Indywidualne podejście
Każda firma jest inna, dlatego do naszych klientów podchodzimy indywidualnie. Gdy poznamy wszelkie szczegóły przetwarzania danych przez firmę możemy przedstawić dedykowaną wycenę wdrożenia RODO.
Mamy 8 lat doświadczenia
Nasz zespół specjalistów od roku 2010 tworzy regulaminy i dokumentację pod GIODO dla firm z różnych branż.
Zabezpiecz się przed karami
Prawidłowa dokumentacja przetwarzania danych osobowych i wdrożenie RODO pozwoli Ci zmniejszyć ryzyko nałożenia wysokich kar finansowych.
Zapytaj prawnika od danych osobowych
Kim jesteśmy
Nasza firma od roku 2010 pomaga firmom i sklepom internetowym w kwestiach ochrony danych osobowych i prawnych. Mamy ogromne doświadczenie i możemy pochwalić się bogatą bazą referencji. Zgłosiliśmy setki firm do GIODO i jesteśmy na bieżąco w kwestiach prawnych związanych z ochroną danych osobowych.
Jesteśmy na bieżąco ze zmianami w prawie, aby zapewnić profesjonalną pomoc prawną dla naszych klientów przy każdej zmianie tak jak zbliżającym się RODO. Cenimy profesjonalizm również pod stronie klienta, z którym blisko współpracujemy przy tworzeniu wymaganych dokumentów i rejestracji w GIODO.
Jeśli potrzebujesz dodatkowych informacji, napisz lub zadzwoń.
Nasi partnerzy
Opinie o nas
Rzetelnie, szybko, profesjonalnie – bardzo dobry kontakt. Polecamy wszystkim, którzy poszukują pomocy przy tworzeniu regulaminu oraz polityki prywatności dla swojego sklepu internetowego.
Pomimo tego, że mój sklep w zakresie regulaminu i polityki prywatności odbiega zupełnie od większości sklepów internetowych, specjaliści z Prokonsumencki.pl (OsoboweDane.pl) poradzili sobie z tematem wyśmienicie. Sprawdzili mechanizmy sklepu i przygotowali profesjonalne dokumenty, które nie powstały metodą kopiuj-wklej, tylko zostały specjalnie przygotowane dla mojego sklepu. Służyli też celną poradą i na każdym kroku było widać, że pozytywne opinie klientów to nie jest żaden przypadek. Cenię sobie zwłaszcza monitoring regulaminu oraz to, że firma czuwa nad tym, żeby mój sklep był zgodny z obowiązującym prawem. Polecam Prokonsumencki.pl (OsoboweDane.pl)!
Zaufali nam
Nasi specjaliści i prawnicy są cytowani w mediach
Wyślij do nas niezobowiązująco zapytanie, czy Twoja firma musi wdrożyć RODO i jak powinna to zrobić
Szybki kontakt z naszym specjalistą od RODO:
61 847 55 18
kontakt@osobowedane.pl
Przepisy te wprowadzają nowe obowiązki, odpowiedzialności, jak i sankcje finansowe za nieprzestrzegania zasad aktu. Zmiany te nie dotkną tylko przedsiębiorców, którzy dane osobowe przetwarzają, ale także konsumentów, których dane powinny być teraz lepiej chronione. Kogo będzie obowiązywać owo rozporządzenie i w jakim stopniu?
Co to jest RODO?
RODO, czyli Rozporządzenie o Ochronie Danych Osobowych jak już wcześniej wspominaliśmy jest unijnym rozporządzeniem, które w sposób kompleksowy regulować ma kwestię ochrony danych osobowych na terenie Unii Europejskiej. Głównym jego założeniem jest, aby do minimum ograniczyć różnicę w przepisach między wszystkimi państwami należącymi do Unii Europejskiej. Zasadniczą zmianą, które odmienia podejście do kwestii danych osobowych jest wymóg wobec przedsiębiorstw, które dane takie przetwarzają, by na każdym jego etapie aktywnie zabiegać o ochronę ich prywatności.
