Bydgoszcz
4C
Niebo częściowo zachmurzone
81% wilgotność
Wiatr: 5km/h NNE
H 5 • L 3
3C
Czw
4C
Pt
8C
Sob
12C
Nd
12C
Pon
Lista odwołanych wydarzeń i zamkniętych miejsc [AKTUALIZACJE NA BIEŻĄCO]
Metropolia BydgoskaAKTUALNOŚCIUwaga, RODO! Ewolucja czy rewolucja ?
20.05.2018 | 21:04

Uwaga, RODO! Ewolucja czy rewolucja ?

Na zdjęciu:

Fot. Paulina Karolak

Kwestia ochrony danych osobowych stała się bardzo gorliwym  tematem dyskusji na różnych gruntach. 25 maja wejdzie w życie rozporządzenie RODO. Czym ono jest, że tak podkręca atmosferę u przedsiębiorców?

Paulina Karolak
Ekspert RODO/ IOD
www.kancelariarodo.com

Polska ustawa o ochronie danych osobowych funkcjonuje od 20 lat i gwarantuje każdej osobie, której dane są przetwarzane poszanowanie prawa do jej prywatności i ochrony jej danych. RODO w swych elementarnych założeniach nie jest rewolucyjne.

Najnowsze rozporządzenie o ochronie danych osobowych, które wchodzi w życie z dniem 25.05.2018 dotyczy każdego podmiotu, który przetwarza dane osobowe. Przypomnijmy, że danymi osobowymi są informację, dzięki którym istnieje możliwość namierzenia danej osoby bez nadmiernego czasu, kosztu i działań. Należy przez to rozumieć, że w dniu 25.05.2018 każdy podmiot powinien stosować się do rozporządzenia, a nie dopiero przygotowywać firmę. Podstawową różnicą między polską Ustawą z 1997 r. a rozporządzeniem z 2016 r. jest wprowadzenie faktycznych zabezpieczeń, które znajdą zastosowanie w przedsiębiorstwie fizycznie, a nie tylko w dokumentacji.

Słuchając przedsiębiorców nie dowierzamy ich niewiedzy i agresji w stosunku do zmian, które mają nas chronić, a dokładnie nasze dane osobowe. Najczęściej słyszę :

„Jakby coś takiego jak  RODO istniało, moja księgowa by o tym wiedziała” ,

„Jak przyjdzie kontrola, zamknę salon, udam że obsługuje tylko koleżanki”

„Mnie RODO nie dotyczy, jestem jednoosobową działalnością gospodarczą” itp.

Zatem co jest mitem, a co faktem  o RODO ?

MIT I:
RODO wchodzi w życie dopiero w maju 2018 r., a nowej ustawy o ochronie danych osobowych nie ma, więc mam dużo czasu na przygotowanie się do zmian.
1. RODO już weszło w życie!!!!

MIT II:
Ja nie przetwarzam żadnych danych osobowych, po co mi RODO?

WYJAŚNIENIE:

1. Jeżeli zatrudniasz pracowników, to już przetwarzasz dane osobowe.

2. Jeżeli prowadzisz jednoosobową działalność gospodarczą, zastanów się, z jakimi danymi osobowymi osób fizycznych (zidentyfikowanych lub możliwych do zidentyfikowania) masz do czynienia? Wysyłasz newsletter, na stronie internetowej umieściłeś formularz kontaktowy, zawierasz umowy o dzieło? Powinieneś rozpocząć wdrożenie RODO w swojej firmie.

MIT III:

Do tej pory nie dostałem żadnej kary, to czemu teraz miałbym dostać. Zresztą większość osób nie zastosuje się do tych przepisów?

WYJAŚNIENIE:

RODO wprowadza szereg możliwości „dyscyplinowania” takich przedsiębiorców. Oprócz kar finansowych możliwe będzie skierowanie powództwa cywilnego. Poza tym świadomość osób, których dane są przetwarzane jest coraz większa. Nie warto liczyć na łut szczęścia, tylko dobrze przygotować firmę do RODO.

MIT IV:

Ja już mam zgłoszenie do GIODO, więc jestem przygotowany.

WYJAŚNIENIE:

GIODO „znika” od maja 2018 r. Pojawi się nowy organ nadzorczy Prezes Urzędu Ochrony Danych Osobowych. Na dzień dzisiejszy zgłoszenie do GIODO jest właściwie najmniej ważne..

MIT V:

Co to za przepisy, gdzie straszą mnie 20 mln euro kary, jeżeli ja nie zarabiam nawet promila z tej kwoty.

