Audyty Bezpieczeństwa IT

Twoja firma vs RODO

 

Możesz schować się za największym firmowym biurkiem i czekać aż minie...
...albo sprawdzić najważniejsze informacje o RODO jakie zebraliśmy w jednym miejscu.

RODO FAQ - Najczęściej zadawane pytania


1. Co to jest to RODO i jak ma wyglądać ostateczna wersja ustawy?

RODO lub GDPR to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Finalna wersja RODO dostępna jest TUTAJ. Prace nad polską ustawą trwają i najprawdopodobniej wejdą w życie w 2018 roku.


2. Od kiedy ogólne rozporządzenie będzie stosowane?

Rozporządzenie zostało zatwierdzone i przyjęte w kwietniu 2016 roku przez Parlament UE. Zacznie być jednak stosowana po dwuletnim okresie przejściowym. Rozporządzenia, w przeciwieństwie do dyrektyw, nie wymagają zatwierdzenia przez organy krajowe. Oznacza to, że zacznie być stosowane od 25 maja 2018 roku.


3. Co podlega RODO?

RODO stosuje się do przetwarzania danych osobowych, czyli jakichkolwiek operacji wykonywanych na danych osobowych, np.:

  • zbieranie danych,
  • przechowywanie danych,
  • usuwanie danych,
  • opracowywanie danych,
  • udostępnianie danych.

Ważne: RODO obejmuje wszelkie czynności, które mają za przedmiot dane osobowe – czyli nie tylko np. usługę archiwizowania dokumentów, ale także wszelkie usługi, w których dochodzi do zbierania danych osobowych. Dlatego RODO powinni stosować:

  • przedsiębiorcy zajmujący się przetwarzaniem danych, jak np.: archiwizacja danych, niszczenie dokumentów, usługi kurierskie itp.,
  • przedsiębiorcy, którzy przetwarzają dane osobowe przy okazji świadczenia innych usług, jak np.: pośrednicy ubezpieczeniowi, agenci biur podróży, księgowi, sklepy internetowe, zarządcy nieruchomości itp.

4. Co stanowi dane osobowe?

Dane osobowe to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

  • Osoba zidentyfikowana to taka osoba, której tożsamość znamy, którą możemy wskazać spośród innych osób.
  • Osoba możliwa do zidentyfikowania to taka osoba, której tożsamości nie znamy, ale możemy poznać, korzystając z dostępnych nam środków.

Na przykład:

  • pracownik, którego dane osobowe przetwarza pracodawca – to osoba zidentyfikowana,
  • potencjalny kontrahent, którego mamy tylko numer ewidencyjny w CEIDG – osoba możliwa do zidentyfikowania,
  • klient sklepu internetowego, który podał swoje dane osobowe do wysyłki zamówienia – to osoba zidentyfikowana,
  • nadawca listu poleconego, znany z numeru nadanej przesyłki – osoba możliwa do zidentyfikowania,
  • osoba, która w formularzu kontaktowym podaje swoje imię, nazwisko i adres e-mail – to osoba zidentyfikowana.

Dane osobowe to informacje o osobach fizycznych. Osoby prawne nie mają danych osobowych – ale ich pracownicy mają dane osobowe, jak każda inna osoba fizyczna.

Na przykład:

  • nazwa ABC Sp. z o. o. – nie stanowi danych osobowych tego podmiotu,
  • informacja „Jan Kowalski, pracownik ABC sp. z o. o.” – może stanowić dane osobowe Jana Kowalskiego.

Na uznanie informacji za dane osobowe nie mają wpływu ani wiek, ani narodowość osoby fizycznej. Dane osobowe dzielimy na:

  • dane osobowe zwykłe,
  • dane osobowe zaliczające się do szczególnych kategorii danych (w dotychczasowej UOD: dane wrażliwe).

Do tej drugiej kategorii danych osobowych zaliczamy dane ujawniające:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne oraz dane biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Wszystkie dane osobowe ujawniające dane inne od jakiejkolwiek z ww. grup, należą do kategorii danych zwykłych. Do tej kategorii – danych osobowych zwykłych – należą także dane osobowe dotyczące wyroków skazujących.


5. Kto podlega RODO?

RODO podlega działalność gospodarcza prowadzona w Unii Europejskiej w jakiejkolwiek formie prawnej: spółka, jednoosobowa działalność gospodarcza czy nawet oddział w Unii Europejskiej przedsiębiorcy mającego siedzibę poza Unią: słowem – każdy przedsiębiorca.

Nie ma znaczenia:

  • narodowość osób, których dane osobowe są przetwarzane,
  • to, gdzie przetwarzane są dane osobowe (czyli np.: gdzie znajdują się serwery).

Dane osobowe to informacje o osobach fizycznych. Osoby prawne nie mają danych osobowych – ale ich pracownicy mają dane osobowe, jak każda inna osoba fizyczna.

Na przykład:

  • polska spółka z o. o. korzysta z usług przetwarzania danych w chmurze: TAK, spółka podlega przepisom RODO,
  • polski przedsiębiorca oferujący swoje usługi obywatelom Ukrainy: TAK, spółka podlega przepisom RODO,
  • polski oddział amerykańskiej spółki przetwarza dane osobowe: TAK, spółka podlega przepisom RODO.

RODO znajduje zastosowanie również, gdy podmioty spoza Unii Europejskiej oferują swoje towary i usług osobom przebywający w Unii.

Regulacje RODO nie znajdują zastosowania w odniesieniu do działalności osobistej lub domowej. Oznacza to, że osoba fizyczna prowadząca działalność gospodarczą musi stosować RODO do danych osobowych swoich klientów czy pracowników, ale nie stosuje RODO do danych przetwarzanych w celach czysto prywatnych, np. do danych adresatów kartek świątecznych.


6. Jakie są kary za nieprzestrzeganie RODO?

Za nieprzestrzeganie zapisów RODO podmiot może zostać ukarany karą:

  • do 4% swojego rocznego globalnego obrotu lub
  • w wysokości 20 milionów euro.

To maksymalna kara, jaką może zostać nałożona za najpoważniejsze naruszenia, takie jak:

  • brak uzyskania dostatecznej zgody na przetwarzanie danych osobowych,
  • naruszenie podstawowych wymogów privacy by design.

Za drobniejsze przewinienia na przedsiębiorstwo może zostać nałożona kara w wysokości 2% jego rocznego globalnego obrotu, np. za:

  • naruszenie obowiązku rejestrowania czynności przetwarzania,
  • niezgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu,
  • niedokonanie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Ważne: zasady te mają zastosowanie zarówno do administratorów, jak i procesorów; oznacza to, że np. różnego rodzaju usługi chmurowe (cloud) również będą objęte przedmiotem rozporządzenia.

Na podmioty publiczne mogą być nałożone w drodze decyzji administracyjne kary pieniężne w wysokości do 100 000 zł.