Akt ten wprowadza sporo obowiązków, które ciążyć będą na podmiotach przetwarzających dane osobowe oraz na ich administratorach. Między innymi chodzi o opracowanie oraz prowadzenie dokumentacji przetwarzania danych. Mowa tu o rejestrach czynności, czy rejestrach naruszeń, które także muszą być stale monitorowane, by w razie problemu można było fakt taki zgłosić do organu nadzorującego.
RODO wymaga także tego, by nie tylko go przestrzegać, ale ponadto potrafić przedstawić to w postaci prowadzonej dokumentacji oraz ewidencji. To wszystko, by na wypadek, gdy zgłosi się do nas organ nadzorczy móc wykazać, że zachodzi zgodność między wytycznymi z RODO, a rzeczywistymi działaniami w podmiocie, który przetwarza dane.
Co ciekawe RODO pomimo dużych zmian, które wprowadza dosyć „miękko” podchodzi do regulacji wytycznych organizacyjnych, czy technologicznych zabezpieczenia danych. Powoduje, że podmioty same zdecydują w jaki sposób działać, by zapewnić odpowiednie bezpieczeństwo. Na pewno z czasem pojawią się jakieś wskazówki od organów nadzorujących oraz pewne praktyki rynkowe na podstawie których można będzie dopasować swoje działania w tej kwestii.
Kary za nieprzestrzeganie przepisów
Na pewno bardzo istotną kwestią z punktu widzenia np. przedsiębiorcy, który przetwarza dane osobowe są kary. Wszystkie takie podmioty w sytuacji, kiedy nieprzestrzegane będą obowiązki, które wynikają z RODO mogą zostać ukarane. Do tej pory nawet w sytuacjach, kiedy jakiś podmiot rażąco nie dopełniał swoich powinności związanymi z ochroną danych osobowych, mógł czuć się bezkarnie, bo rzadko wyciągane były jakieś większe konsekwencję. Od maja 2018 roku ma się to diametralnie zmienić. Wysokość kar może być dotkliwa – od 2% do 4% rocznego obrotu firmy. Oczywiście wszystko zależy od wielkości przewinienia podmiotu, jak i od wielkości samego podmiotu. Należy więc póki co te ogromne sumy, które padają w większości publikacji traktować jako pewnego rodzaju „straszak”
Kogo dotyczy RODO?
Duża liczba przedsiębiorców nie zdaje sobie sprawy, że owo rozporządzenie także i na nich sprowadza wiele nowych obowiązków i wymagań. Wśród prowadzących małe i średnie firmy panuje przeświadczenie, że RODO dotyczy tylko wielkich spółek, czy banków, które w swych bazach danych posiadają ogromne ilości przetwarzanych danych osobowych. Jest to błędne myślenie, gdyż tak naprawdę wielkość przedsiębiorstwa jest bez znaczenia. Nie liczy się także rodzaj usług, które świadczy podmiot. Jedynym czynnikiem warunkującym, czy podlega się obowiązkom, które nakłada RODO jest fakt, czy przetwarzamy dane osobowe. Czy to będzie jednoosobowa działalność, średniej wielkości firma, czy ogromna korporacja – jeśli przetwarzane są w nich dane osobowe, wówczas jednakowo podlegają one zasadom, które wprowadza RODO.
Jeżeli więc Twoje przedsiębiorstwo zbiera, utrwala, organizuje, porządkuje, przechowuje, etc. dane osobowe w sposób zautomatyzowany, bądź nie, w systemie informatycznym lub poza nim – warto zainteresować się zmianami, które wprowadza RODO, gdyż z pewnością dotyczy także Ciebie.
Wszak RODO dotyczy KAŻDEGO podmiotu, który przetwarza dane osobowe w celach innych niż osobiste, czy domowe. Co więcej, wcale nie trzeba posiadać działalności gospodarczej, by pod nie podlegać. Nawet osoby prowadzące bloga, które wysyłają newsletter do swoich czytelników muszą stosować się do zasad rozporządzenia.
