Zanim przejdziemy do opisu konkretnych przykładów pokazujących, jak możemy pomóc Państwu przygotować się do RODO, pragniemy odpowiedzieć na niektóre spośród najbardziej fundamentalnych i krytycznych pytań dotyczących rozporządzenia i co to może dla Państwa oznaczać.

Zrozumieć RODO

Zanim przejdziemy do opisu konkretnych przykładów pokazujących, jak możemy pomóc Państwu przygotować się do RODO, pragniemy odpowiedzieć na niektóre spośród najbardziej fundamentalnych i krytycznych pytań dotyczących rozporządzenia i co to może dla Państwa oznaczać.

Czym jest RODO?

Rozporządzenie o Ochronie Danych Osobowych to nowa regulacja w zakresie ochrony danych osobowych obowiązująca w całej Unii Europejskiej. Zapewnia poszczególnym osobom większą kontrolę nad ich danymi osobowymi, przejrzystość w zakresie wykorzystywania danych osobowych i wymaga wprowadzenia mechanizmów bezpieczeństwa i kontroli mających na celu zapewnienie ochrony danych osobowych.

Czy RODO dotyczy mojej organizacji?

RODO ma szersze zastosowanie niż mogłoby się wydawać na pierwszy rzut oka. Prawo nakłada nowe zasady na firmy, agencje administracji państwowej, organizacje non-profit oraz inne organizacje oferujące produkty i usługi mieszkańcom Unii Europejskiej (UE) lub gromadzące i analizujące dane dotyczące rezydentów UE – przy czym przepisy te mają zastosowanie niezależnie od miejsca prowadzenia przez nie działalność: dotyczy to firm prowadzących działalność na terenie Unii Europejskiej, firm, które oferują usługi na jej terenie lub monitorują zachowanie obywateli Unii.

W odróżnieniu od przepisów prawa w zakresie ochrony danych osobowych obowiązujących w innych systemach prawnych, RODO dotyczy wszystkich organizacji, bez względu na ich wielkość i branżę, w której prowadzą działalność. UE jest często postrzegana na całym świecie jako wzór do naśladowania w zakresie ochrony danych osobowych, stąd oczekujemy również, że koncepcje zastosowane w RODO zostaną z czasem wprowadzone w innych częściach świata. 

Kiedy RODO wchodzi w życie?

RODO wchodzi w życie z dniem 25 maja 2018 roku. Zastąpi dotychczasową Dyrektywę o Ochronie Danych Osobowych (Dyrektywa 95/46/EC), obowiązującą od 1995 roku. W rzeczywistości RODO stało się prawem w UE w kwietniu 2016 roku, ale ze względu na znaczące zmiany jakie niektóre organizacje będą musiały wprowadzić w swojej działalności celem zapewnienia zgodności z rozporządzeniem, zastosowano dwuletni okres przejściowy. 

Jakie podstawowe koncepcje zawiera RODO?

RODO opiera się na sześciu zasadach:

  • Wymóg zapewnienia przejrzystości przetwarzania i wykorzystywania danych osobowych.
  • Ograniczenie przetwarzania danych osobowych do określonych, zgodnych z prawem celów.
  • Ograniczenie gromadzenia i przechowywania danych osobowych do celów zgodnych z przeznaczeniem.
  • Umożliwienie osobom fizycznym prostowania lub wnioskowania o usunięcie ich danych osobowych.
  • Ograniczenie przechowywania danych umożliwiających identyfikację danej osoby do okresu, przez który jest to niezbędne do celu zgodnego z przeznaczeniem.
  • Zapewnienie ochrony danych osobowych przy zastosowaniu odpowiednich praktyk w zakresie bezpieczeństwa.

Jakie są przykłady wymagań RODO dotyczących tych zasad?

  • Zgodnie z RODO osoby fizyczne mają prawo wiedzieć, czy dana organizacja przetwarza ich dane osobowe oraz poznać cele tego przetwarzania. Osoba fizyczna ma prawo do wnioskowania o usunięcie lub sprostowanie swoich danych, wnioskowania o zaprzestanie ich przetwarzania, wyrażenia sprzeciwu wobec prowadzenia wobec niej bezpośrednich działań marketingowych oraz cofnięcia zgody na określone sposoby wykorzystywania swoich danych osobowych. Prawo do przenoszenia danych zapewnia osobom fizycznym prawo do przeniesienia ich danych w inne miejsca oraz do otrzymania pomocy w tym zakresie.
  • RODO nakłada na organizacje wymóg ochrony danych osobowych w zależności od poziomu ich wrażliwości. W przypadku naruszenia ochrony danych osobowych podmioty przetwarzające dane są generalnie zobowiązane powiadomić stosowne organy nadzorcze w ciągu 72 godzin. Ponadto, jeżeli naruszenie danych osobowych może powodować duże ryzyko naruszenia praw i wolności osób fizycznych, wówczas organizacje będą również musiały, bez zbędnej zwłoki, powiadomić o tym fakcie osoby, których dane zostały naruszone.
  • Musi istnieć podstawa prawna przetwarzania danych osobowych. Każda zgoda na przetwarzanie danych osobowych musi zostać „udzielona z własnej woli, w konkretnym celu, w sposób świadomy i jednoznaczny.”
  • RODO przewiduje szczególne wymagania w zakresie uzyskiwania zgody mające na celu zapewnienie ochrony dzieci.
  • Organizacje są zobowiązane dokonywać oceny skutków dla ochrony danych osobowych celem przewidywania skutków realizacji określonych projektów z punktu widzenia zapewnienia ochrony danych osobowych i jeżeli zajdzie taka potrzeba, zastosowania środków zaradczych. Musi być prowadzona ewidencja działań w zakresie przetwarzania danych, udzielonych zgód na przetwarzanie danych oraz zapewnienia zgodności z RODO.
  • Zapewnienie zgodności z RODO nie jest działaniem jednorazowym tylko stale realizowanym procesem. Brak zgodności z RODO może doprowadzić do nałożenia znaczących kar. Aby zapewnić zgodność z RODO zachęca się organizacje do wprowadzania kultury ochrony danych osobowych celem ochrony interesów osób fizycznych w zakresie ochrony ich danych osobowych.

Aby uzyskać bardziej szczegółowe informacje na temat RODO oraz lepiej zrozumieć takie terminy jak pseudonimizacja, przetwarzanie, administratorzy, przetwarzający, osoby, których dane dotyczą i dane osobowe, należy zajrzeć na stronę Microsoft.com/GDPR. Jesteśmy gotowi pomóc Państwu spełnić wymagania RODO oraz wspierać proces zapewnienia ochrony danych osobowych osób fizycznych