wtorek, 29 maj 2018 21:09

Ochrona danych osobowych RODO

Oceń ten artykuł
(3 głosów)

Nowe przepisy unijne nakładają na wszystkich przedsiębiorców i wszystkie podmioty publiczne gromadzące i przetwarzające dane osobowe nowe obowiązki zawiązane z zachowaniem bezpieczeństwa tych danych. Sprawdź, kogo obejmuje RODO, jakie wymagania stawia, z jakimi karami wiąże się jego nieprzestrzeganie i co zrobić, aby tych kar uniknąć. Poznaj też oprogramowanie dla firm gotowe na RODO.

Dnia 25 maja 2018 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE L 119/1), czyli tzw. RODO. Zmieniło ono w istotny sposób możliwość przetwarzania danych oraz ich ochrony przez polskich przedsiębiorców.

 

Rozporządzenie unijne nie wymaga implementacji polską ustawą. Nowe przepisy wymagały jednak znowelizowania niektórych aktów prawnych, m.in. ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2016 r. poz. 922).

RODO objęło wszystkich przedsiębiorców działających w Unii Europejskiej, a także podmioty spoza UE, które oferują swoje towary i usługi osobom znajdującym się na jej terytorium.

 

Kogo obejmuje RODO

Celem przepisów RODO jest zapewnienie bezpieczeństwa ochrony danych osobowych. Nowe regulacje wszystkich przedsiębiorców oraz wszystkie podmioty publiczne, które gromadzą i przetwarzają dane osobowe. W przypadku osób fizycznych prowadzących działalność gospodarczą, RODO należy zastosować zarówno do kontrahentów, jak i pracowników.

 

RODO – najważniejsze definicje

Nowe rozporządzenie unijne definiuje podstawowe pojęcia związane z ochroną danych osobowych. Definicje te znajdują się w art. 3 tego aktu prawnego. Znalazły się w nim m.in. definicje przetwarzania,  danych osobowych, administratora, podmiotu przetwarzającego i naruszenia ochrony danych osobowych:

Art. 4

Definicje

Na użytek niniejszego rozporządzenia:

1) „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

(…)

7) „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

8) „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

(…)

12) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

 

Wymagania RODO

Od podmiotów przetwarzających dane osobowe przepisy rozporządzenia o RODO wymagają samodzielnej oceny ryzyka naruszenia tych danych i zastosowania środków, które mają to ryzyko zminimalizować. Rozporządzenie nie określa jednak, jakie mają to być środki. Przedsiębiorca sam musi o tym zadecydować. Działania te muszą być prowadzone w taki sposób, aby zawsze można było wykazać, iż ryzyko zostało ocenione, a środki mające na celu jego zminimalizowanie – skutecznie wdrożone.

 

W praktyce konieczne jest przeanalizowanie, jakimi danymi osobowymi przedsiębiorca dysponuje, co dzieje się z tymi danymi, a także jakie ryzyko wiąże się z ich przetwarzaniem. Następnie należy wdrożyć w firmie działania mające na celu zoptymalizowanie tego ryzyka.

 

W przypadku podmiotów, których przetwarzanie danych osobowych stanowi przedmiot działalności, konieczne jest powołanie inspektora danych osobowych. Osoba ta jest pośrednikiem między firmą a urzędem oraz między firmą a osobami, których dane osobowe podlegają przetwarzaniu.

 

Przepisy dotyczące ochrony danych osobowych, obowiązujące w Polsce przed wejściem w życie rozporządzenia o RODO, wymagały m.in. stworzenia w formie dokumentu polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemem informatycznym, w którym przetwarzane są dane osobowe. RODO tego nie wymaga. Rozporządzenie odwołuje się jednak do pewnego rodzaju „polityki ochrony danych” – z tego względu zaleca się, aby firmy dalej stosowały taką dokumentację, oczywiście po dostosowaniu jej do nowych regulacji.

 

Wymagania RODO – bezpieczeństwo danych

Choć rozporządzenie o RODO nie określa konkretnych wytycznych dotyczących zapewniania bezpieczeństwa danych, warto wymienić kilka możliwych. Mogą to być w szczególności:

  • pseudonimizacja i szyfrowanie danych osobowych; 
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

 

Kolejna kwestia to ocena ryzyka związanego z przetwarzaniem danych. Należy wziąć pod uwagę przede wszystkim ryzyko wynikające z przypadkowego i niezgodnego z prawem zniszczenia danych osobowych, utraty ich lub dokonania modyfikacji. Bardzo istotne jest także ryzyko nieuprawnionego ujawnienia lub dostępu do danych przechowywanych, przesyłanych lub w inny sposób przetwarzanych.

 

RODO: Zgoda na przetwarzanie danych osobowych

Jednym z najbardziej widocznych elementów wdrożenia RODO w firmie jest przygotowanie zgody na przetwarzanie danych osobowych, udostępnianej wszystkim osobom, których dane są lub będą przetwarzane przez przedsiębiorstwo lub podmiot publiczny. Wytyczne w tym zakresie znajdują się w art. 6 rozporządzenia.

