Możemy wyróżnić dwa rodzaje kontroli prowadzonych przez Urząd Ochrony Danych:
✓ kontrola planowa, realizowana na podstawie publikowanego na początku każdego roku planu sektorowych kontroli UODO (kontrola zazwyczaj odbywa się w siedzibie Przedsiębiorcy)
✓ kontrola doraźna, w wyniku np. złożonej na firmę skargi o naruszenie przepisów ochrony danych osobowych, w następstwie zgłoszonego przez Przedsiębiorcę naruszenia do PUODO (kontrola najczęściej ma charakter korespondencyjny i obejmuje wymianę pism i innych dokumentów, dowodów dokumentujących naruszenie bądź też ukazujących poziom stosowanych przez nas zabezpieczeń)
| Kontrolę RODO przeprowadzają kontrolerzy oddelegowani z ramienia PUODO. Przed rozpoczęciem procedury kontroler ma obowiązek przedstawić stosowne upoważnienie oraz legitymację służbową. Na upoważnieniu powinna znajdować się data rozpoczęcia oraz data przewidywanego zakończenia kontroli. Co do zasady, kontrolerzy mają prawo wstępu na tereny kontrolowanego przedsiębiorstwa w godzinach od 6:00 do 22:00. Kontrola może trwać nie dłużej niż 30 dni. |
Każda kontrola niesie za sobą ryzyko nałożenia na Przedsiębiorcę kary , jeśli okaże się, że dopuścił się on naruszenia przepisów o ochronie danych osobowych.
Mogą to być dwa rodzaje kar:
✓ administracyjne, takie jak ostrzeżenie, upomnienie, nakazanie poinformowania osoby, której dane dotyczą, o naruszeniu przepisów oraz spełnienia jej żądań wynikających z praw przysługujących jej na mocy aktualnego rozporządzenia o danych osobowych, nakazanie czasowego lub całkowitego ograniczenie przetwarzania danych osobowych, w tym zakazania przetwarzania niektórych danych, ich sprostowania lub usunięcia, cofnięcie certyfikatu lub nakazanie instytucji certyfikującej cofnięcie albo nieudzielenie certyfikacji.
✓ finansowe – w wysokości nawet do 20 mln euro;
Warto zaznaczyć w tym miejscu, że kara pieniężna to nie jedyna sankcja, która może odbić się na finansach Przedsiębiorcy. Samo nakazanie nam przez PUODO określonego zachowania może skutkować ogromnymi kosztami w firmie czy urzędzie (np. nakaz realizacji obowiązku informacyjnego wobec wszystkich osób, których dane administrator przetwarza, nakaz udostępnienia danych osobom, których dane dotyczą, itd). Musimy również liczyć się z prawem osób poszkodowanych do dochodzenia odszkodowania za naruszenie dotyczące ich dóbr zarówno w przypadku poniesionych przez nich szkód majątkowych jak i niemajątkowych.
Więcej na temat możliwych kar RODO możesz przeczytać tutaj
Na początku stycznia Urząd Ochrony Danych Osobowych ogłosił plan kontroli sektorowych na 2022r . Jeśli prowadzisz bank, przetwarzasz dane osobowe w systemach SIS i VIS (System Informacyjny Schengen i Wizowy System Informacyjnym) lub przetwarzasz dane przy użyciu mobilnych aplikacji – możesz się spodziewać w tym roku działań kontrolnych ze strony UODO.
|
Chcesz zminimalizować ryzyko poniesienia kary przez Twoją firmę – skorzystaj z usług profesjonalisty w zakresie zarówno wdrożenia RODO jak i bieżącego wsparcia w prawidłowym wypełnianiu wytycznych ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r (RODO). |
28 stycznia 2022r już po raz XVI obchodzimy Dzień Ochrony Danych Osobowych, a dwa dni temu, 26 stycznia obchodziliśmy Dzień Inspektora Ochrony Danych, czyli takie nasze małe małe święto.
