Wersja językowa:
PL | EN

Kancelaria Prawna Skarbiec

Prawo

Prawo ochrony danych osobowych

W dniu 25 maja 2018 roku weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – ogólne rozporządzenie o ochronie danych osobowych (RODO). Każdy przedsiębiorca przetwarzający dane osobowe powinien wdrożyć te nowe regulacje.

 

Istotnym jest, iż RODO wprowadza w dużej mierze nowe zasady przetwarzania danych osobowych, jak też zawiera zbiór nowych definicji w zakresie przetwarzania danych osobowych. W związku z powyższym nowe regulacje wymagają od każdego przedsiębiorcy gruntownej rewizji zarówno pod kątem aktualnie posiadanych dokumentów, jak i w zakresie konieczności zapoznania się na nowo z przepisami i definicjami zawartymi w RODO. Niestety, niektóre kwestie są uregulowane w RODO w sposób mało przejrzysty, pozostawiając dużo wątpliwości.

Każdy przedsiębiorca powinien zatem zastosować się do przepisów i obowiązków wynikających z RODO, w tym między innymi stworzyć stosowną dokumentację przetwarzania danych osobowych, ponieważ jest ona jednym z warunków koniecznych do zabezpieczenia się przed organem nadzoru. Kancelaria Prawna Skarbiec pomaga odpowiedzieć na pytanie: jak wdrożyć RODO w firmie?

Usługi Kancelarii

Zakres usług Kancelarii Prawnej Skarbiec na gruncie prawa ochrony danych osobowych obejmuje w szczególności:

  • sporządzenie projektu dokumentów związanych z ochroną danych osobowych, w tym: polityki prywatności, polityki retencji danych, rejestru czynności przetwarzania danych, instrukcji zarządzania systemem informatycznym, polityki bezpieczeństwa, wzoru upoważnienia do przetwarzania danych osobowych, wzoru ewidencji osób upoważnionych, wzoru wykazu pomieszczeń, wzoru oświadczenia dla osoby przetwarzającej dane osobowe, oświadczenia o ustanowieniu IOD;
  • reprezentowanie w postępowaniu administracyjnym przed GIODO/PUODO;
  • reprezentowanie w toku kontroli prowadzonej przez GIODO/PUODO.

Dodatkowo, Kancelaria Prawna Skarbiec realizuje czynności związane z:

  • badaniem zgodności postanowień umów z przepisami o ochronie danych osobowych;
  • przygotowywaniem polityk i wewnętrznych regulaminów dotyczących ochrony danych osobowych i ochrony baz danych;
  • wsparciem prawnym w przedmiocie umów przenoszących prawa do baz danych;
  • przygotowaniem opinii prawnych w zakresie ochrony danych osobowych;
  • wsparciem prawnym w sporach z zakresu ochrony danych osobowych;
  • analizą zgodności przetwarzania i przechowywania danych osobowych z przepisami prawa;
  • wsparciem procesów transferu danych osobowych poza granice Polski.

Weryfikacja dokumentów

Pierwszym krokiem przy wdrażaniu unijnego rozporządzenia winna być weryfikacja posiadanej dokumentacji oraz dostosowanie jej do nowych regulacji. Przede wszystkim każdy przedsiębiorca powinien implementować i stworzyć nowe procedury wewnętrzne. Warto wskazać, iż ogólne rozporządzenie o ochronie danych osobowych przewiduje szereg nowych obowiązków, między innymi w zakresie notyfikacji organowi nadzorczemu przypadków naruszenia ochrony danych osobowych, czy obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. Kancelaria Prawna Skarbiec pomaga dokonać audytu istniejących dokumentów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, jak też udziela wsparcia przy sporządzeniu nowych dokumentów zgodnie z wymogami RODO.

Certyfikacja RODO

Zgodnie z RODO, państwa członkowskie UE, organy nadzorcze oraz Komisja Europejska rekomendują ustanawianie mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z RODO operacji przetwarzania danych osobowych. Przedmiotowe certyfikaty zgodności z RODO będą wydawane przez Prezesa Urzędu Ochrony Danych Osobowych lub przez podmioty przy nim akredytowane. Kancelaria Prawna Skarbiec pomaga uzyskać stosowny certyfikat wydany przez Prezesa Urzędu Ochrony Danych Osobowych.

