W piątek, 25 maja bieżącego roku, zacznie obowiązywać równocześnie we wszystkich krajach członkowskich Unii Europejskiej rozporządzenie o ochronie danych osobowych. Rozporządzenie, powszechnie zwane RODO, nazwę wzięło od pierwszych liter polskiej nazwy Rozporządzenia Ogólnego o Ochronie Danych Osobowych.
Ta nowa, choć znana od dwóch lat, regulacja unijna, budzi wiele obaw i wątpliwości, gdyż ustawodawca unijny co prawda określił, co ma być chronione, ale nie powiedział, jak to zrobić. W wyjątkowej sytuacji znalazły organy samorządowe. Podlega im bowiem wiele dziedzin, które są wręcz naszpikowane danymi osobowymi, często wrażliwymi, o bardzo osobistym zabarwieniu, jak dane z opieki społecznej, dane o rodzinach patologicznych, leczeniu choroby alkoholowej itp.
Jak więc chronić te wrażliwe dane? Jakie kroki trzeba natychmiast przedsięwziąć? Czym grozi niewdrożenie na czas unijnego rozporządzenia?
Małgorzata Brańska ekspertem ochrony danych osobowych w Crowe Horwath, firmy wymienianej wśród 10 najlepszych międzynarodowych firm z zakresu audytu, księgowości oraz doradztwa prawnego, wyjaśnia: „RODO nakłada na wszystkich administratorów danych osobowych nowe zadania, których nie było do tej pory. Instytucje publiczne, w tym samorządy i administracja państwowa, mają m.in. obowiązek powołania inspektora ochrony danych i należy to uczynić przed 25 maja. Większe organizacje mogą sobie pozwolić na zatrudnienie inspektora tylko dla swoich potrzeb, ale w większości przypadków te obowiązki powierza się specjalistom z firm zewnętrznych”. Inspektorem może być tylko ten, kto legitymuje się doświadczeniem z zakresu ochrony danych osobowych (to doświadczenie musi być potwierdzone) oraz zna prawo i potrafi je zinterpretować.
Według RODO osoby fizyczne nabywają szereg nowych praw. Mogą m.in. w każdej chwili pytać administratora o zakres przetwarzania swoich danych, o sposób i cel ich przetwarzania, mogą zażądać ich usunięcia. Administrator danych musi w określonym czasie zareagować na zapytania osób fizycznych i jeśli nie dotrzyma terminu, grożą mu kary niebagatelne. Małgorzata Brańska z Crowe Horwath dodaje: „RODO szczególnie chroni prawa osób fizycznych i dlatego maksymalna wysokość kary za ich nieprzestrzeganie została ustalona na 20 milionów EURO. W projekcie polskich uregulowań zapisano jednakże, że w przypadku organów samorządu i administracji kara nie może przekraczać 100 tysięcy złotych”.
Absolutną nowością jest możliwość żądania przeniesienia całości danych do innej instytucji. Z takim wnioskiem będzie mógł wystąpić każdy klient banku, firm ubezpieczeniowych czy telekomunikacyjnych. Nowym rozwiązaniem jest także prawo osób fizycznych do zapomnienia. Jest to rozszerzenie obowiązującego dziś prawa do usunięcia swych danych. Po 25 maja możemy żądać od administratora, by spowodował usunięcie danych wszędzie tam, gdzie je przekazywał.
Ocena skutków dla przetwarzania danych to kolejna nowość, która może na początku przysporzyć kłopotów administratorom. Chodzi tutaj o określenie poziomu ryzyka w procesach przetwarzania danych osobowych. Większość instytucji nigdy nie przeprowadzało takich analiz i z pewnością sprawi im trudność określenie, co powinno się pojawić w tej analizie.
Warto dodać, że obok obowiązującej obecnie dokumentacji, administrator musi prowadzić tzw. rejestr naruszeń. Jest to obowiązek każdej instytucji: podmiotów gospodarczych, urzędów, placówek oświatowych i kulturalnych, samorządu itd. Rejestr musi zawierać informacje o każdym przypadku naruszenia bezpieczeństwa: kradzieży, wycieku, próbach włamania, nieautoryzowanym dostępie. W ciągu 72 godzin administrator ma obowiązek zawiadomić o zdarzeniu organ nadzorczy. Obecnie jest to wciąż jeszcze Generalny Inspektor Ochrony Danych Osobowych, ale już według nowych przepisów od maja będzie to Prezes Urzędu Ochrony Danych Osobowych.
- Komisja Europejska postanowiła stworzyć nowe prawo, które umożliwi prawidłowe i bezpieczne przetwarzanie danych - mówi Małgorzata Brańska. - Chodzi przede wszystkim o to, by osoby przekazujące swe dane czuły się bezpiecznie i miały pewność, że informacje o nich nie będą - bez ich zgody - przekazywane dalej, sprzedawane, kopiowane czy po prostu nielegalnie przetwarzane.
Media Support Group Sp. z o.o.
0
0
0
0
0
0
doda20:15, 20.03.2018
IOD (DPO)należy powołać po 25 maja a nie jak podano w artykule przed datą 25.05; na dzień dzisiejszy zadania zbliżone do do IOD realizują ABI
pozdrawiam 20:15, 20.03.2018
ja tak rozumiem20:41, 20.03.2018
Napisane jest w pierwszym zdaniu W piątek, 25 maja bieżącego roku, zacznie obowiązywać równocześnie we wszystkich krajach członkowskich Unii Europejskiej rozporządzenie o ochronie danych osobowych. Skoro zacznie obowiązywać to znaczy że na dzień 26 maja już trzeba spełniać warunki RODO, czyli na przykład warto zadbać o powołanie inspektora danych wcześniej aby w chwili obowiązywania przepisów był. 20:41, 20.03.2018
SĘP22:43, 20.03.2018
Kolejne Unijne pier......e o swoim patologicznym systemie.
RODO szczególnie chroni prawa osób fizycznych i dlatego maksymalna wysokość kary za ich nieprzestrzeganie została ustalona na 20 milionów EURO. W projekcie polskich uregulowań zapisano jednakże, że w przypadku organów samorządu i administracji kara nie może przekraczać 100 tysięcy złotych. A czy zwiększono karę dla tych co wykradają i udostępniają lub nawet sprzedają dane osobowe, czy w ogóle jest dla nich jakaś kara wg. lewackiej Unii. Pewnie nie bo według ich toku myślenia zagrażałoby to wolności obywatelskiej i praworządności. Ot taka ich demokracja, psia mać. 22:43, 20.03.2018
0 0
możesz powołać IOD w dniu 25.05 nie wcześniej,RODO zaczyna obowiązywać od tej daty, jeśli powołasz wcześniej nie będzie on IOD na gruncie RODO , chyba że wpiszesz do umowy że zaczyna on realizować zadania od 25.05;
obecni ABI zarejestrowani u GIODO automatycznie staną się IOD jeżeli projekt nowej UODO przejdzie, administrator będzie zobowiązany potwierdzić po 25.05 powołanie IOD nowemu organowi nadzorczemu tj. PUODO 20:55, 20.03.2018