Nikomu już chyba nie trzeba wyjaśniać pojęcia „RODO”, gdyż zakorzeniło się ono w naszej świadomości.

25 maja 2018 r. zaczęło być stosowane Rozporządzenie ogólne o ochronie danych osobowych, chociaż weszło w życie już w roku 2016. Ustawodawca europejski, z uwagi na istotne novum związane z problematyką ochrony danych osobowych, postanowił dać przedsiębiorcom aż dwa lata na dostosowanie swojej działalności do nowej rzeczywistości prawnej.

RODO przede wszystkim ma służyć ochronie osób fizycznych oraz podstawowych praw i wolności tych osób. Administrator danych winien zatem wykazać, zgodnie z zasadą rozliczalności, podstawę legalności przetwarzanych danych, m.in. poprzez wykazanie posiadania zgody osoby, której dane dotyczą, gdy przetwarzanie jest niezbędne do wykonania umowy lub wynika z prawnie uzasadnionych interesów administratora (np. marketing bezpośredni, dochodzenie wierzytelności).

Oprócz nowego, szerokiego obowiązku informacyjnego, administrator danych winien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności, m.in. pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Jeżeli przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw i wolności, administrator winien wykonać ocenę skutków dla ochrony danych.

Dodatkowo, administrator winien wdrożyć polityki wewnętrzne oraz prowadzić rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania, gdy występuje w roli procesora.

RODO wprowadza również nową definicję danych biometrycznych oraz definicję profilowania (dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się), jak również prawo sprzeciwu przetwarzania danych oraz prawo do bycia zapomnianym.

W dużym skrócie można powiedzieć, że nowa regulacja wprowadza pewnego rodzaju standardy, do których każdy przedsiębiorca z czasem przywyknie. Wydaje się zatem, że straszenie wysokimi karami aż do 20 mln złotych za naruszenia jest na wyrost.

Marek Kliś, radca prawny, Kancelaria Transportowa KOBEN

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj