Rozporządzenie RODO – bezpieczeństwo danych osobowych

Ochrona Danych Osobowych zgodna z rozporządzeniem RODO


W dniu 4 maja 2016r. w Dzienniku Urzędowym Unii Europejskiej zostało opublikowane Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwanego w dalej Rozporządzeniem RODO. Niniejsze Rozporządzenie (ze względu na charakter tego typu dokumentów legislacyjnych) wiąże w całości i powinno być bezpośrednio stosowane we wszystkich państwach członkowskich od dnia 25 maja 2018r. Rozporządzenie to, jak sam tytuł wskazuje zawiera wymagania, których celem jest uregulowanie na poziomie prawodawstwa unijnego zagadnień związanych z bezpieczeństwem danych osobowych osób fizycznych. Na mocy tego rozporządzenia w naszym kraju opublikowana została w Dz.U. 2018 poz. 1000 Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, która wprowadziła zmiany do szeregu przepisów prawa w celu ich dostosowania do wymagań Rozporządzenia RODO (w tym między innymi do Kodeksu Pracy).


Wyżej przywołane przepisy prawa (Rozporządzenie RODO oraz Ustawa o ochronie danych osobowych z 10 maja 2018r. wprowadziły znaczne zmiany do obowiązujących wcześniej przepisów prawa (Ustawy z 29 sierpnia 1997 r. O Ochronie Danych Osobowych wraz z rozporządzeniami wykonawczymi). Od dnia opublikowania Rozporządzenia RODO (maj 2016r.) osoby, podmioty i wszelkiego typu organizacje przetwarzające dane osobowe miały ponad 2 lata na dostosowanie swoich wewnętrznych regulacji do nowych wymagań. Niestety ze względu na różnego rodzaju aspekty wewnętrzne i zewnętrzne (w tym fakt, że regulacje krajowe opublikowano dopiero 10 maja 2018r.) przedsiębiorstwa i organizacje albo nie zdecydowały się na wdrożenie tych wymagań albo zdecydowały się stosunkowo późno. Fakt niespełnienia wymagań prawnych w tym zakresie skutkować może niestety bardzo wysokimi karami. Wprawdzie nie należy obawiać się kar w wysokościach wynikających bezpośrednio z treści Rozporządzenia RODO ponieważ ich wymiar powinien być adekwatny do przewinienia a jego rozmiar jest uzależniony od strat jakie poniosły lub mogą ponieść osoby fizyczne w wyniku niezgodnego z prawem przetwarzania przez nas ich danych osobowych. Należy jednak uważać, bo kary mogą być bardzo dotkliwe o czym świadczyć mogą doniesienia medialne odnośnie pierwszych nałożonych kar w UE na przedsiębiorstwa i organizacje (np. publikacja na www.money.pl)


Aby uniknąć tego typu nieprzyjemnych sytuacji, których prawdopodobieństwo rośnie wraz ze wzrostem świadomości społeczeństwa w zakresie jego praw a w szczególności z praktycznie wykładniczym wzrostem roszczeniowości społeczeństwa, należy wdrożyć wymagania Rozporządzenia RODO oraz krajowych przepisów prawa w zakresie ochrony danych osobowych osób fizycznych. Ze względu na fakt, że dane osobowe osób fizycznych prowadzących działalność gospodarczą również podlegają pod niniejsze przepisy prawa praktycznie każde przedsiębiorstwo i organizacja prowadzące działalność statutową lub biznesową są zobowiązane do wdrożenia stosownych regulacji.

Należy dodatkowo wziąć pod uwagę, że wdrożenie regulacji RODO i przepisów krajowych musi zostać przeprowadzone w następujących przypadkach:

  • prowadzenia działalności przez przedsiębiorstwa i organizacje lub ich jednostki organizacyjne działające na terenie Unii i to niezależnie od tego czy przetwarzanie odbywa się na terenie Unii,

  • przetwarzania danych osobowych osób przebywających na terenie Unii:

    • niezależnie od tego czy przetwarzający dane prowadzi działalność na terenie Unii czy też poza nią (w tym nawet w przypadku, gdy nie ma na terenie Unii jednostek organizacyjnych),

    • niezależnie od tego czy oferowanie towarów i usług wymaga od tych osób zapłaty,

    • w zakresie monitorowania zachowania osób, jeśli do tego zachowania dochodzi na terenie Unii.

