Przetwarzanie i ochrona danych osobowych – wyjaśniamy czym jest RODO

Przetwarzanie i ochrona danych osobowych - wyjaśniamy czym jest RODO

RODO zostało przyjęte 27 kwietnia 2016 roku – na dobre zrobiło się o tym głośno dopiero na początku roku 2018. Przed wejściem w życie tj. 25 maja 2018 roku było istne szaleństwo. Myślę, że nie ma osoby, która nie dostała by w tej sprawie co najmniej kilkunastu maili. Dodatkowo wszystkie strony internetowe trąbiły i zapowiadały zmiany RODO. Dzisiaj wrzawa już opadła, minęło kilka miesięcy, więc przyszedł czas na krótkie podsumowanie na naszym blogu.

W przypadku naszej aplikacji temat jest bardzo ważny, bo każdy użytkownik dokonujący chociażby rejestracji kart sim ma do czynienia z danymi osobowymi oraz je przetwarza.

Czym jest RODO?

RODO – pod tym enigmatycznym pojęciem kryje się nowe unijne rozporządzenie dotyczące ochrony danych osobowych. Podobnie jak obecne przepisy o ochronie danych osobowych (czyli przepisy Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych) RODO dotyczy wszystkich przetwarzających dane osobowe, czyli de facto każdego przedsiębiorcy.

Cel rozporządzenia

Celem rozporządzenia jest doprowadzenie do pełnej harmonizacji prawa w ramach UE i swobodnego przepływu danych osobowych. W założeniu ma pozwolić mieszkańcom Unii Europejskiej na lepszą kontrolę ich danych osobowych oraz stanowić modernizację i ujednolicenie przepisów umożliwiających firmom ograniczanie biurokracji i korzystanie ze zwiększonego zaufania klientów.

Nad polskimi przepisami pracowało Ministerstwo Cyfryzacji. Zaproponowało ono likwidację urzędu Generalnego Inspektora Ochrony Danych Osobowych i zastąpienie go Prezesem Urzędu Ochrony Danych Osobowych. 10 maja 2018 roku Sejm VIII kadencji uchwalił nową ustawę o ochronie danych osobowych, która zapewnia stosowanie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 o ochronie danych osobowych na terytorium Polski oraz ustanawia nowy organ właściwy w sprawie ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych.

Nowe prawo wprowadza m.in.

  • łatwiejszy dostęp do danych (zapewnienie większej liczby informacji na temat sposobu przetwarzania danych i zapewnienie, aby informacje były dostępne w przejrzysty i zrozumiały sposób),
  • nowe prawo do przenoszenia danych (ułatwia przesyłanie danych osobowych pomiędzy dostawcami usług),
  • jaśniejsze prawo do usunięcia danych („prawo do bycia zapomnianym”),
  • prawo do bycia niezwłocznie poinformowanym w razie ataku hakerskiego na dane (firmy będą także zobligowane zawiadomić odpowiednie organy nadzorcze ds. ochrony danych),
  • technologie takie jak pseudonimizacja oraz szyfrowanie.

Kary administracyjne

Rozporządzenie reguluje ogólne warunki nakładania administracyjnych kar pieniężnych i wyróżnia dwa przedziały kar dla Administratorów Danych (ADO):

  • do 10 mln euro (w przypadku przedsiębiorcy – alternatywnie do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego). Kara ta dotyczy naruszeń związanych między innymi z niewywiązaniem się przez ADO ze swoich obowiązków takich jak: obowiązek informacyjny, brak uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych, błędnie prowadzony rejestr czynności przetwarzania lub jego brak, nieprawidłowe zabezpieczenie systemów informatycznych, nieprzeprowadzenie oceny skutków dla ochrony danych, brak powołania Inspektora Ochrony Danych, jeśli istniał taki obowiązek etc.
  • do 20 mln euro (w przypadku przedsiębiorcy – alternatywnie do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego). Kara ta dotyczy między innymi: złamania przez ADO podstawowych zasad przetwarzania danych osobowych, w tym niedopilnowanie warunków pozyskania zgody, łamania praw osób, których dane dotyczą, nieprawidłowego przekazywania danych osobowych odbiorcom w państwach trzecich lub organizacjach międzynarodowych, etc.

Każda osoba, która poniosła szkodę w wyniku naruszenia postanowień RODO ma prawo wystąpić do ADO z roszczeniem o odszkodowanie za poniesioną szkodę. Administrator może zostać zwolniony z odpowiedzialności, jeżeli udowodni, że nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.

Zgody na przetwarzanie danych

Wg RODO to firma/organizacja ma obowiązek wykazania, że zgoda na przetwarzanie została udzielona. Zgoda musi być:

  • dobrowolna,
  • konkretna,
  • specyficzna (zgoda jest ważna, jeśli jest udzielona na konkretne użycie danych),
  • świadoma (a zatem wymagana jest przejrzystość),
  • wycofanie jej powinno być łatwe (użytkownik powinien mieć sposób sygnalizowania chęci wycofania zgody).

Minimalne wymogi dla zgody:

  • tożsamość administratora/kontrolera danych,
  • cele każdej operacji przetwarzania,
  • typy pozyskiwanych i używanych danych, możliwość wycofania zgody,
  • informacja o ewentualnie podejmowanych automatycznie decyzjach,
  • informacja o ewentualnym przesyłaniu danych do krajów trzecich.

Zgody uzyskane przed majem 2018 zachowają ważność, jeśli spełniają wymogi RODO

Podsumowanie

RODO wprowadziło nowe przepisy w kwestii ochrony danych osobowych nakładając na przedsiębiorców więcej obowiązków, pogłębiając odpowiedzialność podmiotów przetwarzających dane osobowe.

Użytkownicy korzystający na co dzień z Simapki przetwarzają dane osobowe, dlatego nasza firma od początku przykładała dużą wagę, aby cały proces był odpowiednio przygotowany i zabezpieczony. Tworząc naszą aplikację wprowadziliśmy szereg zabezpieczeń technicznych oraz proceduralnych dbając o to, aby wszystkie osoby przetwarzające dane klientów posiadały niezbędną wiedze jak poprawnie i bezpiecznie obchodzić się z danymi. Zależy nam aby każdy klient obsługiwany przy pomocy naszej aplikacji był pewien, że jego dane będą przetworzone zgodnie z prawem i dobrymi praktykami.

Zawsze pobieramy minimum danych – przetwarzamy tylko te dane, które są niezbędne do prawidłowego świadczenia usług oraz które wymagane są przez ustawę.

Dodatkowo każdy użytkownik Simapki ma dostępną w aplikacji niezbędną dokumentację oraz szkolenia, które wyjaśniają zagadnienia związane z przetwarzaniem danych osobowych oraz określają jakie czynności są zakazane.

Sukcesywnie prowadzimy działania szkoleniowe i zachęcamy wszystkich do brania w nich udziału, aby na bieżąco dbać o proces i bezpieczeństwo.

W kolejnym artykule przybliżymy Państwu wszystkie zagadnienia związane z danymi osobowymi oraz poprawnym przetwarzaniem. Z tego miejsca zachęcam do zapoznania się.

Naszym wspólnym obowiązkiem jest dbać o to aby klienci obsługiwani w punktach sprzedaży byli pewni, że ich dane są w dobrych rękach i nie przytrafi się im nic niepożądanego.