Zgoda na przetwarzanie danych

Wyrażenie zgody na przetwarzanie danych osobowych jest najpowszechniejszą podstawą prawną przetwarzania danych osobowych. W związku z wprowadzeniem RODO powstaje pytanie, czy zgoda na przetwarzanie danych udzielona przez podmiot danych przed wejściem w życie RODO będzie skuteczna i będzie nadal obowiązywała po wejściu w życie RODO. Nasza Kancelaria podpowiada jak zmierzyć się z tym tematem.

Przezorny, zawsze ubezpieczony

RODO przewiduje dość drastyczne kary dla przedsiębiorców którzy naruszyli określone obowiązki w zakresie ochrony danych osobowych. Za naruszenie przedmiotowych obowiązków w przypadkach mniejszej wagi administracyjna kara pieniężna może być wymierzona do wysokości 10 000 000 € lub w wysokości do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. W przypadkach większej wagi kary pieniężne mogą być wymierzone odpowiednio w kwocie do 20 000 000 € lub w wysokości do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Dlatego tak istotnym jest dokonanie stosownej weryfikacji istniejących dokumentów i procedur, następnie dokonanie zmiany i wdrożenie ich. Bez tego kontrola w kontekście RODO przeprowadzona przez organ nadzoru może mieć dla przedsiębiorcy poważne konsekwencje.

Usługi w zakresie RODO – obejmujące kompleksowe doradztwo – świadczone przez Kancelarię Prawną Skarbiec pozwala na skuteczne zmierzenie się z tematyką ochrony danych osobowych w firmie.

Dokumentacja RODO

Już w trakcie uchwalania przedmiotowego aktu, rodziły się pytania, jakie konkretnie dokumenty przedsiębiorca powinien posiadać i wdrożyć, aby spełnić wymogi RODO. Otóż dokumentacja wymagana przez RODO nie jest w tym akcie prawnym sformułowana, a przynajmniej nie wprost. Wyjątkiem jest tu rejestr czynności przetwarzania danych osobowych, który to dokument został wyraźnie wymieniony w unijnym rozporządzeniu. W pozostałym zakresie RODO zostawia luz decyzyjny przedsiębiorcy. Czy oznacza to, iż firma nie musi kłaść nacisku na dokumentację w zakresie ochrony danych osobowych? Nic bardziej mylnego. Przedsiębiorca dla dobra ochrony danych osobowych, jak i dla swojego bezpieczeństwa prawnego, powinien stworzyć odpowiednią dokumentację przetwarzania danych osobowych, w której powinien w szczególności zadbać o realizację zasad przetwarzania danych osobowych wynikających z unijnego rozporządzenia. Każdorazowo przed podjęciem decyzji o zakresie koniecznej dokumentacji warto przeprowadzić audyt w sferze przetwarzania danych osobowych w firmie. Niezależnie jednak od tego każdy przedsiębiorca powinien zadbać o stworzenie i wdrożenie co najmniej:

  • 1) polityki przetwarzania danych,
  • 2) polityki bezpieczeństwa danych osobowych/polityki ochrony danych osobowych,
  • 3) polityki dot. zarządzania ryzykiem w zakresie danych osobowych,
  • 4) instrukcji zarządzania systemem informatycznym zgodnej z RODO,
  • 5) polityki retencji danych zgodnej z RODO,
  • 6) wzoru oświadczenia dla pracownika dotyczącego ochrony danych osobowych,
  • 7) wzoru ewidencji osób upoważnionych,
  • 8) wzoru ewidencji pomieszczeń, w których przetwarzane są dane osobowe,
  • 9) wzoru upoważnienia do przetwarzania danych osobowych,
  • 10) rejestru czynności przetwarzania danych osobowych (dokument wymieniony w rozporządzeniu RODO),
  • 11) wzoru obowiązku informacyjnego,
  • 12) wzoru oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych,
  • 13) polityki prywatności, jeśli działalność prowadzona jest także w ramach Internetu.

Co ważne, na gruncie nowych unijnych przepisów zniknął obowiązek zgłaszania zbioru danych do organu ochrony danych osobowych.

