Lemlock Lemlock logo

Co to jest RODO ?

Odległa wizja projektu reformy ochrony danych osobowych w Unii Europejskiej staje się faktem. Zapoczątkowane w 2012 r. przez UE prace nad wprowadzeniem jednolitych przepisów niedługo zaczną obowiązywać. Co tak naprawdę oznacza reforma ? Czym jest GDPR, RODO i jakie zmiany oznacza?

W artykule znajdziesz:

  1. podstawowe informacje na temat RODO,
  2. najważniiejsze zmainy jakie wprowadza Rozporządzenie,
  3. informacje na temat naruszenia danych osobowych,
  4. inne, ważne informacje zawarte w Rozporządzeniu,
  5. główne wnioski płynące z RODO.

Ogólne Rozporządzenie o ochronie danych - RODO (z angielskiego General Data Protection Regulation - GDPR) to unijny akt prawny zawierający przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych. W ramach Lemlock postaramy się jak najdokładniej przyblizyć to zagadnienie.

Rozporządzenie zostało przyjęte 27 kwietnia 2016 r. Od 25 maja 2018 r., po dwuletnim okresie przejściowym RODO zacznie obowiązywać w krajach członkowskich UE. Rozporządzenie o Ochronie Danych Osobowych w sposób kompleksowy reguluje ochronę danych osobowych w Unii Europejskiej. Głównym założeniem prac nad Rozporządzeniem, było ograniczenie zróżnicowania przepisów pomiędzy poszczególnymi państwami członkowskimi Wspólnoty. Sam akt prawny podjęty w formie Rozporządzenia, pozwala na jego bezpośrednie stosowanie i nie wymaga specjalnego dostosowania przepisów prawa krajowego poszczególnych krajów UE (implementacji). Przeprowadzane zmiany służą przede wszystkim zapewnieniu bezpieczeństwa ogólnoeuropejskiego systemu przetwarzania danych osobowych.

Najważniejsze zmiany

Rozporządzenie o Ochronie Danych Osobowych nie niesie ze sobą rewolucji, nie wywraca świata ochrony danych do góry nogami. Sam proces zachodzących zmian oraz obowiązujący dwuletni okres przejściowy pozwala na oswojenie się z nadchodzącymi zmianami oraz harmonijne wejście w nowy porządek prawny. Stopniowa droga ewolucji nie oznacza jednak całkowitego braku ważniejszych zmian, które dotkną przedsiębiorców. Konieczność dostosowania procesów oraz zaplecza technicznego, a także wynikające z Rozporządzenia powinności to jednak zmiany na które i do których należy się przygotować.

Istotny element nowego Rozporządzenia - definicja danych osobowych - znacząco nie odbiega od obecnych regulacji. RODO wyjaśnia pojęcie osoby możliwej do zidentyfikowania, wskazując, że do uznania za taką osobę wystarczy identyfikacja za pomocą identyfikatora sieciowego (online identifier). Faktem staje się więc, że adres IP oraz identyfikatory zamieszczane w tzw. Cookiem staną się danymi osobowymi w rozumieniu RODO.

Dużą zmianę stanowi sposób wyrażania zgody na przetwarzanie danych wrażliwych, zgodnie z Rozporządzeniem do tego celu wystarczy zgoda wyrażona w jakikolwiek wyraźny sposób. RODO poszerza zakres danych wrażliwych o dane biometryczne.

Naruszenie danych osobowych

Zmianie ulega kwestia naruszeń związanych z ochroną danych osobowych. RODO wprowadza restrykcyjny obowiązek powiadamiania o naruszeniu danych osobowych (personal data breach) w ciągu 72 godzin od chwili wykrycia naruszenia przez Administratora danych. Właściwym organem do tego typu zgłoszeń jest Generalny Inspektor Ochrony Danych Osobowych (GIODO).

RODO wprowadza ocenę oddziaływania na ochronę danych osobowych (data protection impact assessment) i dokonanie wcześniejszych konsultacji (prior consultation) z organem ochrony danych osobowych - jeśli sposób przetwarzania danych, w szczególności przy użyciu nowych technologii, może spowodować ryzyko dla praw i wolności indywidualnie oznaczonych osób.

Ogromne kontrowersje budzi zapis przewidujący wysokie kary administracyjne za naruszenie ochrony danych osobowych.

  • Cięższe naruszenia skutkować będą karami do 20 000 000 EUR, albo 4% całkowitego światowego obrotu.
  • Lżejsze przewinienia zagrożone są grzywną w kwocie do 10 000 000 EUR, albo 2% całkowitego światowego obrotu podmiotu.

RODO - na co jeszcze zwrócić uwagę?

Kolejną kluczową zmianę, na którą wskazuje Lemlock stanowi wyodrębnienie katalogu 7 zasad przetwarzania danych osobowych, wyznaczają one kierunek w którym podąża cały system bezpieczeństwa i ochrony danych personalnych. Z powyższego wynika między innymi zasada ochrony prywatności by design, by default.

RODO przyznaje szereg nowych oraz znacząco poszerza dotychczasowe prawa przysługujące obywatelom. Pojawia się tutaj np: prawo do bycia zapomnianym (możliwość usunięcia danych z bazy), uprawnienie do żądania przeniesienia danych, a także wzmocnione prawo dostępu i wglądu obywatela w jego dane.

Obowiązywanie Rozporządzenia w UE pociąga również konsekwencje dla podmiotów innych, niż Administratorzy czy przetwarzających mających siedzibę w kraju członkowskim. Jednostki, czy to państwa, czy też firmy spoza obszaru Unii przetwarzające dane osób w związku z obrotem towarów i usług obowiązane są w związku z tym do przestrzegania przepisów Rozporządzenia.

Kolejnym kluczowy element zmian stanowi obowiązek wyznaczenia zarówno przez Administratora jak i przez podmiot przetwarzający dane Inspektora Ochrony Danych Osobowych. Osoba ta musi posiadać wiedzę ekspercką w zakresie ochrony danych osobowych. Z powinności tej wynika zobowiązanie do przygotowania i utrzymania wszechstronnych rejestrów dotyczących przetwarzanych danych.

RODO - główne wnioski

Jak można zauważyć zmiany jakie pociąga za sobą Ogólne Rozporządzenie o ochronie danych osobowych wymuszają konieczność podjęcia przez firmy konkretnych działań. Siłą rzeczy Rozporządzenie generować będzie koszty związane z zapewnieniem wysokiego poziomu bezpieczeństwa IT. Według ośrodka analitycznego IDC, w 2018 r. 34% wydatków dotyczących bezpieczeństwa IT w Europie związanych będzie z adaptacją systemów i procesów przedsiębiorstwa do nowych wymogów prawnych, dotyczących ochrony danych osobowych. W związku z powyższym procesu dostosowywania firmy do Rozporządzenie o Ochronie Danych Osobowych nie da się w pełni wyoutsourcować i o nim zapomnieć. Oczywiście pomoc ekspertów i konsultantów zewnętrznych nie jest w tym elemencie zabroniona, należy pamiętać jednak by sama firma zdobywała niezbędne know-how na temat tego, jak zarządzać obszarem danych osobowych. Jeśli chcesz dowiedzieć się więcej sprawdz artykuły Lemlock pojawiające się w kategorii RODO

Lemlock ebook. Poradnik ekspercki: Trzy podejścia do cyberbezpieczeństwa
Interesuje Cię kompleksowe rozwiązanie,
związane z bezpieczeństwem gromadzonych przez Ciebie danych?
Zgoda na  przetwarzanie danych w celu kontaktu
Potwierdzam, że zapoznałem/am się z  klauzulą informacyjną Sagiton Sp. z o.o.

Niniejszym wyrażam zgodę na przetwarzanie moich danych osobowych przez Administratora Danych Osobowych (dalej: „ADO”) – Sagiton Sp. z o.o. ul. Fabryczna 19, 53-609 Wrocław, w zakresie: imię i nazwisko, adres email lub telefon, w celach sprzedaży produktów i usług Sagiton Sp. z o.o. oraz w celu przesłania do mnie informacji zwrotnej i nawiązania ze mną kontaktu przez Sagiton Sp. z o.o.

Jednocześnie przyjmuję do wiadomości, że: w każdej chwili mogę zażądać usunięcia moich danych osobowych z bazy ADO Sagiton Sp. z o.o., poprzez wysłanie na adres poczty elektronicznej grzegorz.makosa@lemlock.com. lub na piśmie, na adres Sagiton Sp. z o.o., ul. Fabryczna 19, 53-609 Wrocław, oświadczenia zawierającego stosowne żądanie co skutkować będzie usunięciem moich danych osobowych z bazy danych ADO Sagiton Sp. z o.o.; mam prawo dostępu do treści swoich danych; podanie moich danych jest dobrowolne, aczkolwiek odmowa ich podania jest równoznaczna z nieotrzymywaniem informacji dotyczących sprzedaży produktów i usług Sagiton Sp. z o.o., a także z nieotrzymaniem informacji zwrotnej i nawiązaniem ze mną kontaktu przez Sagiton Sp. z o.o.

Zgodnie z art. 13 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016r., (RODO), informujemy, iż administratorem Pana/Pani danych osobowych jest Sagiton Sp. z o.o. z siedzibą przy ul. Fabrycznej 19, 53-609 Wrocław, e-mail: grzegorz.makosa@lemlock.com.

Pana/Pani dane osobowe przetwarzane będą w zakresie imię i nazwisko, adres email i/lub numer telefonu w celu odpowiedzi na Pana/Pani zapytanie/prośbę o kontakt i wystosowanie informacji zwrotnej– na podstawie art. 6 ust. 1 lit a RODO tj. zgody na przetwarzanie danych osobowych.

Administrator danych informuje, że Pana/Pani dane osobowe nie będą udostępniane podmiotom trzecim.

Pana/Pani dane nie będą przekazywane poza Europejski Obszar Gospodarczy lub do organizacji międzynarodowych.

Pana/Pani dane osobowe będą przetwarzane do wycofania przez Pana/Panią zgody na przetwarzanie danych a także w przypadku ustania celów przetwarzania tych danych.

Ma Pan/Pani prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia oraz prawo do wniesienia sprzeciwu.

W przypadku wyrażenia zgody ma Pan/Pani prawo wycofania zgody w dowolnym momencie. Skorzystanie z prawa do wycofania zgody nie ma wpływu na przetwarzanie, które miało miejsce do momentu wycofania zgody.

Przysługuje Panu/Pani prawo do wniesienia skargi do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.

Podanie przez Pana/Panią danych osobowych jest warunkiem nawiązania z Panem/Panią kontaktu przez Sagiton Sp. z o.o. z siedziba przy ul. Fabrycznej 19, 53-609 Wrocław. W przypadku niepodania danych osobowych, Sagiton Sp. z o.o., nie będzie w stanie nawiązać z Panem/Panią kontaktu.

Administrator Danych Sagiton Sp. z o.o. informuje, iż nie będzie wykorzystywał Pana/Pani danych osobowych do zautomatyzowanego podejmowania decyzji, które opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec Pana/Pani skutki prawne lub w podobny sposób istotnie na Pana/Panią wpływa.

Pozostańmy w kontakcie: