RODO

RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenie dyrektywy 95/46/WE

Moim zdaniem nie powinniśmy popadać w przesadną panikę, tylko podejść do sprawy racjonalnie i “na chłodno”.
Czy musisz zapłacić duże pieniądze, żeby dostosować swój zakład do RODO? Absolutnie nie!!!

Zaskoczony?
Z pewnością tak, borąc pod uwagę, że wszędzie dookoła wszyscy straszą Cię milionowymi karami i codziennie dostajesz kilka telefonów z firm konsultingowych, które próbują namówić Cię swoje usługi w temacie RODO, proponują super szkolenia, po których wszystko zrobi się samo :-).

RODO będzie dotyczyło każdego podmiotu przetwarzającego dane osobowe osób fizycznych na terenie UE, czyli:
  • każdego pracodawcy w UE,
  • każdej firmy oferującej produkty / usługi dla osób fizycznych na terenie UE, nawet jeśli nie mają one swoich siedzib na terenie UE
  • każdej osoby fizycznej przetwarzającej dane osobowe osób fizycznych w innym celu niż cel osobisty (np. blogerzy)
Administrator danych osobowych (ADO)Wyłączenia (art.2):
  • osoby fizyczne w zakresie czysto osobistym (np. prywatny notes z adresami telefonami rodziny i znajomych)
  • organy ścigania, sądy,
  • instytucje unijne,
  • placówki dyplomatyczne.
  • wykazanie zgodności przetwarzania danych osobowych z prawem,
  • prowadzenie rejestru czynności przetwarzania danych,
  • dokonywanie oceny skutków planowanych operacji przetwarzania danych przed rozpoczęciem ich przetwarzania (art. 30),
  • zgłaszanie naruszeń danych osobowych do organu nadzorczego oraz zawiadomienie o tym fakcie osoby, której dane dotyczą (art. 33 i 34),
  • wyznaczenie IOD (art. 37),
  • minimalizacja danych (art. 5),
  • ograniczenie przechowywania danych osobowych (art. 5),
  • obowiązki informacyjne administratora danych osobowych (art. 13 i 14),
  • przestrzeganie praw osób, których dane dotyczą.

Co to jest przetwarzanie danych osobowych?

 

Wszelkie operacje wykonywane na danych osobowych, np.:

  • zbieranie,
  • utrwalanie,
  • organizowanie,
  • porządkowanie,
  • przechowywanie,
  • adaptowanie lub modyfikowanie,
  • pobieranie,
  • przeglądanie,
  • wykorzystywanie,
  • ujawnianie,
  • rozpowszechnianie,
  • dopasowywanie,
  • ograniczanie,
  • usuwanie,
  • niszczenie.

Dane osobowe to wszelkie informacje, dzięki którym możemy kogoś zidentyfikować i / lub zlokalizować (art. 4)

  • dane osobowe oczywiste: imię, nazwisko, data i miejsce urodzenia, adres zamieszkania, zameldowania, numer tlefonu, adres e-mail;
  • numer PESEL lub NIP, informacje o zadłużeniu, o kredytach, stanie konta, fryzura, ubranie, używany telefon, wizerunek, adres IP komputera;
  • dane biometryczne: linie papilarne, wzór siatkówki, wizerunek twarzy;
  • chronione w sposób szczególny będą informacje o stanie zdrowia, zarówno fizycznego, jak i psychocznego, zbierane podczas badań, czy zabiegów np. druk “L4”, orzeczenie z badań profilaktycznych pracownika;
  • szczególnej ochronie podlegać będa informacje o: pochodzeniu rasowym lub etnicznym, poglądy polityczne, przynależność do związków zawodowych, wyroków i seksualności.

Przesłanki prawne przetwarzania danych osobowych:

 

  • niezbędność do wykonania obowiązku prawnego, np. obowiązek podatkowy, przepisy prawa pracy,
  • zgoda, np. zaznaczenie checkbox’a,
  • niezbędność do wykonania umowy, np. zawarcie umowy kupna – sprzedaży, zakupy przez internet,
  • ochrona żywotnych interesów podmiotów danych, czyli interesów niezbędnych do życia / zdrowia tej osoby (interesy ekonomiczne poza zakresem pojęcia),
  • zadania wykonywane w interesie publicznym,
  • uzasadnione interesy realizowane przez administratorów np. ochrona mienia i bezpieczeństwo pracowników, osób przebywających na terenie firmy.
  • zasada celowości i legalności
  • zasada przejrzystości
  • zasada proporcjonalności, odpowiedniości i minimalizacji danych
  • zasada dokładności, rzetelności i prawidłowości
  • zasada ograniczenia czasu
  • zasada integralności i poufności
  • zasada rozliczalności

1. Przeprowadź audyt wewnętrzny w swojej firmie (możesz to zrobić sam!)

  • Czy moja firma przetwarza dane osobowe?
  • Jakie zbiory danych przetwarzam?
  • W jakim celu przetwarzam dane?
  • Jakie dane przetwarzam w swoich zbiorach?
  • Skąd pochodzą przetwarzane przeze mnie dane (Jaką mam podstawę przetwarzania?)?
  • W jaki sposób przetwarzam zbiory danych?
  • Czy profiluję dane osobowe?
  • Jaką rolę pełni moja firma w odniesieniu do przetwarzanych zbiorów?
  • Jakie stosuję zabezpieczenia dla przetwarzanych danych?
  • Jak duże jest ryzyko naruszenia zasad bezpiecznego przetwarzania dancyh?
  • Jakie byłyby konsekwencje naruszenia zasad bezpieczeństwa danych?

2. Stworzenie rejestru czynności przetwarzania danych osobowych

  • Czy moja firma musi tworzyć taki rejestr?

3. Ustal, czy musisz powołać IOD (Inspektroa Danych Osobowych).

4. Zweryfikuj swoje dokumenty, czy są zgodne z RODO.

  • Czy posiadam wszystkie wymagane w moim przypadku dokumenty?
  • Czy moje dokumenty / umowy są zgodne z RODO, czy mają właściwe zapisy?

5. Czy posiadam procedurę na wypadek naruszeń bezpieczeństwa danych?

6. Przygotuj analizę ryzyka dla poszczególnych procesów i zbiorów danych.

7. Zweryfikuj, czy dopełniłeś wszystkich obowiązków informacyjnych wobec osób, których dane przetwarzasz.

8. Czy Twój system / program jest gotowy na poszerzone uprawnienia podmiotów, których dane przetwarzasz?

9. Czy przesyłasz dane do państw trzecich?

Pamiętaj, że wszystko co zrobisz w temacie RODO, wszystkie decyzje, które podejmiesz i wszystkie środki które zastosujesz muszą być ADEKWATNE do Twojej sytuacji, do rodzaju i ilości danych, które przetwarzasz oraz dopasowane do skali na jaką przetwarzasz dane osobowe.

© Łobień & Pawlas Consulting - 2020