Trzeba wiedzieć

Rozporządzenie o Ochronie Danych Osobowych

W dniu 25 maja 2018 r. we wszystkich krajach członkowskich Unii Europejskiej weszły w życie przepisy tzw. RODO czyli Rozporządzenie o Ochronie Danych Osobowych.

Rozporządzenie Parlamentu Europejskiego i Rady UE (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Rozporządzenie wprowadza zmiany w zakresie obowiązków ochrony danych osobowych zarówno w instytucjach publicznych jak i przedsiębiorstwach prywatnych.

Po wejściu w życie rozporządzenia przedsiębiorcy zobowiązani są do wprowadzenia systemu cyberbezpieczeństwa- czyli wdrożenia odpowiednich rozwiązań IT celem zapewnienia skutecznej ochrony danych osobowych.

Wprowadzone Rozporządzenie ma na celu głównie zapewnić dostateczną ochronę danych osobowych. Ma także wzmocnić i doprecyzować prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu, jak również zapewnić równorzędne uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych w UE oraz równorzędne kary za naruszenia tych przepisów we wszystkich państwach członkowskich UE.

Rozporządzenie przyznaje nowe uprawnienia także GIODO w tym możliwość nakładania kar za naruszenia przepisów, które będą mogły stanowić nawet 20 000 000 euro lub 4% całkowitego rocznego globalnego (łącznego) obrotu karanego przedsiębiorcy z roku obrotowego, który poprzedza naruszenie.

Przede wszystkim rozporządzenie nakłąda na przedsiębiorców nowe obowiązki i to kosztowne związane z ochroną danych osobowych m.in.:

  • dla zachowania zgodności z tym rozporządzeniem, administrator lub podmiot przetwarzający zobowiązani są prowadzić rejestry czynności przetwarzania, za które będą odpowiedzialni.
  • każdy administrator i każdy podmiot przetwarzający ma obowiązek współpracować z organem nadzorczym i na jego żądanie udostępniać mu te rejestry w celu monitorowania tych operacji przetwarzania.
  • w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z tym rozporządzeniem administrator lub podmiot przetwarzający zobowiązani są do oszacowania ryzyka właściwego dla przetwarzania (w sposób udokumentowany) bądź jeżeli to oszacowanie wykaże potrzebę muszą wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko.
  • podejmowane środki muszą zapewniać odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać aktualny (bieżący) stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie.
  • oceniając ryzyko w zakresie bezpieczeństwa danych, należy brać pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

Każdy przedsiębiorca zobowiązany jest upewnić się, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, tak by od razu móc stwierdzać naruszenia ochrony danych osobowych i szybko informować organ nadzorczy i osobę, której dane dotyczą. Administrator danych osobowych posiada jedynie zgodnie z wymogiem rozporządzenia 72 godziny od chwili w której poweźmie informację o wycieku danych osobowych by zgłosić to odpowiednim organom nadzorczym. Ponadto informacja musi także uwzględniać określenie liczy oraz rodzaju ujawnionych danych, a to oznacza wysoki poziom monitoringu.

Dodatkowo przedsiębiorcy celem zwiększenia przejrzystości i poprawy przestrzegania Rozporządzenia, mają być zachęcani do ustanowienia mechanizmów certyfikacji oraz do wprowadzenia znaków jakości i oznaczeń w dziedzinie ochrony danych, pozwalając w ten sposób osobom, których dane dotyczą, szybko ocenić stopień ochrony danych, której podlegają stosowne produkty i usługi.

Rozporządzenie wprowadza także szereg zmian oraz rozszerza zakres obowiązków administratorów oraz podmiotów przetwarzających dane m.in. o rozszerzenie formuły zgody na przetwarzanie danych, rozszerzenie zakresu obowiązku informacyjnego, rejestru czynności przetwarzania, zmienienia definicji danych wrażliwych, uwzględnienie najnowszych osiągnięć technicznych oraz kosztów wdrożenia odpowiednich kosztów i procedur technicznych, oraz organizacyjnych w taki sposób aby przetwarzanie gwarantowało ochronę praw osoby, której dane są przetwarzane.

Podstawa prawna:

  • Rozporządzenie Parlamentu Europejskiego i Rady UE (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Pamiętaj:
Wpisz nasz KRS 0000318482 w Deklaracji Podatkowej Twój e-PIT
Dziękujemy!

Czy wiesz, że aż 96% mikro firm zapewnia 75% wszystkich wpływów z podatków i wytwarza 51% zysku gospodarki kraju?

A tylko niewielkiej liczbie udaje się utrzymać na rynku dłużej niż rok bez dostatecznej wiedzy i znajomości przepisów.

A czy wiesz, że...

Ty też możesz coś zrobić, abyśmy mogli dalej działać i skutecznie Cię wspierać?

KRS 0000318482

Przejdź do Twój e-PIT