Dzień Ochrony Danych Osobowych został ustanowiony na dzień 28 stycznia przez Komitet Ministrów Rady Europy. Obchodzony jest w rocznicę sporządzenia Konwencji nr 108 RE o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych podpisanej w Strasburgu dn. 28 stycznia 1981 r. Konwencja ta jest najstarszym aktem prawnym o zasięgu międzynarodowym, który reguluje zagadnienia związane z ochroną danych osobowych. Okazję tą uczczono po raz pierwszy w 2007 r. i od tej pory co roku odbywają się konferencje oraz akcje promujące ochronę prywatności i danych.
Świętowanie dnia ochrony ma na celu budowanie u każdego z nas świadomości jakiego rodzaju zagrożenie może nieść za sobą niewłaściwa ochrona naszej prywatności. W dobie powszechnej cyfryzacji i digitalizacji nasze dane osobowe są w ogromnym stopniu narażone na dostanie się w niepowołane ręce.
| Pamiętajmy: sami jesteśmy odpowiedzialni za własne dane oraz dane innych osób, dla których jesteśmy administratorem. Zarówno jako konsumenci jak i przedsiębiorcy musimy lepiej dbać o ochronę danych, które stanowią coraz ważniejszą sferę naszej aktywności. |
Obchodzony każdego roku Europejski Dzień Ochrony Danych Osobowych jest okazją do zastanowienia się nad problemami dotyczącymi ochrony informacji o nas i naszych bliskich. Każdego roku, w tym dniu, odbywają się różnego rodzaju wydarzenia związane z ochroną danych: spotkania, konferencje, wykłady, warsztaty.
W tym roku Urząd Ochrony Danych Osobowych organizuje konferencję online, której tematem przewodnim będzie „Ochrona danych osobowych na co dzień”. Poruszone zostaną zagadnienia związane z praktycznym wymiarem stosowania RODO w dwóch obszarach – w środowisku pracy oraz w sektorze oświaty. Zaproszeni eksperci omówią wpływ zasad ochrony danych na kształtowanie relacji pracodawca – pracownik, poruszony będzie temat budowania wspólnej przyszłości w oparciu o edukację najmłodszych z zasad ochrony danych osobowych. Każdy z nas może wziąć udział w konferencji – więcej informacji na ten temat znajdziecie na stronie PUODO.
Przy okazji Dnia Ochrony Danych Osobowych warto przypomnieć, że należy chronić dane osobowe, ponieważ są to informacje dotyczące bezpośrednio Nas i wypływające na Nasze życie.
| Chrońmy nasze dane – nie tylko od święta!! |
Niedawno kolega przy okazji urodzin znajomej z branży powiedział, że idealnym kwiatem dla nas Kobiet, związanych z RODO, jest RODOdenrdon.
Uznajmy go więc kwiatem RODOMANIAKÓW 🙂
Kary za nieprzestrzeganie, złamanie lub naruszenie przepisów RODO nakładane są w Polsce przez UODO (Urząd Ochrony Danych Osobowych). Sankcje za złamanie RODO oraz innych regulacji chroniących prywatność obywateli i ich dane osobowe są nakładane w drodze decyzji administracyjnej. Każda sprawa rozpatrywana jest indywidualnie, a nałożona kara powinna być odpowiednia do wagi naruszenia.
Co nam, przedsiębiorcom, grozi za nieprzestrzeganie RODO?