Należy mieć na uwadze, iż każda działalność gospodarcza stawia inne wyzwania pod kątem RODO i generuje potrzebę indywidualnego podejścia w zakresie dokumentacji RODO (wcześniej GIODO). Nasza Kancelaria pomaga w stworzeniu i we wdrożeniu przedmiotowych procedur, a przede wszystkim do ich skrojenia pod konkretną działalność przedsiębiorcy. Zagadnienia dokumentacji RODO nie należy lekceważyć, nie tylko dlatego, iż warto chronić dane osobowe swoich klientów, ale także z uwagi na drakońskie kary jakie przewidziane są w RODO, a które nie występowały w ogóle podczas istnienia GIODO.

Ważnym aspektem powinno być także rozważenie, czy warto powołać w przedsiębiorstwie inspektora ochrony danych (w skrócie IOD lub IODO), który czuwałby nad przestrzeganiem i wdrażaniem procedur ujętych w ww. dokumentacji RODO. Należy zaznaczyć, iż w niektórych przypadkach unijne rozporządzenie nakazuje powołanie IOD i nie pozostawia tu wyboru. Zadania i obowiązki inspektora ochrony danych osobowych powinien każdorazowo dookreślać administrator danych, z tym, że inspektor ochrony danych osobowych pozostaje w strukturze firmy niezależny w wykonywaniu swoich obowiązków. Do zadań inspektora ds. ochrony danych osobowych powinno należeć między innymi bieżące monitorowanie przestrzegania zasad ochrony danych w firmie, wprowadzanie modyfikacji i korekt do obowiązujących procedur oraz szkolenie pracowników w zakresie ochrony danych.

Na pytanie jak wdrożyć RODO w firmie nie ma prostej odpowiedzi – na pewno przeprowadzenie audytu i przygotowanie kompletu dokumentów to kroki obowiązkowe.

Regulamin serwisu a RODO

W związku z wejściem w życie ogólnego rozporządzenia o ochronie danych osobowych (RODO) wielu przedsiębiorców z branży netbiznesu zastanawia się, czy należy zmienić regulamin portalu internetowego w ramach którego prowadzą oni działalność gospodarczą. Regulamin strony/serwisu www, a w szczególności regulamin sklepu internetowego, to podstawowy dokument, który jest de facto umową pomiędzy administratorem serwisu a jego użytkownikami. Zazwyczaj regulamin określa prawa i obowiązki administratora i użytkowników serwisu.

Unijne rozporządzenie RODO nie daje jasnych wytycznych jak napisać/stworzyć regulamin strony/serwisu/sklepu internetowego. Ze względu jednak na zasady przetwarzania danych osobowych, w szczególności zasadę przejrzystości, internetowy regulamin ochrony danych osobowych (najczęściej nazywany po prostu polityką prywatności) powinien stanowić odrębny od regulaminu serwisu dokument. Ten ostatni powinien bowiem koncentrować się na reglamentacji praw i obowiązków związanych ściśle z realizacją umowy pomiędzy właścicielem portalu a jego użytkownikami, a zarazem wystrzegać się niedozwolonych klauzul. W tym wypadku pomocniczy dla przedsiębiorców może być rejestr klauzul niedozwolonych dostępny na stronie UOKiKu. Oczywiście zgoda na przetwarzanie danych osobowych zapisana w treści regulaminu serwisu i niejako automatycznie udzielana w związku z akceptacją regulaminu portalu internetowego, nie będzie zgodna z RODO i tym samym będzie nieskuteczna.

Zatem na pytanie o to, jak pod kątem RODO napisać regulamin dla serwisu/sklepu internetowego należy odpowiedzieć w pierwszej kolejności, iż jest to pytanie o to, jak napisać politykę prywatności. Powinna ona zawierać szereg informacji o tym, w jaki sposób i dlaczego przedsiębiorca z branży netbiznesu przetwarza dane osobowe użytkowników/klientów, komu te dane są ewentualnie udostępniane, czy i jak są zabezpieczane. Tak naprawdę wskazanym jest, aby treść polityki prywatności realizowała zarazem obowiązek informacyjny. Tutaj przedsiębiorca powinien opisać, czy wykorzystuje pliki cookies i czy dane osobowe są przetwarzane w związku z profilowaniem, jeśli takie jest dokonywane.

