RODO - Data Protection Regulation or General Data Protection Regulation, GDPR). A set of rules concluded by the European Union related to the protection of natural persons. Concerns the processing of personal data and its free movement. Published by the Official Journal of the European Union L 119 on 4 May 2016. entered into force from 25 May 2018. Applicable to all entities operating within the EU including small businesses as well as large multinational corporations.

What are the penalties for non-compliance with RODO?

The maximum penalty is €20,000,000. Unfair companies are to pay up to 4% of their total annual worldwide turnover for the previous year (Article 83(5)(a) RODO)

Pracownicy uczą się nowego rozporządzenia

General principles of data processing:

  • Legality, transparency and integrity
  • Purpose limitation of processing
  • Correctness and minimisation
  • Storage restrictions
  • Confidentiality and integrity
  • Accountability

Step-by-step training plan:

1.Learning the following concepts:

  • profiling
  • personal and biometric data
  • pseudonymisation
  1. Introducing RODO into the organisation:
  • how to get started?
  • what to focus on?
  • priorities of tasks
  • procedures required
  1. Basic tasks of the controller and data processor:
  • legal provisions and principles
  • privacy by design and by default
  • register of processing activities and categories
  • obligations to provide information
  1. The role of the Data Protection Officer:
  • what qualifications he/she has
  • position in the company
  1. Rights of individuals in relation to their data:
    • access, forgetting and others
    • what does a data breach look like? to whom do you report violations?

How has RODO changed domestic regulation?

  • The new Data Protection Act of 10 May 2018 came into force (effective from 25 May 2018)
  • The Information Security Administrator (ABI) has been replaced by the Inspector of Personal Data Protection (IODO)
  • The institution of the Inspector General for Personal Data Protection has been abolished in favour of the President of the Office for Personal Data Protection (PUODO)

Who is affected by data protection?

All entrepreneurs (including sole proprietorships) without distinction by number of employees, size or scope of work (Article 2 and Article 3 of the RODO). Excluded are activities not covered by European Union law, individuals performing domestic or personal activities.

What information are they linked to?

  • name
  • residential address (location)
  • PESEL or other identifying number
  • email name
  • factors defining the physiological, physical, genetic, mental, economic, social or cultural identity of an individual.

What data must not be processed?

Especially protected ones such as:

  • racial origin
  • health
  • orientacja seksualna
  • dane biometryczne

Inspektor sprawdza przestrzeganie procedur

Podstawowe operacje:

  • zbieranie
  • zapisywanie
  • podgląd
  • modyfikacja
  • wykorzystanie
  • ujawnienie
  • rozpowszechnianie
  • udostępnianie
  • dopasowywanie
  • łączenie
  • niszczenie
  • ograniczanie
  • usuwanie

W art. 6 RODO jest wymienionych kilka okoliczności uprawniających do przetwarzania danych osobowych.

Przedsiębiorca ma obowiązek uzyskania zgody na ich przetwarzanie od osoby, której dane te dotyczą lub też w sytuacji potrzebnej do wykonania umowy.

Administratorem danych może być osoba prawna lub fizyczna, która:

  • wdraża procedury bezpieczeństwa
  • ustala sposób oraz cel pozyskania i przetworzenia
  • określa zakres
  • wykonuje akty prawny
  • zapewnienia bezpieczeństwo
  • oceni ryzyko naruszenia danych
  • uwzględni koszt zabezpieczeń

W Rozporządzeniu można przeczytać, że zabezpieczenia mogą być w formie organizacyjnej lub technicznej. Powinny być związane z zakresem, charakterem, kontekstem, celem przetwarzania, a także brać pod uwagę ryzyko naruszenia wolności i praw osób, które te dane przekazały.

W RODO znajdujemy następujące wytyczne, które mogą być użyte przez administratora w odpowiednich okolicznościach:

  • Stałe zapewnianie integralności, poufności, dostępności, odporności systemów i usług przetwarzania – poziom bezpieczeństwa powinien być taki sam.
  • Wykonywanie kopii bezpieczeństwa danych. Możliwość przywrócenia dostępności danych osobowych również w razie incydentu technicznego lub fizycznego.
  • Szyfrowanie i pseudonimizacja – przetwarzanie informacji osobowych tak, aby nie można było ich zidentyfikować i przypisać danej osobie, bez dostępu do innych informacji.
  • Przeprowadzanie regularnych testów, sprawdzanie i mierzenie skuteczności środków organizacyjnych lub technicznych, które zapewniają bezpieczne przetwarzanie. Zabezpieczenia to ciągły proces, nieustannie poddawany analizie i udoskonaleniu.
  • Bezpieczne środki:

organizacyjne:

  • instrukcja ochrony
  • dopuszczanie jedynie upoważnionych pracowników
  • oraz zobowiązanie do zachowania tajemnicy
  • praktyka czystego ekranu i biurka
  • wydawanie uprawnionym klucze
  • rejestrowanie czynności przetwarzania, poza przedsiębiorcami zatrudniającym mniej niż 250 osób

techniczne:

  • szyfrowanie danych
  • ochrona przed szkodliwym oprogramowaniem
  • zabezpieczenia sieci komputerowej
  • system uwierzytelniania z koniecznością wprowadzenia loginu użytkownika oraz hasła
  • Szafy lub pomieszczenia do przechowywania informacji w formie fizycznej

Należy pamiętać, że generowanie danych wiąże się z ryzykiem naruszenia wolności lub  praw. Nie jest sporadyczne, obejmuje dane wrażliwe lub dotyczące naruszeń prawa i wyroków skazujących.

Kto to jest Inspektor ochrony danych osobowych i kiedy zostaje powołany?

Wspiera przedsiębiorstwa w przestrzeganiu przepisów. Udziela informacji o obowiązkach związanych z RODO dla podmiotu przetwarzającego lub administratora. Oprócz tego współpracuje z PUODO. Obowiązek wyznaczenia inspektora występuje w pewnych sytuacjach na podstawie art. 37 RODO gdy:

  • “przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.”