Prezes UODO może nałożyć na nas karę finansową w wysokości:
- ✓ do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa (z poprzedniego roku obrotowego). Zastosowanie ma zawsze kwota wyższa. Taka kara grozi np. za nieprawidłowości w zakresie powierzenia przetwarzania danych, niewłaściwe prowadzenie rejestru czynności przetwarzania danych lub jego całkowity brak, a także niezgłoszenie naruszenia ochrony tych informacji i niezawiadomienie o nim osoby, której one dotyczą,
- ✓ do 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa. Sankcja w tej wysokości może zostać nałożona m.in. za przetwarzanie danych osobowych niezgodnych z postanowieniami RODO, niedotrzymanie warunku wyrażenia zgody na przetwarzanie danych lub niedopełnienie obowiązku informacyjnego,
- ✓ do 100 000 złotych na jednostki sektora finansów publicznych, instytuty badawcze lub Narodowy Bank Polski,
- ✓ do 10 000 na państwowe i samorządowe instytucje kultury.
Oprócz kar finansowych Prezes UODO dysponuje też innymi uprawnieniami naprawczymi, czyli sankcjami, które może nałożyć na podmioty nieprzestrzegające zasad ochrony danych osobowych. W zależności od przewinienia organ może:
- ✓ wydać ostrzeżenie,
- ✓ udzielić upomnienia,
- ✓ nakazać spełnienie żądań osoby, której dotyczą dane,
- ✓ zdecydować o czasowym lub całkowitym ograniczeniu przetwarzania danych przez określony podmiot, a także zakazaniu ich przetwarzania,
WAŻNE: Sankcje muszą być skuteczne i odstraszające, ale jednocześnie również proporcjonalne do popełnionego wykroczenia.
Od czego zatem zależy wysokość ewentualnej kary ?
Wysokość kary RODO zależna jest od kilku czynników:
- ✓ umyślny lub nieumyślny charakter czynu,
- ✓ czas trwania, charakter i waga naruszenia,
- ✓ wcześniejsze naruszenia (innymi słowy: czy dany podmiot dopuszczał się w przeszłości podobnych czynów, czy może jest to pierwszy taki incydent),
- ✓ stopień odpowiedzialności administratora lub podmiotu przetwarzającego oraz wdrożone środki techniczne i organizacyjne,
- ✓ współpraca z prezesem UODO skierowana na usunięcie naruszenia i złagodzenie jego potencjalnych negatywnych konsekwencji,
- ✓ kategorie danych osobowych, których dotyczyło naruszenie,
- ✓ sposób, w jaki organ dowiedział się o czynie (a więc czy administrator lub podmiot przetwarzający sami go zgłosili).
Czy kary z tytułu RODO dotyczą wszystkich?
Prezes UODO nakłada kary niezależne od wielkości, branży czy specyfiki danej organizacji. Jeśli jakiś podmiot przetwarza dane osobowe, to nie ma żadnego znaczenia czy działa on w zakresie administracji publicznej, jest jednoosobową działalnością czy też zalicza się do firm zatrudniających po kilka tysięcy osób. Dlatego, aby uniknąć kar finansowych, każde przedsiębiorstwo powinno dostosować się do przepisów RODO. W tym celu warto skorzystać z profesjonalnego wsparcia we wdrożeniu oraz utrzymaniu bezpiecznego i stabilnego systemu ochrony danych osobowych. Zachęcam do zapoznania się z ofertą moich usług
Nie ryzykuj, zaufaj Specjaliście!!
Dyrektywa oraz Ustawa o sygnalistach – czy jest powiązana z RODO?
Podstawą nowego obowiązku dla Przedsiębiorców będzie dyrektywa o sygnalistach oraz implementująca ją nasza krajowa ustawa o ochronie osób zgłaszających naruszenia prawa (ustawa na dzień 04.12.2021r – w trakcie opracowania).
17.12.2021 r. mija dla Polski czas na wdrożenie Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, potocznie zwanej dyrektywą o ochronie sygnalistów.
Kogo dotyczy dyrektywa oraz ustawa o sygnalistach?
Od 17 grudnia 2021r. będą musiały się do niej dostosować podmioty:
– zatrudniające co najmniej 50 osób w sektorze publicznym,
– zatrudniające co najmniej 250 osób w sektorze prywatnym,
– wykonujące działalność w zakresie: usług, produktów i rynków finansowych oraz zapobiegania praniu pieniędzy i finansowaniu terroryzmu, a także bezpieczeństwa transportu i ochrony środowiska.