Nie należy zapominać, iż polityka prywatności jest tylko jednym z wielu dokumentów, jakie w kontekście RODO przedsiębiorca winien wdrożyć w swojej firmie. Więcej o dokumentacji ochrony danych osobowych koniecznych do wdrożenia w związku z RODO można przeczytać tutaj, gdzie bliżej prezentowane są usługi Kancelarii w tym zakresie.

Zobacz również:

NetProtection | Regulamin strony internetowej | Dokumentacja przetwarzania danych osobowych | Prawa autorskie w Internecie | Prawa konsumentów | Ochrona wizerunku w Internecie | Spory sądowe | Procedury indywidualne

Publikacje tematyczne związane z działem

 

 

RODO

Główne zagrożenia dla przedsiębiorstw w związku z RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w skrócie „RODO”) zacznie obowiązywać w Polsce już 25 maja 2018 r. Nowe regulacje dotyczące ochrony danych osobowych znacząco wpłyną na komfort życia polskich przedsiębiorców, bo to na nich spocznie odpowiedzialność za ich wdrożenie.

Inwigilacja

Koniec bezpiecznych rozmów przez telefon

Tylko w 2014 r. służby złożyły ponad 2 mln wniosków do operatorów telekomunikacyjnych o udostępnienie danych. 1,7 mln dotyczyło zapytań od policji.

Jesteś w „ukrytej” kamerze

Edward Snowden ujawnił kolejne tajne, szokujące informacje o działaniach szpiegowskich USA. Okazuje się, że w latach 2008-2010 brytyjska agencja szpiegowska GCHQ wraz z amerykańskim NSA przechwyciły około dwóch milionów zdjęć wykonanych przez kamery komputerowe w trakcie korzystania przez użytkowników z czatu Yahoo.

Życie na podsłuchu

Beligijskie i holenderskie urzędy ochrony danych osobowych rozpoczęły dochodzenie na temat bezpieczeństwa danych w systemie SWIFT. Od kilku tygodni media spekulują, że NSA znalazło sposób, aby włamać się do sieci telekomunikacyjnej SWIFT.

Małe latające oko wielkiego brata

Słynny amerykański dron wojskowy MQ-1 Predator jest ak zautomatyzowany, że po tra fi zupełnie samodzielnie wyśledzić cel, zakwalifikować go jako wrogi, a następnie podjąć decyzję o jego likwidacji. W praktyce, tę ostatnią decyzję wciąż jeszcze podejmuje człowiek, ale dzieje się tak wyłącznie z uwagi na względy natury etycznej.

Ochrona danych

Prawo do bycia zapomnianym - ochrona danych osobowych wg UE

W styczniu 2012 roku Komisja Europejska podjęła pracę nad sporządzeniem i wdrożeniem rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływie takich danych (ogólne rozporządzenie o ochronie danych osobowych). Prace nad powyższym projektem zostały zwieńczone w dniu 27 kwietnia 2016 roku uchwaleniem ogólnego rozporządzenia o ochronie danych osobowych.

Spór Apple’a z administracją USA

Informacje o tym kto, gdzie i jak nas podsłuchuje napływają nieustająco. Dlatego heroiczna walka kierownictwa Apple'a o prawo klientów do prywatności przysparza firmie milionów nowych zwolenników, a starych umacnia w przekonaniu, że nikt inny nie da im tyle, ile Apple obieca.

 

 

Skontaktuj się z nami

Kancelaria Prawna Skarbiec
ul. Maciejki 13, 02-181 Warszawa
Adres e-mail:
Telefon:

Informujemy, że kontaktując się z nami, wyrażacie Państwo zgodę na przetwarzanie danych: imienia i nazwiska, firmy, adresu e-mail, adresu zamieszkania, adresu siedziby, numeru telefonu, w celach marketingowych, ofertowych i promocyjnych dotyczących usług oferowanych przez Kancelarię i podmioty powiązane.

Home & Market World Tax BCC Gazeta Prawna Gentleman Gazeta Finansowa Rising Stars 2013 Rzetelna Firma Home & Market Overseas Agent Rising Stars 2012