Nieco bardziej szczegółowo o RODO
Jest to akt prawny w randze rozporządzenia komisji i rady UE, wchodzi do prawa polskiego bezpośrednio, czyli dane Państwo członkowskie nie musi wprowadzać go przez własny akt, jak miało to miejsce np. przy dyrektywie z 1995 r. i stworzonej Ustawie o ochronie danych osobowych z 1997 r.
RODO wymusza jednak opracowanie ustawy, która będzie doprecyzowywać część jego założeń, jak np. certyfikacja podmiotów pod kątem legalnego przetwarzania danych, czy też ustalenia organu nadzorczego, którym obecnie jest GIODO, ale wszystko wskazuje, że po 25 maja będzie to najprawdopodobniej Urząd Ochrony Danych. Ustawa jest obecnie na etapie rozpatrywania poprawek, musi jednak zostać uchwalona do 25 maja.
Razem z rozpoczęciem obowiązywania RODO (bo w życie już weszło – 25 maja 2016 r.) zacznie obowiązywać również tzw. ustawa czyszcząca, która zmieni kształt przepisów w ok. 140 innych ustawach i aktach legalizacyjnych, jak np. ustawy o Sądzie Najwyższym i sądach powszechnych, kodeks pracy, ustawy o PESEL czy dowodzie osobistym.
Co zmieni RODO?
Dokumentację opracowaną zgodnie z obecnymi przepisami nadal będzie można stosować (będzie to wręcz wskazane). Należy uzupełnić ją jednak następującymi elementami:
- Analiza ryzyka – RODO zakłada tzw. podejście oparte na ryzyku. Obecnie mamy w miarę jasny wykaz jakie środki bezpieczeństwa powinien stosować Administrator Danych Osobowych, wynikający z art. 39a Ustawy o ochronie danych osobowych, który brzmi następująco:
„Art. 39a. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych oraz bezpieczeństwa przetwarzanych danych.”
Mimo zapisu „uwzględnienia zapewnienia ochrony danych odpowiedniej do zagrożeń” nie było to zmotywowane jakimś rygorem, czy konkretnym rozwiązaniem, co oznacza że mało który przedsiębiorca wykraczał poza środki zabezpieczeń z rozporządzenia.
Założeniem RODO jest to, aby Administrator sam wybrał środki zabezpieczeń, jakie będą w jego przypadku właściwe. Aby to zrobić musi przeprowadzić tzw. analizę ryzyka przetwarzania danych, w której samodzielnie określa czy np. należy szyfrować dyski komputerów przenośnych (bo np. pracownicy zabierają je do domu, więc mogą zostać ukradzione bądź zagubione) lub czy musi mieć system alarmowy, bo biuro znajduje się w odludnym miejscu bez ochrony. W pakiecie wdrożeniowym, który tworzy analizę ryzyka administrator będzie musiał przeprowadzić samodzielnie (ponieważ jest ona indywidualną kwestią każdego przedsiębiorcy).
Na podstawie analizy ryzyka należy przygotować tzw.
- ocenę skutków dla przetwarzania danych, która stanowi podsumowanie analizy ryzyka. Jeśli w jej wyniku okaże się, że nie jesteśmy w stanie zniwelować jakiegoś zagrożenia przy przetwarzaniu danych (np. ograniczenia dostępu osób nieuprawnionych, chociaż częściej będzie to dotyczyć spraw systemowych i informatycznych przy projektowaniu rozbudowanych systemów), to należy skonsultować się z GIODO (czy raczej urzędem ochrony danych) i zapytać, co mamy wobec tego zrobić, a urząd w teorii powie nam czy możemy przetwarzać dane, czy musimy coś dodatkowo zastosować.
