materiały partnera
RODO zastąpiło wcześniejszą ustawę z 1997 r. o ochronie danych osobowych i przyniosło 5 istotnych zmian. Po pierwsze — rozszerzono uprawnienia osób, których dane dotyczą (prawo do bycia zapomnianym, prawo do przenoszenia danych, prawo do sprzeciwu). Po drugie — środki techniczne i organizacyjne muszą być teraz adekwatne do zakresu przetwarzania i poziomu ryzyka, a nie jednolite dla wszystkich podmiotów. Po trzecie — nałożono nowe obowiązki informacyjne wobec osób, których dane są przetwarzane. Po czwarte — wymagane są nowe wzory umów powierzenia przetwarzania danych. Po piąte — wprowadzono znacząco wyższe kary finansowe.
Przed RODO przepisy wymagały od każdego administratora danych stosowania tego samego standardu zabezpieczeń. Nowe rozporządzenie odeszło od tego modelu. Firma B2B przetwarzająca dane kontaktowe kilkudziesięciu kontrahentów nie musi stosować tak samo rygorystycznych środków jak duży sklep internetowy z bazą setek tysięcy konsumentów. Kluczowe jest przeprowadzenie analizy ryzyka — oceny, jakie zagrożenia wiążą się z przetwarzaniem konkretnych kategorii danych w danej organizacji. Na tej podstawie administrator dobiera środki techniczne (np. szyfrowanie, kontrola dostępu) i organizacyjne (np. szkolenia, procedury reagowania na incydenty).
Administrator danych osobowych jest zobowiązany poinformować osobę, której dane przetwarza, o szeregu kwestii. Obowiązek informacyjny obejmuje m.in. dane kontaktowe administratora, cel i podstawę prawną przetwarzania, okres przechowywania danych, informacje o Inspektorze Ochrony Danych (jeśli został powołany) oraz prawa osoby — prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania i wniesienia skargi do PUODO. Obowiązek informacyjny realizuje się najczęściej przez klauzulę informacyjną dołączaną do formularzy, umów i komunikacji elektronicznej. W przypadku sklepów internetowych informacje te stanowią element polityki prywatności.
Gdy administrator przekazuje dane osobowe innemu podmiotowi (np. biurze rachunkowe, hostingowi, firmie IT), wymagane jest zawarcie umowy powierzenia przetwarzania zgodnej z art. 28 RODO. Umowa musi określać przedmiot i czas trwania przetwarzania, jego charakter i cel, rodzaj danych osobowych oraz obowiązki procesora. Brak takiej umowy stanowi naruszenie RODO zarówno po stronie administratora, jak i podmiotu przetwarzającego. PUODO nakładał już kary za ten rodzaj uchybienia.
Art. 30 RODO nakłada obowiązek prowadzenia rejestru czynności przetwarzania na administratorów danych i podmioty przetwarzające. Rejestr zawiera informacje o celach przetwarzania, kategoriach osób i danych, odbiorcach, transferach do państw trzecich oraz planowanych terminach usunięcia danych. Obowiązek dotyczy podmiotów zatrudniających powyżej 250 osób. Mniejsze firmy są zobowiązane do prowadzenia rejestru, gdy przetwarzanie nie ma charakteru sporadycznego, obejmuje szczególne kategorie danych lub dotyczy wyroków skazujących.
Powołanie Inspektora Ochrony Danych (IOD) jest obowiązkowe w 3 przypadkach: gdy przetwarzania dokonuje organ publiczny lub podmiot publiczny, gdy główna działalność administratora polega na operacjach wymagających regularnego i systematycznego monitorowania osób na dużą skalę, lub gdy główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych. IOD pełni funkcję doradczą i kontrolną — monitoruje zgodność z RODO, prowadzi szkolenia, jest punktem kontaktowym dla PUODO i osób, których dane dotyczą.
RODO przewiduje dwa progi kar administracyjnych. Za mniej poważne naruszenia — do 10 mln EUR lub 2% rocznego obrotu (w zależności, która kwota jest wyższa). Za poważniejsze naruszenia (np. przetwarzanie bez podstawy prawnej, naruszenie praw osób) — do 20 mln EUR lub 4% rocznego obrotu. Kary nakłada Prezes PUODO w drodze decyzji administracyjnej. Przy wymierzaniu kary organ uwzględnia m.in. charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych osób, działania podjęte w celu zminimalizowania szkody oraz stopień współpracy z organem nadzorczym.
Firmy z sektora e-commerce i IT przetwarzają dane na dużą skalę — dane klientów, dane transakcyjne, pliki cookies, dane lokalizacyjne. Wymaga to szczególnej dbałości o kilka obszarów: prawidłową politykę prywatności, mechanizm zarządzania zgodami na cookies (cookie consent), umowy powierzenia z dostawcami usług technologicznych oraz zasadę privacy by design — projektowanie systemów IT z uwzględnieniem ochrony danych osobowych od podstaw. W kontekście branży kreatywnej i medialnej RODO wiąże się również z przetwarzaniem wizerunku, danych uczestników wydarzeń, danych osób zamawiających usługi kulturalne i edukacyjne. Kancelaria prawna Lassota Krawiec z siedzibą w Krakowie i Warszawie świadczy pomoc prawną w zakresie ochrony danych osobowych i wdrożeń RODO. Zespół kancelarii posiada doświadczenie w audytach RODO, przygotowywaniu dokumentacji i obsłudze podmiotów z branży IT, e-commerce oraz instytucji kultury. Więcej informacji można znaleźć w dziale Wiedza na stronie kancelarii.
