Wszystkie podmioty przetwarzające dane osobowe od 25 maja 2018 r. będą zobowiązane do stosowania RODO. Czym jest RODO? Kto powinien wdrożyć przepisy RODO? Jakie czynności podlegają RODO? Jak zabezpieczać dane?

RODO

Czym jest RODO?

RODO to nazwa od rozporządzenia (GDPR – General Data Protection Regulation) – Rozporządzenie o Ochronie Danych Osobowych. Rozporządzenie Zostało przyjęte przez Parlament Unii Europejskiej i Radę Unii Europejskiej w kwietniu 2016 r. Celem regulacji jest zapewnienie swobodnego przepływu danych osobowych pomiędzy państwami członkowskimi, ale także wprowadzenie zasad, zgodnie z którymi przetwarzanie danych osobowych będzie ujednolicone na terenie całej Unii Europejskiej.

RODO czyli rozporządzenie o ochronie danych osobowych różni się tym od Dyrektywy 95/46/WE, że nie będzie implementowane, inaczej mówiąc nie będzie trzeba przepisów RODO przyjąć w polskiej ustawie, jak to się dzieje w przypadku Dyrektywy. RODO będzie bezpośrednio obowiązywać, będzie bezpośrednio stosowane i bezpośrednio skuteczne. To oznaczam, że z bardzo niewielkimi wyjątkami, całe prawo ochrony danych osobowych znajdziemy bezpośrednio w Rozrządzeniu. Przepisy unijnego rozporządzenia zastąpią dotychczasową polską ustawę z 97 roku o ochronie danych osobowych.

Kto podlega przepisom RODO? 

Zgodnie z art. 3 RODO podlega każdy przedsiębiorca, który prowadzi działalność na terenie UE, może to być działalność w każdej formie prawnej: spółka, jdg, czy nawet oddział w UE przedsiębiorcy mającego siedzibę w kraju trzecim.

Nie ma znaczenia narodowość osoby, której dane są przetwarzane jak i nie ma również znaczenia gdzie te dane są przetwarzane (gdzie znajdują się serwery).

Rozporządzenie nie ma zastosowania do działalności osobistej lub domowej. To oznacza, że osoba fizyczna która prowadzi działalność gospodarczą jest zobowiązana stosować RODO do swoich klientów czy też do pracowników. Natomiast rozporządzenie nie będzie miało zastosowania do danych używanych w celach prywatnych np. dane adresowe znajomych którym wysyłamy kartki świąteczne.

Jakie czynności podlegają RODO?

Rozporządzenie ma zastosowanie do przetwarzania danych osobowych, są to czynności:

  • zbierania danych,
  • przechowywanie danych,
  • usuwanie danych,
  • opracowywanie danych,
  • udostępnianie danych.

RODO obejmuje wszelkie czynności, które mają za przedmiot dane osobowe – czyli nie tylko np. usługę archiwizowania dokumentów ale wszelkie usługi, w których dochodzi do zbierania danych. Przepisy rozporządzenie powinni więc stosować przedsiębiorcy, którzy przetwarzają dane osobowe, przy okazji świadczenia innych usług, np. biura rachunkowe. 

Jak zabezpieczyć dane?

W rozporządzeniu nie wskazano konkretnych środków zabezpieczenia danych osobowych, jakie mają zostać wdrożone przez administratora lub podmiot przetwarzający. Zamiast tego wprowadza tzw. podejście oparte na ryzyku.

Każdy podmiot przetwarzający dane powinien samodzielnie określić, jakie konkretne środki zabezpieczenia danych należy wdrożyć. Dobór tych środków zabezpieczenia powinien być oparty o:

  • charakter, zakres, kontekst i cele przetwarzania,
  • ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
  • stan wiedzy technicznej,
  • koszt wdrożenia.

Każdy podmiot przetwarzający dane osobowe powinien więc:

  • ustalić, jakie dane osobowe, w jakim charakterze, po co i w jakim środowisku przetwarza,
  • określić ryzyko naruszenia praw lub wolności osób fizycznych związane z takim przetwarzaniem,
  • dobrać odpowiednie środki zabezpieczenia danych, uwzględniając istniejące możliwości techniczne i własne możliwości finansowe.

Rozporządzenie nie nakazuje stosowania żadnych konkretnych środków zabezpieczenia danych. Rozporządzenie wskazuje tylko przykładowe środki techniczne i organizacyjne, które mogą służyć osiągnięciu celu tj. zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku. Są nimi w szczególności:

  • szyfrowanie danych,
  • zdolność do ciągłego zapewnienia poufności, integralność, dostępność i odporność systemów i usług przetwarzania,
  • zdolność do szybkiego przywrócenia danych osobowych i dostęp do nich w razie incydentu fizycznego lub technicznego.
  • regularne testowanie, mierzenie i ocenienia skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Podejście oparte na ryzyku zakłada, że każdy podmiot przetwarzający dane w sposób świadomy podejmie decyzję o stosowanych środkach zabezpieczających. Ma to tym większe znaczenie, że podmiot ten ponosi odpowiedzialność w przypadku naruszenia bezpieczeństwa danych osobowych. Dlatego jeśli przetwarzasz dane osobowe, już dziś przygotuj się do nowych przepisów, to właśnie ADO, czyli Administrator Danych Osobowych jest zobowiązany do przestrzegania zasad zawartych w przepisach m.in. wdrożenia procedur zabezpieczenia danych osobowych.

 

Doradca Podatkowy (nr wpisu 13142). Posiada kilkunastoletnie doświadczenie w zakresie księgowo-podatkowym. Współpracuje z firmą inFakt w ramach Ogólnopolskiego Biura Rachunkowego.