Brak analizy ryzyka i oceny skutków (kiedy będzie to wymagane) może wiązać się z nałożeniem kary administracyjnej.
- obecną dokumentację będziemy musieli uzupełnić również o rejestr czynności przetwarzania. Co prawda RODO określa, że taki rejestr nie musi być prowadzony jeśli firma zatrudnia mniej niż 250 pracowników, jednak dodaje zaraz po tym, że rejestr musi być, jeśli przetwarzanie danych nie ma charakteru sporadycznego (nie pytajcie jak rozumieć pojęcie sporadyczności, bo RODO nie tłumaczy, a nikt nie chce się do tego odnieść) lub przetwarzanie danych wiąże się z ryzykiem naruszenia praw i wolności osób, których dane dotyczą. Stosując analogię do obecnych przepisów i konieczności zapewnienia wysokiego poziomu bezpieczeństwa dla danych przetwarzanych przy pomocy środków teletransmisji (a więc również sieci Internet), przyjmujemy (bo znowu brak konkretnej opinii) że przetwarzanie danych osobowych w sklepach internetowych wiąże się z takim ryzykiem, należy więc prowadzić taki rejestr. Brak takiego rejestru może wiązać się z nałożeniem kary.
- rejestr incydentów i naruszeń w przetwarzaniu danych – przy wystąpieniu jakiegokolwiek incydentu (np. zgubieniu pendrive’a, włamaniu do biura, kradzieży sprzętu, ataku hakerskiego etc.), będzie trzeba zgłosić taki fakt do urzędu w ciągu 72 godzin, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (wtedy tylko wpisujemy to w wewnętrzny rejestr). W takim zgłoszeniu ADO określi kontekst naruszenia (czy np. był z jego winy) i czy podjęto odpowiednie kroki do zniwelowania wpływu na osoby, których dane dotyczą i środki zaradcze. Niezgłoszenie incydentu może wiązać się z nałożeniem kary.
- Jeśli wskazane powyżej naruszenie będzie wiązało się z naruszeniem praw lub wolności osoby, której dane dotyczą, wszystkie takie osoby należy poinformować o incydencie (chyba że np. ukradzionych danych nie da się odczytać, bo były zaszyfrowane, ADO zastosował środki eliminujące prawdopodobieństwo naruszenia praw lub wolności, lub powiadomienie wszystkich osób wiązałoby się z niewspółmiernie dużym wysiłkiem – wtedy wystarczy publiczny komunikat).
- Konieczne będzie również podpisanie nowych (lub aneksowanie starych) umów powierzenia danych osobowych. RODO dopuszcza jednak formę pisemną, w tym formę elektroniczną (dotychczas była to tylko forma pisemna). Brak stosowanych umów może być powodem nałożenia kary. Co ważne kierując się wyborem danego procesora (czyli firmy, której dane będą powierzane – np. hostingodawcy, biurze księgowemu, kurierowi) ADO będzie musiał zadbać o wybór takiej firmy, która zapewni należytą ochronę powierzonych jej danych. I jest to bezwzględny obowiązek ADO.
Wskazane powyżej dokumenty nie muszą być oczywiście jedynymi, które będzie należało wprowadzić lub zaktualizować ze względu na RODO, ale właściwie tylko potrzeba ich posiadania została jasno określona. Pamiętajmy że RODO wprowadza zasadę rozliczalności, która wymaga od ADO możliwości wykazania spełnienia danej przesłanki ochrony danych. Jeśli będzie więc np. szkolił pracowników z zasad prawidłowego przetwarzania danych, będzie musiał to jakoś udokumentować (np. lista obecności).
Co do obecnych wniosków zgłoszeniowych – wymóg zgłaszania zbiorów danych do rejestracji zniknie 25 maja 2018 r. do tego czasu obowiązuje jednak Art. 40 ustawy o ochronie danych, czyli konieczność dokonania zgłoszenia. Jeśli ktoś uważa, że nie ma potrzeby rejestrowania wniosków teraz skoro urząd ich nie rozpatrzy do 25 maja, to należy przypomnieć, iż jest to obowiązujący przepis prawa, a same wnioski mogą być rozpatrzone również po tej dacie. Należy założyć, że urząd jednak stosuje właściwą drogę administracyjną i wypełni swoje obowiązki.