Zgodnie z definicją przetwarzania danych, która została przedstawiona w Rozporządzeniu RODO, przetwarzanie to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Przykładami takich operacji są:

  • zbieranie,
  • utrwalanie,
  • organizowanie,
  • porządkowanie,
  • przechowywanie,
  • adaptowanie lub modyfikowanie,
  • pobieranie,
  • przeglądanie,
  • wykorzystywanie,
  • ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie,
  • dopasowywanie lub łączenie,
  • ograniczanie,
  • usuwanie lub niszczenie;

Jak wynika z powyższego wykazu, już sam fakt, że przechowujemy dane osobowe lub je przeglądamy oznacza, że dokonujemy przetwarzania danych co z kolei wymaga od nas wprowadzenia odpowiednich zabezpieczeń w celu zapewnienia odpowiedniego poziomu bezpieczeństwa tych danych osobowych.


Zmiany jakie wprowadzono w przepisach prawa dotyczących ochrony danych osobowych spowodowały, że wdrażane w firmach i organizacjach systemy bezpieczeństwa danych są uzależnione od tego, jaki poziom ryzyka został określony w związku z przetwarzaniem tych danych przez podmioty i organizacje przetwarzające te dane. Różnica względem wcześniej obowiązujących przepisów jest znacząca. Nie mamy już narzuconych konkretnych zabezpieczeń, które muszą zostać u nas wdrożone i być stosowane. Obecnie w pierwszej kolejności powinniśmy przeprowadzić analizę i ocenę ryzyka oraz określić, wdrożyć a następnie stosować odpowiednie sposoby w tym środki przetwarzania danych. Środki, które zapewnią odpowiedni poziom bezpieczeństwa danych oraz zabezpieczą prawa i wolności osób, których dane są przetwarzane. Tym samym podejście do ochrony danych osobowych zaczęło przypominać podejście, z jakim od wielu lat mają do czynienia firmy i organizacje w zakresie między innymi BHP lub w sektorach bezpieczeństwa żywności, produkcji kosmetyków, produktów leczniczych, wyrobów medycznych itp. System ochrony danych osobowych ma bazować na przeprowadzonej ocenie ryzyka. W organizacjach i podmiotach nawet o bardzo zbliżonych charakterystykach i profilach działalności systemy ochrony danych osobowych mogą znacząco się różnić w aspekcie stosowanych sposobów w tym środków przetwarzania. Pewne elementy będą wspólne, należy jednak pamiętać o tym, że system ochrony danych osobowych musi być dostosowany między innymi do:

  • charakteru organizacji i podmiotu oraz realizowanych przez nią procesów a tym samym realizowanych czynności przetwarzania;

  • kategorii osób, których dane są przetwarzane, rodzaju i zakresu przetwarzanych danych (w tym danych szczególnych) oraz ilością przetwarzanych danych;

  • konsekwencji z jakimi związane mogą być naruszenia bezpieczeństwa danych osobowych zarówno dla podmiotu i organizacji przetwarzającej jak również dla osób których dane są przetwarzane;

  • stopnia informatyzacji przetwarzanych danych osobowych;

  • posiadanej infrastruktury i stosowanych rozwiązań związanych z bezpieczeństwem w tym ochroną danych osobowych.

Istotne jest również to, że systemów ochrony danych osobowych nie należy kojarzyć wyłącznie z zachowaniem poufności tych danych. Równie istotne są pozostałe dwie cechy, czyli dostępność danych oraz integralność tych danych. W większości przypadków koncentrujemy się na poufności, ale konsekwencje utraty dostępności do danych lub ich integralności mogą być równie poważne jak w przypadku utraty poufności.

W przedsiębiorstwach i organizacjach zazwyczaj mamy do czynienia z następującymi kategoriami osób, których dane przetwarzamy :

  • Kandydaci do pracy /współpracy,

  • Pracownicy i współpracownicy,

  • Kontrahenci (klienci (w tym konsumenci i użytkownicy oraz odbiorcy wyrobów, towarów i usług) i dostawcy) oraz ich przedstawiciele.

Należy zwrócić uwagę, że przedsiębiorcy będący osobami fizycznymi prowadzącymi działalność gospodarczą podlegają ochronie zgodnej z RODO i pozostałych przepisów prawa na równi z osobami fizycznymi.

Zakres oferowanych usług w zakresie ochrony danych osobowych zgodnych z Rozporządzeniem RODO:



Centrum Doradczo Szkoleniowe MALON Sp. z o. o.

Wrocław, ul. Józefa Piłsudskiego 74, budynek NOT
biuro@malongroup.pl
tel. (71) 789 08 41 lub 604 20 90 431
faks (71) 791 39 09


Back to Top