 

Zgodnie z art. 6 ust. 1 tego aktu prawnego:

Art. 6

Zgodność przetwarzania z prawem

1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

 

Rejestr czynności przetwarzania danych osobowych RODO

Administrator ma obowiązek prowadzić rejestr czynności przetwarzania danych – to obowiązkowy element prowadzonej dokumentacji, a przy tym zupełna nowość w porównaniu do poprzedniego stanu prawnego. Obowiązek ten nie dotyczy jednak wszystkich przedsiębiorców – rejestr muszą prowadzić podmioty zatrudniające minimum 250 osób.

 

Podatnicy zatrudniający mniejszą liczbę osób muszą prowadzić rejestr czynności przetwarzania danych, jeśli przetwarzanie danych w ich wypadku:

  • Nie ma charakteru sporadycznego
  • Może powodować ryzyko naruszenia praw lub wolności osób, których te dane dotyczą
  • Obejmuje szczególne kategorie danych osobowych określone w art. 9 ust. 1 rozporządzenia o RODO, bądź dane osobowe dot. wyroków skazujących i naruszeń prawa

 

Rejestr czynności przetwarzania danych może być prowadzony w formie pisemnej lub elektronicznej. Na żądanie organu nadzorczego dany podmiot ma obowiązek udostępnić prowadzony rejestr.

 

Rejestr powinien zawierać:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także, gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych (IOD); 
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.

 

W rejestrze odnotowuje się:

  • imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych; 
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
  • gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.

 

Kary za naruszenie przepisów RODO

Choć przepisy RODO nie określają dokładnie środków, jakie przedsiębiorca musi wdrożyć w celu prawidłowego przetwarzania danych, kary za naruszenie nowych wytycznych są już zupełnie konkretne. I wcale nie małe. Wynoszą one od 10 mln do 20 mln euro lub od 2% do 4% obrotu firmy. Przy czym jako obrót bierze się pod uwagę całkowity roczny obrót światowy przedsiębiorstwa z roku obrotowego poprzedzającego naruszenie przepisów RODO.

W art. 83 rozporządzenia RODO określono szczegółowo warunki nakładania administracyjnych kar pieniężnych oraz sposób określania kwot sankcji w poszczególnych przypadkach.

 

Programy dla firm gotowe na RODO

Wejście w życie przepisów RODO wpłynęło na wiele obszarów funkcjonowania każdego przedsiębiorstwa – zmiany te objęły zarówno sferę prawną, jak i sferę systemów informatycznych. RODO wpływa nie tylko na sposób prowadzenia działań marketingowych w firmie, ale też na procesy kadrowe, rekrutacyjne i wiele innych. Przedsiębiorcy korzystający z oprogramowania dla firm muszą mieć pewność, iż prowadzone przez nich działania są zgodne z nowymi wytycznymi.

 

Dostosowanie działalności do wymogów RODO jest proste, jeśli przedsiębiorca korzysta z nowoczesnego oprogramowania. Programy dla firm gotowe na RODO oferuje InsERT – wiodący producent oprogramowania, takiego jak m.in. Subiekt GT, Subiekt nexo, Gestor GT, Gestor nexo, Gratyfikant GT, Gratyfikant nexo, Rewizor GT, Rewizor nexo czy Rachmistrz GT i Rachmistrz nexo.

Zespół specjalistów InsERT na bieżąco śledzi zmiany w przepisach, dzięki czemu systemy InsERT GT oraz InsERT nexo są na nie gotowe jeszcze długo przed wejściem w życie nowych regulacji.

 

Programy InsERT nexo – zmiany związane z RODO

W związku z wprowadzeniem nowych regulacji dot. ochrony danych osobowych zaktualizowano programy:

  • Biuro nexo – program do zarządzania biurem rachunkowym
  • Gestor nexo – program do zarządzania relacjami z klientami
  • Gratyfikant nexo – program do obsługi kadr i płac,
  • Rachmistrz nexo – program do prowadzenia uproszczonej księgowość
  • Rewizor nexo – program do prowadzenia pełnej księgowości
  • Subiekt nexo – program do zarządzania sprzedażą

 

W systemach tych wprowadzony został nowy moduł Ochrona danych osobowych – jest on dostępny w węźle Ewidencje dodatkowe i zawiera następujące widoki:

  • Cele przetwarzania
  • Monitorowanie danych osobowych
  • Rejestr czynności przetwarzania (Gratyfikant nexo i Gestor nexo)

 

Zaktualizowane programy dla firm linii InsERT nexo umożliwiają konfigurację podstawowych parametrów związanych z RODO, takich jak m.in. dane administratora, inspektora danych osobowych oraz obowiązku informacyjnego. Systemy Biuro nexo, Subiekt nexo, Rachmistrz nexo, Rewizor nexo, Gestor nexo i Gratyfikant nexo umożliwiają wydruk szczegółowych danych osobowych.

Gratyfikant nexo i Gestor nexo dają użytkownikowi możliwość prowadzenia rejestru czynności przetwarzania.

Programy Gestor nexoGratyfikant nexo, Rachmistrz nexoRewizor nexoSubiekt nexo pozwalają na bieżące monitorowanie przetwarzania danych, a także prowadzenie dodatkowej dokumentacji związanej z ODO.

 

To tylko niektóre zmiany, dzięki którym programy linii InsERT nexo pozwalają użytkownikowi w pełni dostosować swoją działalność do nowych przepisów. Stosowanie tych systemów w codziennej pracy to dla przedsiębiorstwa gwarancja skutecznego dostosowania się do nowych regulacji. Przetwarzanie danych osobowych zgodnie z wytycznymi RODO eliminuje ryzyko nałożenia na podatnika surowych kar określonych w rozporządzeniu unijnym, wzbudza zaufanie kontrahentów i zapewnia komfort pracownikom.

 

Programy InsERT GT – zmiany związane z RODO

Podobne zmiany zostały wprowadzone w klasycznej linii tych najpopularniejszych w Polsce programów dla firm – linii InsERT GT. Producent zadbał o zaktualizowanie wszystkich programów, do których mogą mieć zastosowanie przepisy RODO:

  • Gestor GT – program do zarządzania relacjami z klientami
  • Gratyfikant GT – program do obsługi kadr i płac,
  • Rachmistrz GT – program do prowadzenia uproszczonej księgowość
  • Rewizor GT – program do prowadzenia pełnej księgowości
  • Subiekt GT – program do zarządzania sprzedażą

 

W wersji 1.52 programów InsERT GT pojawił się nowy moduł Ochrona danych osobowych zawierający następujące widoki:

  • Cele przetwarzania
  • Rejestr czynności przetwarzania
  • Monitorowanie przetwarzania danych

 

We wszystkich wymienionych powyżej programach InsERT GT pojawił się nowy mechanizm wydruków z autotekstami. Znany z Gratyfikanta GT, mechanizm wydruków RTF z predefiniowanymi autotekstami można wykorzystać m.in. do druku dokumentów takich jak Upoważnienie do przetwarzania danych osobowych.

W systemach linii InsERT GT przygotowano kilka wydruków, które pozwalają m.in. na zrealizowanie obowiązku przedstawienia informacji o przetwarzanych danych na żądanie osoby, której te dane dotyczą.

 

Podobnie jak w przypadku linii nexo, to tylko niektóre zmiany w programach Subiekt GT, Rachmistrz GT, Rewizor GT, Gestor GT i Gratyfikant GT, które pozwalają przedsiębiorcy dostosować swoją działalność do nowych regulacji. Kary za naruszenie przepisów RODO są wysokie. Warto zadbać o prawidłowe wdrożenie nowych wytycznych w działalności – w trosce nie tylko o dobro przedsiębiorstwa, ale też jego pracowników i kontrahentów.

 

Programy dla firm Warszawa – zobacz naszą ofertę

Czytany 2165 razy Ostatnio zmieniany wtorek, 29 maj 2018 21:49

Artykuły powiązane

  • UODO ostrzega: Uwaga na fałszywe kontrole! UODO ostrzega: Uwaga na fałszywe kontrole!

    Oszuści kontynuują próby wyłudzeń pieniędzy od uczciwych podatników. Tym razem podają się za kontrolerów Urzędu Ochrony Danych Osobowych. Przychodzą niezapowiedzianie i próbują wyłudzić pieniądze lub dostęp do danych osobowych. Sprawdź, jak się przed nimi ustrzec i w jaki sposób można zweryfikować uprawnienia kontrolera z UODO.

  • Programy InsERT gotowe na RODO Programy InsERT gotowe na RODO

    Nawet 20 mln euro – takie kary grożą za niedostosowanie działalności do wymogów nowego rozporządzenia Unii Europejskiej. Zadaniem RODO jest przede wszystkim zapewnienie ochrony danych osobowych, w szczególności danych dzieci. Dowiedz się, czym jest RODO, kogo obejmuje i dlaczego użytkownicy programów InsERT nie muszą obawiać się konsekwencji niedostosowania działalności do nowych przepisów.

  • Poziomy bezpieczeństwa systemu informatycznego Poziomy bezpieczeństwa systemu informatycznego

    Zgodnie z art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926), Administrator Danych Osobowych ma obowiązek

  • Powierzenie przetwarzania danych osobowych Powierzenie przetwarzania danych osobowych

    Firmy posiadające zbiory danych osobowych nie mają prawa udostępniać ich nieuprawnionym osobom trzecim. Cała ochrona danych osobowych opiera się właśnie na konieczności zabezpieczenia zbiorów danych przed wyciekiem, utratą czy kradzieżą. Jednak w niektórych przypadkach powierzenie przetwarzania danych osobowych innej firmie jest niezbędne do prawidłowego funkcjonowania przedsiębiorstwa.

  • Zmiany w bazach danych osobowych - zgłaszanie do GIODO Zmiany w bazach danych osobowych - zgłaszanie do GIODO

    W pewnych przypadkach bazę danych osobowych zgłoszoną do GIODO będzie trzeba uaktualnić. Jak wspomnieliśmy w artykule o Instrukcji zarządzenia systemem informatycznym, nie wymagają zgłaszania zmiany w dokumentach takich jak wspomniana instrukcja czy Polityka bezpieczeństwa informacji.