Znika Administrator Bezpieczeństwa Informacji (ABI), a pojawia się Inspektor Ochrony Danych Osobowych (IODO)
ABI jest organem, którego powołanie było dobrowolne. Gdy się to zrobiło, zanikał wówczas obowiązek zgłaszania zbiorów danych osobowych do GIODO. RODO, jak wiadomo wprowadza zmiany, które powodują, że znika obowiązek zgłaszania zbiorów do GIODO, a ABI zastępowany jest przez Inspektora Ochrony Danych Osobowych, którego powołanie w niektórych przypadkach jest obligatoryjne. Jest to związane z tym, że w niektórych przypadkach ryzyko związane z przetwarzaniem danych jest na tyle duże, że administrator danych osobowych powinien mieć dodatkową pomoc w osobie IODO, która pomoże mu zabezpieczyć cały proces. Dotyczy to głównie organów publicznych oraz przedsiębiorstw, które przetwarzają bardzo dużą ilość danych osobowych lub, gdy na szczególna skalę przetwarzane są dane szczególnych kategorii, np. danych dotyczących naruszeń prawa.
Co bardzo istotne zwiększą się prawa osób, których dane przetwarzamy, a sama definicja danych osobowych zostanie poszerzona. Od teraz będzie to każda informacja na podstawie której można ustalić dane osoby. Czyli w poczet tych danych zaczną zaliczać się dodatkowo m.in. stan zdrowia, dane genetyczne, lokalizacja, adres IP, czy nawet pliki cookies.
RODO wymusza na podmiotach przetwarzających dane osobowe, aby te już w momencie pozyskiwania tych danych informowały osoby, których dane te dotyczą nie tylko o celach, w których je pozyskano, ale także o czasie w którym będą one przetwarzane, skąd posiadają te dane, o ile pozyskane one były od firm trzecich i czy zamierza w przeszłości dane te przekazać dalej i jeżeli tak to do jakich podmiotów.
Ale nie chodzi tylko o obowiązek informacyjny. Osoba, której dane przetwarzamy ma prawo usunąć swoje dane z naszej bazy, ale oprócz tego przysługuje jej prawo do przetransferowania swoich danych do innego podmiotu, wglądu w historie przetwarzania jej danych oraz prawo do tzw. bycia zapomnianym
Zmiany dotkną także zgód na przetwarzanie danych osobowych. Zgody te muszą stać się bardziej przejrzyste dla użytkowników. Niestety, ale do tej pory często można było spotkać się ze zgodami, których treść była niekonkretna i tak naprawdę nie do końca było jasnym na co się zgadzamy. Co więcej, często przetwarzający nasze dane pod jedno okienko podpinali kilka zgód (np. marketingowe i zgodę na wysłanie naszych danych do podmiotów trzecich). RODO tego całkowicie zakazuje. Zgody mają być skonstruowane w sposób jasny, przejrzysty i jednoznaczny.
Od wejścia RODO zgody wymagać będzie tak zwane profilowanie. Praktyka ta dotyczy wdrażania zautomatyzowanych działań marketingowych, które mają na celu ustalić profil klienta, by wyświetlały mu się konkretne reklamy. Do teraz działo się to bez zgody użytkownika, RODO powoduje, że musi on teraz wyrazić zgodę na takie działania.
Jak widać RODO niesie ze sobą sporo zmian na które każdy przetwarzający dane musi być gotowy już 25 maja 2018 roku. Dlatego nie warto zwlekać i czekać na ostatnią chwilę. Skontaktuj się z naszymi prawnikami i pomóż sobie przygotować swoje przedsiębiorstwo na RODO.