RODO: od 25 maja 2018 r. ważne zmiany dla wszystkich pracodawców

czwartek, 29 marca 2018r. / Design / Technology
Post Image

Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO) wymaga od przedsiębiorców dostosowania procesów biznesowych, systemów informatycznych i dokumentacji do nowych wymagań w obszarze danych osobowych. Od 25 maja 2018 r. wszyscy przedsiębiorcy przetwarzające dane osobowe muszą spełniać wymogi określone w unijnym Ogólnym Rozporządzeniu o Ochronie Danych Osobowych (RODO). Może wydawać się, że maj 2018 r. to odległy termin, ale to już naprawdę ostatni moment, żeby przygotować się do nowych wymagań w zakresie ochrony danych osobowych. Wdrożenie RODO to wieloetapowy proces i w niektórych firmach może potrwać nawet kilka miesięcy.

Kto musi wdrożyć RODO?

Kogo dotyczy RODO? Ogólne Rozporządzenie o Ochronie Danych Osobowych reguluje wiele kwestii związanych z ochroną danych. Bardzo często można się więc spotkać z pytaniem „czy ta regulacja dotyczy także mnie?”. Najczęściej odpowiedź brzmi „tak”. Rozporządzenie nie wylicza w sposób bezpośrednio podlegających mu jednostek. Taki zapis znajduje się tylko w odniesieniu do podmiotów wyłączonych z zapisów dokumentu. Dlatego można założyć, że rozporządzenie dotyczy wszystkich przypadków przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany. 

Dlaczego wdrożenie RODO jest takie ważne

  • Rozporządzenie RODO wprowadza wysokie sankcje za naruszenie unijnych przepisów o ochronie danych osobowych, a każda osoba, która poniosła szkodę w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora (API) lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę
  • Łowcy Klauzul - brak wdrożonego RODO naraża twoje przedsiębiorstwo na szantaż
  • Obligatoryjny rejestr naruszeń i powiadamianie organów do 72 godzin – w ramach RODO podmioty przetwarzające dane będą zobowiązane prowadzić dokumentację wszystkich przypadków naruszeń ochrony danych osobowych z uwzględnieniem okoliczności, w jakich do nich doszło, skutków i działań zaradczych podjętych w wykazanych przypadkach. W przypadku zatajenia i niepowiadomienia stosownego organu nadzorczego o każdym przypadku naruszenia ochrony danych w terminie nie późniejszym niż 72 godziny od zdarzenia.

Procedura wdrożenia RODO  (może się różnić w odniesieniu do rodzaju działalności gospodarczej):

  • Przygotowanie Instrukcji zarządzania systemami informatycznymi
  • Przygotowanie polityki bezpieczeństwa
  • Umowa powierzenia przetwarzania danych osobowych
  • Rejestr operacji przetwarzania danych osobowych
  • Polityka monitorowania i reagowania na naruszenia ochrony danych
  • Rejestr incydentów
  • Polityka zarządzania ryzykiem utraty prywatności (Privacy Impact Assessment)
  • Raport z analizy (Privacy Impact Assessment)
  • Procedura zarzadzania zmianą / zarządzania projektami (Privacy by Design)
  • Plan awaryjny / polityka zarządzania kopiami zapasowymi
  • Procedura zarządzania użytkownikami i dostępem do danych (kiedy i kto)

Niektóre sankcje administracyjne:

  • Ostrzeżenia wydawane administratorowi (ABI)  lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania
  • Udzielanie upomnień administratorowi (ABI) lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania
  • nakazanie administratorowi (ABI) lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia
  • nakazanie administratorowi (ABI) lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu
  • nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych
  • wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania
  • nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono
  • cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane

Kary pieniężne

Rozporządzenie RODO wskazuje, iż wśród administracyjnych kar pieniężnych występują kary pieniężne w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa w wysokości 2 % jego całkowitego, rocznego światowego obrotu z poprzedniego roku obrotowego przy czym zastosowanie ma kwota wyższa.
Nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust.2. podlega na mocy ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 mln euro, a w przypadku przedsiębiorstwa w wysokości 4 % jego całkowitego, rocznego światowego obrotu z poprzedniego roku obrotowego przy czym zastosowanie ma kwota wyższa.


Z doświadczenia wiem, że wiele firm nie postępuje z danymi odpowiedzialnie. Zdarzają się sytuacje, kiedy dokumenty są wyrzucane do kosza albo Pan Janek spali je w piecu jak znajdzie chwilę. Często spotykam się, że backup danych nagrywany jest na płyty i nigdy nie wiadomo co z tymi płytami się dzieje. Takie sytuacje nie mogą się zdarzyć i słusznie.  RODO normuje przetwarzanie danych i zmusza do refleksji za sprawą odpowiedzialności finansowej i administracyjnej łącznie. RODO wymusza dobre praktyki pracy podczas przetwarzania danych i uświadamia użytkownika o odpowiedzialności za nieautoryzowany dostęp, udostępnienie czy utratę danych. Za sprawą RODO wiele firm będzie musiało "nauczyć się" jak bezpiecznie przetwarzać dane i korzystać z narzędzi, które w tym pomagają. Proces wdrożenia RODO jest niemożliwy bez wsparcia specjalisty, który dostosuje systemy informatyczne do wytycznych. Zapraszamy do skorzystania z profesjonalnych usług w zakresie Outsourcingu ASI (Administrator systemów informatycznych) i kompleksowego wdrożenia RODO (linki poniżej). 

Zapraszamy do zapoznania się z naszą ofertą 

 Backup danych zgodnych z RODO 

 Wdrożenie RODO w Pasłęku

 Outsourcing ASI (Administrator systemów informatycznych)

copyrights © 2020 DESIGNEZ.   All rights reserved.