RODO

Nową, dotychczas nieznaną w polskim systemie prawnym czynnością wymaganą przez RODO jest ocena skutków przetwarzania dla ochrony danych. W praktyce wiąże się ona z koniecznością przeprowadzenia wnikliwej analizy części procesów związanych z przetwarzaniem danych u przedsiębiorcy. Przeprowadzając taką ocenę, przedsiębiorca może oszacować poziom ryzyka nieuprawnionej modyfikacji czy zablokowania dostępu do danych w planowanym przedsięwzięciu. Taka analiza pozwala mu się zorientować, jakie środki obniżające ryzyko zastosować.

Ostatni dzwonek dla firm na sprawdzenie zbiorów danych osobowych. Jeśli nie będą mogły udowodnić, że przetwarzają je zgodnie z prawem, to grożą im dotkliwe kary

Czy zamawiający będzie miał prawo odrzucić w przetargu ofertę podmiotu, który nie ma specjalnego certyfikatu zgodności z RODO? Analizując stanowisko UZP, nie można tego wykluczyć. Innego zdania są jednak eksperci i już ostrzegają przed lawiną odwołań do KIO.

Możliwość nakładania wielomilionowych kar administracyjnych uznali polscy przedsiębiorcy za jedno z zagrożeń związanych z rozporządzeniem o ochronie danych osobowych (RODO). W piątek projekt polskiej ustawy do unijnego rozporządzenia trafił do Komitetu ds. Europejskich Rady Ministrów.

W rozporządzeniu RODO został wprowadzony nowy dla większości polskich przedsiębiorców obowiązek zgłaszania do organu nadzorczego naruszeń ochrony danych osobowych. Dotychczas spoczywał on tylko na podmiotach z sektora telekomunikacyjnego. Od 25 maja 2018 r. obejmie zaś wszystkich przedsiębiorców, którzy przetwarzają dane osobowe. Do właściwego reagowania na naruszenia ochrony danych warto się przygotować. To pozwoli ograniczyć ryzyko prawne po stronie administratora, ale też – co jest najważniejszym celem nowych przepisów – umożliwi zmniejszenie potencjalnych szkód dla osób, które są dotknięte naruszeniem.

Prezes Urzędu Ochrony Danych Osobowych ma być jednak wybierany tak jak dzisiaj GIODO, a nie wskazywany przez premiera. Ministerstwo Cyfryzacji uwzględniło uwagi wysuwane podczas konsultacji.

Już niedługo przedsiębiorcy będą zobowiązani wykazać się spełnieniem nowego obowiązku: prowadzenia rejestru czynności przetwarzania danych osobowych. To istotny element dokumentacji danych osobowych wymaganej przez unijne rozporządzenie RODO. Prowadzenie rejestru będzie obowiązkowe dla wszystkich podmiotów, które zatrudniają co najmniej 250 osób, ale również w wielu wypadkach dla mniejszych, m.in. jeżeli przetwarzanie, którego dokonują, nie ma charakteru sporadycznego, może powodować naruszenie praw lub wolności osób lub obejmuje szczególne kategorie danych (np. o stanie zdrowia, przynależność do związków zawodowych). Co ważne, rejestr powinien być gotowy na 25 maja tego roku, a więc na dzień, kiedy zacznie być stosowane RODO. Problem w tym, że przedsiębiorcy nie wiedzą, jakie czynności przetwarzania należy uwzględnić w rejestrze. Unijne rozporządzenie nie definiuje czynności przetwarzania. Organy nadzorcze w UE natomiast dotąd nie wyjaśniły tego szczegółowo. Od generalnego inspektora ochrony danych osobowych uzyskaliśmy informację, że organ czeka na ustalenia w ramach unijnej Grupy Roboczej Art. 29 – po to, aby ewentualna rekomendacja GIODO była spójna z ustaleniami w innych krajach UE. Zapowiada jednak, że w najbliższym czasie opublikuje takie precyzyjne wyjaśnienia. Zatem do tematu powrócimy.

Już niedługo przedsiębiorcy będą zobowiązani wykazać się spełnieniem nowego obowiązku: prowadzenia rejestru czynności przetwarzania danych osobowych. To istotny element dokumentacji danych osobowych wymaganej przez unijne rozporządzenie RODO. Prowadzenie rejestru będzie obowiązkowe dla wszystkich podmiotów, które zatrudniają co najmniej 250 osób, ale również w wielu wypadkach dla mniejszych, m.in. jeżeli przetwarzanie, którego dokonują, nie ma charakteru sporadycznego, może powodować naruszenie praw lub wolności osób lub obejmuje szczególne kategorie danych (np. o stanie zdrowia, przynależność do związków zawodowych). Co ważne, rejestr powinien być gotowy na 25 maja tego roku, a więc na dzień, kiedy zacznie być stosowane RODO. Problem w tym, że przedsiębiorcy nie wiedzą, jakie czynności przetwarzania należy uwzględnić w rejestrze. Unijne rozporządzenie nie definiuje czynności przetwarzania. Organy nadzorcze w UE natomiast dotąd nie wyjaśniły tego szczegółowo. Od generalnego inspektora ochrony danych osobowych uzyskaliśmy informację, że organ czeka na ustalenia w ramach unijnej Grupy Roboczej Art. 29 - po to, aby ewentualna rekomendacja GIODO była spójna z ustaleniami w innych krajach UE. Zapowiada jednak, że w najbliższym czasie opublikuje takie precyzyjne wyjaśnienia. Zatem do tematu powrócimy.