Od 17 grudnia 2023r będą musiały się do niej dostosować:
– podmioty z sektora prywatnego, zatrudniających od 50 do 249 pracowników,
Przedsiębiorcy powinni jak najszybciej rozpocząć przygotowania do wdrożenia nowych obowiązków związanych z koniecznością zagwarantowania bezpieczeństwa sygnalistom. Niezbędne jest opracowanie i wdrożenie procedur umożliwiających dokonywanie zgłoszeń, ich ewidencjonowanie oraz ustalenie sposobu prowadzenia działań następczych, będących odpowiedzią na dokonane zgłoszenia.
Dokonując analizy nowych wymogów wynikających z dyrektywy oraz projektu ustawy o sygnalistach, nie można zapomnieć o RODO i konieczności pogodzenia wymogów ochrony sygnalistów z ochroną danych osobowych. Przedsiębiorca jest bowiem administratorem danych zgromadzonych w ramach przyjęcia i obsługi zgłoszeń wewnętrznych, a sygnalista – podmiotem danych.
Największym wyzwaniem w zakresie przetwarzania danych osobowych w związku ze zgłoszeniem naruszenia będzie zapewnienie skutecznej ochrony prywatności sygnalistów w związku z ustanowieniem kanałów dokonywania zgłoszeń.
Przedsiębiorca będzie bowiem zobowiązany do zachowania poufności w zakresie danych identyfikujących sygnalistę, niezależnie od tego, czy pozostaje z nim w stosunku pracy czy też sygnalistą będzie kandydat do pracy, stażysta, wolontariusz, wspólnik czy członek zarządu bądź rady nadzorczej.
Przy wdrażaniu odpowiednich procedur warto pamiętać, że:
✓ dane osobowe sygnalisty to nie tylko imię i nazwisko czy też nr identyfikatora służbowego – to wszystkie informacje pozwalające na ustalenie tożsamości sygnalisty
✓ dane osobowe sygnalisty powinny być przechowywane oddzielnie od treści samego zgłoszenia; jeśli zachodzi taka potrzeba – należy je usunąć z treści zgłoszenia
✓ dane osobowe sygnalisty mogą zostać ujawnione tylko po uzyskaniu jego zgody
✓ dane osób, których zgłoszenie dotyczy, mogą być przetwarzane bez ich zgody
✓ administrator, na obecną chwilę (jeśli ustawa o sygnalistach w swojej ostatecznej formie tego nie zmieni) musi spełnić obowiązek informacyjny wynikający z RODO w stosunku do sygnalisty, osób, których dotyczy zgłoszenie oraz osób trzecich np. świadków zdarzenia lub innych osób, które mogą być w jakiś sposób powiązane ze zdarzeniem, będącym przedmiotem zgłoszenia.
Istotnym jest, że zgodnie z treścią dyrektywy i ustawy jakiekolwiek działania mające na celu nękanie sygnalistów w związku z podjętymi przez nich działaniami będą karalne. Ponadto sygnalista, który na skutek prześladowań ze strony swojego pracodawcy zostanie zmuszony do zmiany pracy, będzie uprawniony do dochodzenia od niego stosownego odszkodowania.
Jeśli masz wątpliwości jak właściwie ulokować proces sygnalistów w swojej firmie, jak zgodnie z RODO przygotować kanały zgłoszeń, opracować i wdrożyć wszystkie procedury, zadbać o anonimowość sygnalisty, przygotować swoich pracowników do obsługi zgłoszeń – zapraszam do kontaktu, chętnie udzielę wsparcia.
Warto skorzystać z wiedzy eksperta, żeby się dobrze przygotować do nowych obowiązków, zaangażować w organizację procesu IOD lub podmiot zewnętrzny aby uniknąć niepotrzebnych nerwów, dodatkowych kosztów i ewentualnej odpowiedzialności prawnej.
