Lipiec 12, 2019
  • Lipiec 12, 2019
Styczeń 8, 2019

Ochrona danych osobowych w firmie – co warto wiedzieć?

Autor 0 173 Views

GIODO, czyli Generalny Inspektor Ochrony Danych Osobowych, to organ powołany do spraw ochrony danych osobowych, funkcjonujących w latach 1997 –2018 a działający na podstawie ustawy o ochronie danych osobowych z 1997 r. Z dniem 10 maja 2018 GIODO został zastąpiony przez urząd Prezesa Urzędu Ochrony Danych Osobowych, w skrócie PUODO. Nowy urząd jest m.in. organem nadzorczym dla obowiązującego rozporządzenia o ochronie danych RODO.

Znika obowiązek rejestracji zbiorów danych do GIODO

Dokładnie od dnia 10 maja 2018 znika dotychczasowy obowiązek obciążający administratorów rejestracji zbiorów danych w GIODO na rzecz rejestrowania czynności przetwarzania danych osobowych, w tym danych wrażliwych. Przepis ten uległ zmianie w związku z wdrażaniem unijnego Rozporządzenia RODO. Procedura rejestracji oraz stałej aktualizacji zbiorów była oceniana przez administratorów danych jako uciążliwa, a jednocześnie nikomu nie gwarantowała prawidłowości przetwarzania tychże danych oraz ich właściwego zabezpieczenia. Zatem w nowych przepisach zrezygnowano z tego obowiązku i nie trzeba już dłużej rejestrować zbiorów w GIODO.

Rejestr czynności przetwarzania danych osobowych

Nowe przepisy zobowiązują administratora danych do prowadzenia rejestru czynności przetwarzania danych osobowych. Rejestr będący pod opieką administratora musi zawierać imię i nazwisko lub nazwę danego administratora, kontakt do niego oraz wszelkich innych współadministratorów. W przypadku, gdy administrator powołuje inspektora danych, ten również, z imienia i nazwiska, musi znaleźć się w tym zbiorze.

Za każdym razem, gdy administrator przetwarza jakiekolwiek dane z podległego mu zbioru, musi wskazać cel przetworzenia tych danych. Jest zobowiązany również do określenia kategorii przetwarzanych przez siebie danych oraz opisu kategorii, z której dane przetwarza. W przypadku gdy administrator ujawnił dane osób odbiorcom lub ma taki zamiar, musi w rejestrze zamieścić informację o kategorii odbiorców. Dotyczy to wszystkich odbiorców, również tych pochodzących z innych państw czy organizacji międzynarodowych. Nazwa odbiorcy danych musi być zawsze podana w czytelny sposób i zawierać podstawowe dane niezbędne do ich identyfikacji.

Jednocześnie administrator danych jest zobowiązany do załączenia dokumentacji opisujących formę zabezpieczenia danych w momencie ich przekazywania, termin przekazania oraz ewentualny termin usunięcia określonej kategorii. Administrator musi również zamieścić w rejestrze opis wdrażanych przez siebie środków technicznych zabezpieczających zbiory adekwatnych do ryzyka związanego z przetwarzaniem danych.

Obowiązek prowadzenia rejestru czynności przetwarzania nie dotyczy administratorów zatrudniających mniej niż 250 osób, chyba że, pomimo niskiego zatrudnienia, przetwarzanie danych może spowodować:

  • ryzyko naruszenia praw lub wolności osób,
  • nie jest aktem sporadycznym,
  • obejmuje szczególne kategorie danych,
  • obejmuje dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa.

Oznacza to, że tak naprawdę większość administratorów będzie musiała prowadzić rejestr przetwarzania danych osobowych.

Kary za naruszenie przepisów

Jeżeli dany administrator nie prowadzi rejestru a powinien z tytułu ilości zatrudnianych osób lub w związku z ww ograniczeniami grozi mu kara pieniężna do wysokości 10 mln euro, a w przypadku przedsiębiorstwa jeszcze więcej, bo do 2% całkowitego rocznego obrotu z poprzedniego roku obrotowego.

Przestrzeganie przepisów związanych z ochroną danych osobowych w przedsiębiorstwie to problematyczne zadanie. Nie dziwi więc, że coraz więcej osób decyduje się na nawiązanie współpracy z firmami świadczącymi outsourcing w tym zakresie.

Inspirowane: Glowpol.pl – szkolenia BHP Warszawa

Leave a comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *