Od dziś przez kolejne kilka tygodni będziemy publikować na łamach naszego bloga najważniejsze informacje w zakresie ochrony danych osobowych. Poruszymy tematy takie jak:
-kontrole w zakresie przestrzegania RODO i warunki nakładania administracyjnych kar pieniężnych w związku z jego nieprzestrzeganiem,
– RODO- bezpieczeństwo danych pracowników w dziale kadr (w tym pracownicze Plany Kapitałowe a RODO),
-RODO, a wysyłanie ofert do firm,
-Inspektor Danych Osobowych, a odpowiedzialność Administratora
W pierwszej części zajmiemy się informacjami wprowadzającymi w tematykę ochrony danych osobowych.

Podstawowe akty prawne regulujące ochronę danych osobowych

Podstawowymi aktami prawnymi regulującymi zagadnienie ochrony danych osobowych w polskim porządku prawnym jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Akt ten, jako rozporządzenie organów Unii Europejskiej nie wymaga implementacji do prawa krajowego. Uzupełnieniem do wyżej wskazanego unijnego rozporządzenia RODO stanowi polska ustawa w tym zakresie, mianowicie Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.

Kogo i czego dotyczy RODO?

Wyżej wskazane Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) obejmuje wszystkie podmioty, które gromadzą i wykorzystują dane osobowe osób fizycznych. Rozporządzenie zaczęło obowiązywać bezpośrednio w krajowych porządkach prawnych od 25 maja 2018 roku. Dotyczy ono zarówno podmiotów prywatnych, jak i państwowych.

Jakie najważniejsze obowiązki wprowadza RODO?

Wprowadzenie RODO spowodowało, że na podmioty przetwarzające, wykorzystujące i przechowujące dane osobowe zostało nałożonych wiele dodatkowych obowiązków. Do najważniejszych z nich należą:

OBOWIĄZEK POWOŁANIA INSPEKTORA OCHRONY DANYCH OSOBOWYCH

Zgodnie z art. 37 Rozporządzenia RODO administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
–przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
-główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
-główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10.

OBOWIĄZEK INFORMOWANIA O WYCIEKU DANYCH

Powyższą kwestię reguluje art. 33 Rozporządzenia RODO. Unijny prawodawca wskazał w nim, że w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Zgłoszenie musi co najmniej:
-opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
-zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
-opisywać możliwe konsekwencje naruszenia ochrony danych osobowych,
-opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.

OBOWIĄZEK DOKUMENTOWANIA PRZETWARZANIA DANYCH OSOBOWYCH

Na podstawie art. 30 Rozporządzenia RODO każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:
-imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,
-cele przetwarzania,
-opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
-kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
-gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń,
-jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
-jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Powyższe obowiązki nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o czym mowa w art. 10.

W celu zaczerpnięcia większej ilości informacji w zakresie Ochrony Danych Osobowych zapraszamy serdecznie do kontaktu z naszymi specjalistami, którzy chętnie udzielą odpowiedzi na wszystkie Państwa pytania.