Na te i inne pytania związane z pełnieniem funkcji Inspektora Ochrony Danych (IOD) znajdziecie odpowiedź w poniższym artykule – zachęcam do lektury.
Kto to jest Inspektor Ochrony Danych?
Inspektor Ochrony Danych to najważniejsza osoba w organizacji, jeśli chodzi o dane osobowe, wyznaczona m.in. w celu informowania Administratora danych i jego pracowników o obowiązkach wynikających z przepisów o ochronie danych, szkolenia ich, doradzania im w sprawie właściwej ochrony danych, przeprowadzania audytów, dokonywania oceny zgodności organizacji z RODO, a także w celu współpracy i pełnienia funkcji punktu kontaktowego dla organu nadzorczego (UODO) oraz osób, których dane przetwarza Administrator.
Kto musi powołać Inspektora Ochrony Danych?
Obowiązek powołania Inspektora Ochrony Danych dotyczy:
✓ każdego podmiotu publicznego, z wyjątkiem Sądów
✓ każdej organizacji, która w ramach swojej głównej działalności regularnie i systematycznie monitoruje osoby fizyczne na dużą skalę
✓ każdej organizacji, której główna działalność związana jest z przetwarzaniem danych szczególnej kategorii, np. o stanie zdrowia na dużą skalę
Jakie są zadania Inspektora Ochrony Danych?
Zadaniem Inspektora Ochrony Danych jest czuwanie nad przestrzeganiem przepisów zawartych w Rozporządzeniu o Ochronie Danych Osobowych.
W ramach świadczonych przeze mnie usług oferuję przejęcie obowiązków IOD w zakresie:
✓ monitorowania przestrzegania przepisów oraz polityk Administratora z zakresu ochrony danych osobowych
✓ szkolenia pracowników, zwiększania ich świadomości w zakresie ochrony danych
✓ przeprowadzania audytów RODO
✓ opiniowania umów oraz procedur wewnętrznych
✓ wsparcia w identyfikacji procesów oraz prowadzenie rejestru czynności
✓ wsparcia w procedowaniu incydentów/naruszeń ochrony danych oraz prowadzenie ich rejestru
✓ udzielania na żądanie Administratora zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania
✓ współpracy z Prezesem Urzędu Ochrony Danych
✓ pełnienia funkcji punktu kontaktowego dla organu nadzorczego oraz dla osób, których dane są przetwarzane przez Administratora
Kto może zostać IOD?
Zgodnie z art. 37 ust. 5 RODO Inspektorem Ochrony Danych może zostać osoba fizyczna (nie prawna), która posiada odpowiednie kwalifikacje zawodowe, w szczególności fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności niezbędne do wypełniania powierzonych mu zadań.
Kandydat na Inspektora Ochrony Danych powinien posiadać zdolności organizacyjne oraz interpersonalne np. w zakresie skutecznego dzielenia się wiedzą, komunikacji, zarządzania projektami, negocjacji czy mediacji.
Administrator Danych, zgodnie z art. 37 ust. 6 RODO może wyznaczyć na IOD swojego pracownika lub może też skorzystać z outsourcingu funkcji IOD. Ta druga możliwość zyskuje coraz większe uznanie wśród organizacji z różnych branż.
Dlaczego outsourcing funkcji IOD to dobre rozwiązanie?
Wybór odpowiedniej osoby na Inspektora Ochrony Danych jest kluczowy dla bezpieczeństwa danych osobowych w organizacji. Wybierając odpowiednią osobę na tę funkcję, Administrator może znacznie zmniejszyć ryzyko niewłaściwego przetwarzania danych osobowych, postępowania niezgodnie z RODO oraz nałożenia ewentualnych kar.
Wygodnym i bezpiecznym rozwiązaniem coraz częściej wydaje się być powołanie Inspektora Ochrony Danych w ramach outsourcingu funkcji IOD, który polega na przekazaniu zewnętrznej firmie kompetencji i zadań Inspektora Ochrony Danych. Pozwala to na konkretne zyski w postaci oszczędności czasu, optymalizacji kosztów i procesów – za rozsądną cenę klient otrzymuje pełną opiekę i utrzymanie organizacji w zgodności z RODO. Organizacja nie musi ponosić nakładów czasowych i finansowych związanych z przygotowaniem oraz utrzymaniem stanowiska pracy IOD, organizacją szkoleń mających na celu stałe podnoszenie poziomu jego wiedzy, zyskuje gwarancję jego kompetencji i dostępności a także zachowania obiektywizmu przy dokonywaniu oceny wdrażanych rozwiązań.
Niestety nie istnieje gotowa instrukcja wdrożenia RODO, która mówiłaby jak krok po kroku wdrożyć i przestrzegać RODO w firmie.
RODO to rozporządzenie, które nie daje gotowych rozwiązań do zastosowania, to otwarty akt, który wskazuje na Administratora danych jako podmiot, który powinien samodzielnie ocenić jakie znaczenie mają przetwarzane przez niego dane osobowe i jakie musi przyjąć środki, aby zapewnić im odpowiednie bezpieczeństwo. To, które zasady i wytyczne RODO będą miały zastosowanie w danej organizacji , zależy od rodzaju i specyfiki prowadzonej działalności, a głównym wyznacznikiem będzie tutaj zasada bezpieczeństwa danych oraz zdrowy rozsądek przedsiębiorcy.
Pomimo, iż nie istnieje gotowa instrukcja wdrożenia RODO, wskazująca wprost jakie podjąć działania – ustawodawca w rozporządzeniu (RODO) wskazał na szereg wytycznych, o których musi pamiętać każdy podmiot, który przetwarza dane osobowe.
Podstawowe obowiązki Administratora wynikające z RODO to między innymi:
✓ obowiązek informacyjny
✓ obowiązek realizacji praw osób, których dane są przetwarzane
✓ obowiązek zapewnienia należytego bezpieczeństwa danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych takich jak np.
♦ opracowanie i wdrożenie odpowiedniej dokumentacji,
♦ nadawanie upoważnień do przetwarzania danych,
♦ podpisywanie umów powierzenia,
♦ wdrożenie odpowiednich rozwiązań w ramach organizacji,
♦ szkolenia dla osób, które mają dostęp do danych
♦ zapewnienie poufności, integralności oraz dostępności danych
♦ konieczność wykonania analizy ryzyka w celu oceny, czy stopień bezpieczeństwa danych jest odpowiedni, a wdrożone zabezpieczenia skuteczne
✓ obowiązek prowadzenia rejestru czynności i rejestru kategorii czynności przetwarzania danych osobowych
✓ obowiązek dokonywania oceny skutków przetwarzania dla ochrony danych osobowych
✓ obowiązek przetwarzania danych zgodnie z zasadami RODO, w tym m.in. minimalizowanie ilości zbieranych danych oraz ograniczenie ich przechowywania
✓ obowiązek zgłaszania naruszeń do Prezesa Urzędu Ochrony Danych Osobowych oraz prowadzenia ich rejestru
✓ obowiązek wyznaczenia oraz zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych faktu powołania Inspektora Ochrony Danych, jeśli taki obowiązek dotyczy organizacji
Jak widać obowiązków jest sporo i nie jest to łatwy temat. Zapewne każdemu właścicielowi firmy nasuwa się od razu szereg pytań:
♦ czy w obliczu takich wyzwań muszę zostać „expertem RODO” aby odpowiednio przystosować swoją firmę?
♦ jakie działania mam podjąć, od czego zacząć, aby skutecznie chronić dane osobowe, być zgodnym z RODO a zarazem zachować zdrowy rozsądek?
