RODO

Wprowadzenie


25 maja 2018 r wchodzą w życie nowe przepisy unijne dotyczące przetwarzania i swobodnego przepływu danych osobowych. Dokumentem dekretującym zmiany jest ogólne rozporządzenie o ochronie danych osobowych – w skrócie RODO, znane też jako GDPR (General Data Protection Regulation). Rozporządzenie zobowiązuje wszystkie państwa członkowskie UE do wprowadzenia jednolitych zasad w zakresie ochrony danych swoich obywateli.

Czym jest RODO


Ogólne rozporządzenie o ochronie danych (GDPR, RODO) jest nowym rozporządzeniem unijnym, zawierającym przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych które nakłada jednolite zasady ochrony danych osobowych na wszystkie państwa członkowskie UE. Ministerstwo Cyfryzacji  zadeklarowało, że do końca 2016 r. przygotuje do szerokiej konsultacji dokument kierunkowy w zakresie zmian (analiza pod kątem zgodności z przepisami rozporządzenia nawet kilkuset aktów prawnych), a przed datą zastosowania RODO zainicjuje proces legislacyjny mający na celu uchwalenie całkowicie nowej ustawy o ochronie danych osobowych.

Najważniejsze zmiany jakie niesie ze sobą wprowadzenie RODO


  • Jednolite zasady w całej Unii Europejskiej. Dotychczas w każdym z państw członkowskich UE obowiązywały nieco różne zasady w zakresie ochrony danych osobowych. Rodziło to trudności zarówno po stronie osób, których dane dotyczyły, jak i po stronie przedsiębiorców działających w kilku państwach, którzy każdorazowo musi dostosowywać swoje polityki do reguł obowiązujących w danym kraju. Od 2018 roku we wszystkich państwach UE będą obowiązywać jednakowe zasady dotyczące ochrony danych osobowych. Będą musiały się do nich dostosować zarówno instytucje publiczne, jak i przedsiębiorcy europejscy, a także przedsiębiorcy spoza Europy, którzy chcieliby działać na rynku europejskim, np. świadcząc obywatelom UE usługi przez internet.
  • Nowe obowiązki informacyjne. Informacje o tym, jakie dane i w jakim celu są zbierane, kto jest ich administratorem, jakim podmiotom mogą zostać udostępnione, oraz o prawach przysługujących osobom, których dane dotyczą, mają być przekazywane w zwięzłej, przejrzystej i łatwo dostępnej formie, z użyciem prostego i zrozumiałego języka – tak by osoba, która udostępnia swoje dane, wiedziała, na co wyraża zgodę. Dodatkowo osoby, które przekazują swoje dane, będą musiały być poinformowane o wykorzystywaniu ich danych w procesie automatycznego podejmowania decyzji, w tym profilowania.
  • Zmiana Administratora Bezpieczeństwa Informacji na Inspektora Ochrony Danych i analiza konieczności jego powołania. Zwiększenie obowiązków i ścisła współpraca z organem nadzorczym, zdefiniowanie nowych zadań w zakresie informowania czy dokumentowania oraz audytowania zagadnień dotyczących ochrony danych osobowych.
  • Ograniczenie profilowania. Profilowanie będzie dopuszczalne, jeśli administrator danych wykaże, że ma podstawę prawną do takiego działania (może to być niezbędne do realizacji umowy, wynikać z przepisów prawa lub można bazować na zgodzie osoby, której dane dotyczą). Osoba, której dane dotyczą, będzie mogła nie zgodzić się na wykorzystywanie jej danych do profilowania, np. gdy związane jest ono z marketingiem bezpośrednim. Zanim zostanie udzielona zgoda na przetwarzanie danych osobowych lub zawarta umowa, której realizacja wymaga profilowania, przedsiębiorca powinien przekazać osobie, której dane dotyczą, informacje o tym, co będzie się działo z jej danymi i jakie mogą być konsekwencje takiego procesu.
  • Prawo do bycia zapomnianym. Nowe rozporządzenie reguluje kwestię prawa do bycia zapomnianym. Osoba, której dane dotyczą, będzie mogła żądać od administratora danych ich usunięcia, jeżeli dane te nie są już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane, jeżeli osoba, której dane dotyczą, cofnęła zgodę lub jeżeli wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących, lub jeżeli przetwarzanie jej danych osobowych nie jest z innego powodu zgodne z rozporządzeniem.
  • Surowe kary. Aby wymusić przestrzeganie przepisów, rzecznicy ochrony danych osobowych będą mogli nakładać surowe kary na podmioty, które dopuszczają się naruszeń. Kary administracyjne mogą wynieść do 20 000 000 euro lub – w przypadku przedsiębiorców – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Nowe przepisy to także nowe obowiązki:


  • Privacy by Design – prywatność w fazie projektowania
  • Privacy by Default – prywatność jako opcja domyślna
  • Analiza ryzyka
  • Rejestrowanie czynności przetwarzania
  • Współpraca z organem nadzorczym
  • Odpowiednie zabezpieczenie danych
  • Zgłaszanie naruszeń organowi nadzorczemu
  • Zawiadamianie podmiotów danych o naruszeniach
  • Ocena skutków dla ochrony danych
  • Uprzednie konsultacje

Czego nie będzie:


  • Sformalizowanej dokumentacji
  • Zgłaszania zbiorów
  • Rejestru zbiorów ABI
  • Sztywnych wymogów w zakresie zabezpieczenia danych – koniec ze zmianą haseł co 30 dni.

Oferta szkoleń:


Wprowadzenie nowych przepisów generuje wiele pytań i wątpliwości. Starając się sprostać zapotrzebowaniom Akademia ICM prowadzi cykl szkoleń poświęconych RODO. Serdecznie zapraszamy do zapoznania się z naszą ofertą szkoleniową dostępną poniżej:

Szkolenie regionalne dla województwa zachodniopomorskiego: Podstawy przetwarzania danych osobowych zgodnie z RODO

  • 15 grudnia 2017
  • koszt: 350 zł

Dwudniowy certyfikowany kurs – Inspektor Ochrony Danych

  • 14-15 grudnia 2017
  • koszt 1300 zł

Dwudniowy certyfikowany kurs – Inspektor Ochrony Danych

  • 11-12 stycznia 2018
  • koszt 1100zł

Konferencje:


22 września i 8 grudnia odbyły się dwie konferencje poświęcone tematyce RODO. Materiały pokonferencyjne jak i szczegółowe informacje o wydarzeniach znajdują się poniżej:

Konferencja warszawska: Reforma ochrony danych osobowych (RODO/GDPR) – wyzwania dla organów państwa, sektora publicznego i przedsiębiorców

Konferencja regionalna dla województwa zachodniopomorskiego: Reforma ochrony danych osobowych (RODO/GDPR) – wyzwania dla organów państwa, sektora publicznego i przedsiębiorców