Rozporządzenie o Ochronie danych osobowych (RODO)
(początek obowiązywania od 25.05.2018 roku)
RODO definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w trochę odmienny sposób niż dotychczas. Nowe przepisy wprowadzają szereg obowiązków, nowe rodzaje odpowiedzialności, a także sankcje finansowe.
1. Obowiązek administratora – na każde zapytanie osoby, której dane dotyczą administrator będzie zobowiązany odpowiedzieć, jak i usunąć wszelkie dane, które dotyczą osoby. Dane powinny być zgrane na np. odpowiedni dysk twardy, przekazane osobie, a następnie wykasowane. W przypadku złożenia zapytania przez osobę w zakresie swoich danych administrator ma zakreślony 30 dniowy termin na udzielenie informacji.
Przykład: zapisujemy się na studia podyplomowe na Uczelnię wyższą. Stwierdzamy, po semestrze, że nie chcemy kontynuować nauki. Udajemy się do administratora danych prosimy go o usunięcie wszelkich dotyczących nas danych osobowych z nośników/systemów uczelni, a następnie przekazaniu nam pliku z tymi danymi.
2. Powołanie Inspektora ochrony danych (IOD)
Jest to dodatkowa funkcja odpowiedzialna za ochronę danych osobowych, jak również zobowiązana do raportowania wszelkiego rodzaju naruszeń do organu nadzoru tj. GIODO. Znaczna część zadań IOD ulegnie zmianie w porównaniu do tych obecnych dotyczących Administratorów Bezpieczeństwa Informacji (ABI). Funkcję ABI może pełnić jedynie osoba fizyczna, którą powołuje administrator danych, zaś IOD może być jednostka organizacyjna powołana przez administratora, jak i procesora.
3. Obowiązkowe zgłaszanie naruszeń
Został wyznaczony 72 godzinny termin do zgłaszania jakichkolwiek naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Naruszenia te należy zgłosić do właściwego organu nadzoru, przypuszczalnie będzie nim Urząd Ochrony Danych Osobowych. Istnieje też możliwość zgłoszenia tych naruszeń tej informacji.
4. Odpowiedzialność za nieprzestrzeganie RODO!
Przetwarzający dane z tytułu nieprzestrzegania przepisów w zakresie przetwarzania danych osobowych rodzi bezpośrednią odpowiedzialność. Wynajęcie Inspektora ochrony danych osobowych, czy też firmy zewnętrznej, nie zwalnia z odpowiedzialności, taka odpowiedzialność może mieć charakter solidarny.
Co ważne, dodatkowo, tworzenie umów o powierzeniu przetwarzania będzie podlegało wymogom jeszcze bardziej restrykcyjnym niż ma to miejsce dotychczas. RODO szczegółowo wskazuje bowiem, jaka powinna być zawartość umowy o powierzeniu, kiedy można powierzyć dalszemu podwykonawcy (podpowierzenie), tj. za zgodą administratora danych osobowych. Wymagania rosną wraz z liczbą zatrudnionych osób, tj. W przypadku przedsiębiorców zatrudniających powyżej 250 pracowników zaistnieje konieczność rejestrowania każdej czynności z zakresu przetwarzania danych osobowych, np. usunięcie danych, udostępnienie danych itd. powinno zostać zarejestrowane przez administratora danych.
5. Bardzo wysokie kary finansowe
10 milionów euro bądź do 2 % światowego rocznego obrotu przedsiębiorstwa
20 milionów euro bądź do 4% wartości rocznego światowego obrotu przedsiębiorstwa
Jest to najwyższy wymiar kary, jednakże będą one ustalane proporcjonalnie do skali naruszenia.
6. Organ nadzoru posiadający szczególne uprawnienia naprawcze
Organ nadzoru w szczególności może przekazywać różnego rodzaju wytyczne administratorowi bądź podmiotowi przetwarzającemu dane osobowe w zakresie możliwości dokonania naruszeń przepisów RODO. Może także nakazać spełnienia oczekiwań osoby, których dane dotyczą, jak także nakazać zawiadomienia osoby, której prawa zostały naruszone.
7. Odpowiedzialność spółki jak i członków zarządu za nieprzestrzeganie przepisów RODO
Bardzo ważnym faktem jest to, iż Spółka będąca administratorem danych osobowych bądź podmiot przetwarzający dane osobowe ponosi odpowiedzialność za naruszenia wymagań RODO. Co ważne zgodnie z art. 293§1 k.s.h Członek zarządu odpowiada wobec spółki za szkodę wyrządzoną działaniem bądź zaniechaniem sprzecznym z prawem bądź postanowieniami umowy spółki, chyba, że nie ponosi winy. Warte podkreślenia jest to, iż przesłankami odpowiedzialności jest powstanie szkody po stronie spółki, związek przyczynowy pomiędzy działaniem bądź zaniechaniem członka zarządu oraz ewentualna wina.