♦ wdrożę RODO i co dalej?
♦ czy mogę liczyć na czyjeś wsparcie aby uniknąć naruszenia i ewentualnej kary?
Odpowiedzią na powyższe pytania może być skorzystanie z usług podmiotu zewnętrznego, który posiada odpowiednią wiedzę, kwalifikacje i doświadczenie, który przeprowadzi firmę przez proces oceny i wdrożenia RODO, a później będzie służył wsparciem w formie pełnienia funkcji Inspektora Ochrony Danych lub też udzielania bieżących porad, konsultacji.
Jeśli Ty i Twoja firma potrzebujecie pomocy/wsparcia, bazującego na profesjonalnym i elastycznym podejściu do każdego klienta – zapraszam do kontaktu
Więcej na temat oferowanych przeze mnie usług można znaleźć w zakładce Usługi
Co to jest RODO?
RODO to Unijne Rozporządzenie o Ochronie Danych Osobowych (z ang. General Data Protection Regulation – GDPR), zawierające przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.
Zostało przyjęte w kwietniu 2016 r. przez Parlament Europejski i Radę Unii Europejskiej, a w życie weszło 25 maja 2018r.
Jest to zbiór wytycznych/przepisów, które mówią przedsiębiorcom i konsumentom do czego mają prawo w zakresie prywatnych informacji i jak należy się z nimi obchodzić, jak należycie je chronić oraz wskazuje na konieczność stosowania odpowiednich zabezpieczeń dla posiadanych danych osobowych.
Kto jest zobowiązany do stosowania RODO?
Stosowanie wytycznych RODO dotyczy każdej firmy (w tym jednoosobowej działalności, spółki, sklepu internetowego) działającej na terenie Unii Europejskiej, która przetwarza dane osobowe w charakterze innym niż prywatny czy rodzinny.
Dla lepszego zrozumienia konieczne jest wyjaśnienie czym są dane osobowe oraz czym jest ich przetwarzanie.
Co to są dane osobowe?
Zgodnie z RODO dane osobowe to „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.
Jak ocenić, czy dany zestaw informacji stanowi dane osobowe? Należy ustalić, czy posiadane informacje pozwalają nam w sposób bezpośredni lub przy niewielkim nakładzie pracy, czasu i kosztów zidentyfikować konkretną osobę.
Czym zatem jest ich przetwarzanie?
Przetwarzanie danych osobowych oznacza każdą czynność, która jest związana z ich użyciem. Chodzi tutaj przede wszystkim o ich zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Mylnie rozumiane jest, że przetwarzanie danych osobowych oznacza tylko konkretne działania jakimi są np. przesyłanie danych osobowych, ich modyfikowanie, zapisywanie. Przetwarzanie danych osobowych zaczyna się już w momencie ich pozyskania np. podczas rozmowy telefonicznej, podczas bezpośredniej rozmowy, mailowo, w postaci dokumentu papierowego, itd. Sam fakt posiadania informacji to już jest ich przetwarzanie.
Podsumowując:
Wejście w życie rozporządzenia RODO to poważna zmiana dla przedsiębiorców, która nakłada na nich szereg obowiązków wynikających z faktu przetwarzania danych osobowych a jednocześnie oddaje w ręce ich klientów liczne prawa, pozwalające im zadbać o swoją prywatność.
Warto zatem zaufać specjaliście i skorzystać z profesjonalnego wsparcia we wdrożeniu oraz utrzymaniu bezpiecznego i stabilnego systemu ochrony danych osobowych.
Jeśli obszar Twojego działania to Wrocław, Dolny Śląsk, Wieluń, Osjaków i okolice, lub jeśli odpowiada Ci zdalna forma współpracy – zapraszam do kontaktu, odpowiednio zaopiekuję się bezpieczeństwem danych osobowych w Twojej firmie!