WYJAŚNIENIE:

Najwyższa przewidziana w RODO kara finansowa to faktycznie do 20 mln euro lub do 4 % obrotu przedsiębiorstwa z roku poprzedniego. Takich kar powinni się głównie bać „najwięksi” w branży, czyli Google czy Facebook. W RODO wyraźnie się wskazuje, że organ nadzorczy (czyli wkrótce PUODO) ma zapewnić, żeby kary pieniężne były „w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające”. Każdy przypadek będzie rozpatrywany indywidualnie.
MIT VI:
Nie potrzebny nam inspektor RODO mamy Administratora Danych Osobowych!

Wyjaśnienie:
Instytucje Państwowe mają obowiązek powołać z zewnątrz lub zatrudnić Inspektora RODO np. szkoły,przedszkola publiczne, wodociągi, sądy itp. Natomiast przedsiębiorca może skorzystać z dowolnej firmy zewnętrznej jak np. kancelaria prawna ,która ma uprawnienia i zabezpieczy dane oraz przeszkoli personel lub może zrobić to sam, przy dużej ilości danych może stworzyć stanowisko IOD  .

Kim jest IOD (Inspektor Ochrony Danych )?

Unijne przepisy wskazują, iż inspektor ochrony danych osobowych musi mieć zagwarantowaną niezależność i podlegać najwyższemu kierownictwu tak, aby mógł bezpośrednio skontaktować się z osobami decyzyjnymi w sprawie przetwarzania danych osobowych a także mieć dostęp do wszystkich informacji, które związane są z przetwarzaniem danych osobowych w organizacji. Nie może być on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Niezależność inspektora ma zapewniać również zakaz wydawania mu instrukcji, co do sposobu wykonywania jego obowiązków (niedopuszczalne będzie zatem np. zlecenie inspektorowi, przez zarząd administratora, przygotowania raportu z audytu ochrony danych o określonej z góry treści). Ta gwarancja niezależności inspektora ochrony danych jest niezbędna dla zapewnienia mu możliwości wykonywania zadań.

MIT VIII

Mogę mieć telefon służbowy i prywatny w jednym, moi klienci to moi znajomi. A tak w ogóle mam telefon na dwie karty sim .

Wyjaśnienie :

Telefon służbowy to jedno i musi być zabezpieczony pod kątem wycieku danych .Telefon prywatny powinien być osobnym telefonem. Telefon na dwie karty sim nie jest żadnym rozwiązaniem. Są już na rynku specjalne aplikacje zabezpieczające utratę danych w przypadku kradzieży, włamania na telefon  zabezpieczające pod kątem RODO.

MIT IX

Imię i nr telefonu to nie dana osobowa,tak samo imię i adres email .

Wyjaśnienie :

Dwie dane dodane do siebie jeśli pozwolą zidentyfikować daną osobę są już daną osobową ,którą należy chronić. Numer telefonu jest daną wrażliwą.

Dla przykładu :

Jeśli napiszemy Jan z Bydgoszczy nie ustalimy kto to .

Jeśli napiszemy Jan tel 123456789 to jest już dana osobowa.

Jeśli podamy Piotr i email misiaczek27@interia.pl to nie ustalimy kto to .

Jeśli podamy Paulina paulina.karolak@kancelariarodo.com  w ten czas ustalimy, że chodzi o mnie i mamy dane osobowe do ochrony. Czyli adres poczty elektronicznej może być też daną osobową.

Zatem rada na dziś to zebranie najważniejszych osób w firmie odpowiedzialnych za przetwarzanie danych  i zastanowienie się nad zbiorami danych ,celem przetwarzania i ryzykami ,które mogą występować w firmie . Powinniśmy  stworzyć cykl prawidłowego wdrożenia  RODO w firmie, nad którym warto dobrze się zastanowić gdyż wdrożenie RODO w firmie jest indywidualne, schematy nie zadziałają ale mogą zaszkodzić.

10 dobrych kroków, które mogę doradzić to:
1.  Inwentaryzacja obecnych zbiorów danych
2. Rozmowa z pracownikami
3. Stworzenie analizy ryzyka (najlepiej burza mózgów)
4. Wprowadzić odpowiednie, indywidualne zabezpieczenia
5. Stworzyć dokumentację
6. Przemyśleć (jeżeli firmę stać) nad stworzeniem stanowiska IOD
7. Zapoznać się i wyszkolić zespół z prawami podmiotów
8. Systematyczne (bardzo ważne) cykliczne szkolenia podwładnych
9. Lista Kontrolna
10. Współpraca z firmami zewnętrznymi .

Pozostawiam Państwa z pytaniem, czy to ewolucja obecnych z nami już od 1997 roku  przepisów czy też rewolucja, która pogrąży przedsiębiorców i nabije kabony oszustów?

Źródła :kancelariasośnicka, 4itsecurity , adwokatlewandowska, kancelaria RODO


Podobne wpisy

Powiązane treści