polskiej ustawy z 13 września 2017 r. ustawa o ochronie danych osobowych – nadal na ścieżce legislacyjnej. RODO reguluje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych.

Poniżej kilka istotnych uwag, jednak na dość ogólnym poziomie.

RODO do 25 maja przyszłego roku, ma być wdrożone jednak problem polega na tym, że rozporządzenie nie wskazuje w jaki sposób ma to być zrobione. Nie ma zatem „gotowych” rozwiązań/regulacji. RODO nie wskazuje wprost jakie dokumenty, procedury i polityki należy wdrożyć. Podmioty mając więc swobodę co do tego. Najistotniejsze jest to, aby podmiot wykazał się starannością w zabezpieczeniu tych procesów, aby podczas przetwarzania danych osobowych nie doszło do nieprawidłowości. No cóż, jest to dość ogólne, więc praktyka pokaże prawidłową realizację rozporządzenia.

KOGO DOTYCZY RODO?

Przepisy obejmują wszystkie podmioty, które gromadzą i wykorzystują dane dotyczące osób fizycznych, tj. m.in.: podmioty zatrudniające (nie jest istotne ile osób), organy administracji publicznej, ale też sklepy internetowe, szkoły, ośrodki pomocy społecznej czy domy kultury i szpitale.

OBOWIĄZEK INFORMACYJNY

Istotne jest też to, że administrator danych w momencie pozyskiwania danych osobowych, będzie zobowiązany, m.in. do podania nowych informacji np.: o podstawie prawnej przetwarzania, danych kontaktowych do IODO, okresie przechowywania danych, prawie do ich przenoszenia, prawie wniesienia skargi do organu nadzorczego, cofnięcia zgody na przetwarzanie danych w dowolnym momencie itp. KARY ZA NARUSZENIA

W zależności jaki podmiot dokona naruszenia kary mogą się różnie kształtować. Począwszy na odpowiedzialności cywilnej (roszczenia odszkodowawcze w sądach cywilnych z tytułu szkód poniesionych z niewłaściwego przetwarzania danych) i karnej a skończywszy (co do zasady) na karach finansowych od 10 do 20 mln euro lub od 2% do 4% wartości rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa. Kary będą nakładane proporcjonalnie w zależności od skali naruszenia przepisów.

Inspektor Ochrony Danych Osobowych (IODO)

Ma zostać wprowadzona nowa funkcja Inspektora Ochrony Danych (IOD). Jest szereg podmiotów, które obligatoryjnie muszą powoływać IOD, np. szkoły, uczelnie publiczne, urzędy gmin, jednostki pomocy społecznej, spółki komunalne, firmy telekomunikacyjne, szpitale inne. IODO będzie to osoba odpowiedzialna za bezpieczeństwo danych, ale też za raportowanie naruszeń do urzędu kontroli. IODO będzie miał bowiem obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w czasie do 72 godzin od naruszenia, bezpośrednio do właściwego organu nadzoru. IODO będzie musiał dokumentować naruszenia, prowadzić rejestr naruszeń.

KTO JEST ODPOWIEDZIALNY, CZY IODO?

Za naruszenie przepisów o ochronie danych osobowych odpowiadać będzie administrator danych w danej jednostce, czyli np. pracodawca w zakładzie pracy zatrudniającym 10 pracowników, czy też np. dyrektor szkoły lub burmistrz. Odpowiedzialność jest bezpośrednia i powołanie inspektora ochrony danych osobowych, czy wynajęcie firmy zewnętrznej w tym obszarze, nie zwalnia z tej odpowiedzialności.

PRAWO DO ZAPOMNIENIA

RODO przyznaje osobom fizycznym, których dane osobowe są przetwarzane dość duże uprawnienia. M.in. „prawo do bycia zapomnianym” - trwałe usunięcie danych osobowych przetwarzanych przez dany podmiot (dotyczy to informacji: w formie cyfrowej, papierowej i kopii zapasowej). Ponadto będzie istniało roszczenie przeniesienia danych np. do innego podmiotu przy zmianie umowy, ale także rozszerzone prawo dostępu i wglądu obywatela w jego dane min.: prawo do otrzymania kopii danych.

Cóż, rzeczywistość pokaże jak będzie wyglądało realne wdrożenie rozporządzenia, jednak już teraz nasuwa się wiele wątpliwości i niepewności.

#RODO #IODO #daneosobowe #prawodozapomnienia