Przedstawiamy i obalamy mity związane z unijnym rozporządzeniem dotyczących ochrony danych osobowych. Ciężko uwierzyć w brak wiedzy oraz niechęć odnośnie RODO u małych przedsiębiorców, którzy myślą że ich to nie dotyczy,

Przedstawiam zatem listę MITÓW NA TEMAT RODO.

MIT I:

RODO wchodzi w życie dopiero w maju 2018 r., a nowej ustawy o ochronie danych osobowych nie ma, więc mam dużo czasu na przygotowanie się do zmian.

WYJAŚNIENIE:

1. RODO już weszło w życie, w maju zacznie obowiązywać w całej Unii Europejskiej

2. Przepisy krajowe doprecyzowują pewne kwestie, ale rozporządzenie wiąże w całości i jest bezpośrednio stosowane w całej Unii Europejskiej.

3. Na bieżąco pojawiają się wytyczne Prezesa Urzędu Ochrony Danych Osobowych czy kodeksy postępowania dla różnych branży.

Będzie to jednak stanowiło tylko wyjaśnienie wątpliwości związanych z wdrożeniem RODO w firmie i uzupełnienie.

MIT II:

Ja nie przetwarzam żadnych danych osobowych, po co mi RODO?

WYJAŚNIENIE:

1. Jeżeli zatrudniasz pracowników to już przetwarzasz dane osobowe.

2. Jeżeli prowadzisz jednoosobową działalność gospodarczą, zastanów się z jakimi danymi osobowymi osób fizycznych (zidentyfikowanych lub możliwych do zidentyfikowania) masz do czynienia? Wysyłasz newsletter, na stronie internetowej umieściłeś formularz kontaktowy, zawierasz umowy o dzieło, wystawiasz faktury, posiadasz sklep internetowy? Powinieneś rozpocząć wdrożenie RODO w swojej firmie.

MIT III:

Jestem tylko podmiotem przetwarzającym dane w czyimś imieniu, nic nie robię z tymi danymi, więc mnie RODO nie dotyczy.

WYJAŚNIENIE:

Podmioty przetwarzające dane powinni uważnie wczytać się w przepisy RODO, ponieważ przewidziano tam dla nich różne nowe obowiązki. Administratorzy danych zostali zobowiązani do tego, żeby uważnie dobierać swoich kontrahentów, którym powierzają dane osobowe. Takie podmioty muszą zapewniać wysoki poziom bezpieczeństwa danych. Podmiot przetwarzający dane osobowe nie decyduje o celach i środkach przetwarzania danych – działa na podstawie

umowy z administratorem danych. W danej organizacji, dane osobowe faktycznie przetwarzają konkretne osoby fizyczne – pracownicy lub współpracownicy

administratora lub podmiotu przetwarzającego dane. Takie osoby powinny posiadać upoważnienie do przetwarzania

danych osobowych

MIT IV:

Do tej pory nie dostałem żadnej kary, to czemu teraz miałbym dostać. Zresztą większość osób nie stosuje się do tych przepisów,

WYJAŚNIENIE:

RODO wprowadza szereg możliwości “dyscyplinowania” takich przedsiębiorców. Oprócz kar finansowych możliwe będzie skierowanie powództwa cywilnego. Poza tym świadomość osób, których dane są przetwarzane jest coraz większa. Nie warto liczyć na łut szczęścia, tylko dobrze przygotować firmę do RODO.

MIT V:

Ja już mam zgłoszenie do GIODO, więc jestem przygotowany.

WYJAŚNIENIE:

GIODO przestaje obowiązywać w maju 2018 r. Pojawi się nowy organ nadzorczy Prezes Urzędu Ochrony Danych Osobowych. Na dzień dzisiejszy zgłoszenie do GIODO jest właściwie najmniej ważne. Najważniejsze jest ustalenie, jakie mamy zbiory danych, w jakich celach je przetwarzamy plus sporządzenie odpowiedniej dokumentacji.

MIT VI:

Co to za przepisy, gdzie straszą mnie 20 mln euro kary, jeżeli ja nie zarabiam nawet promila z tej kwoty.

WYJAŚNIENIE:

Najwyższa przewidziana w RODO kara finansowa to faktycznie do 20 mln euro lub do 4 % obrotu przedsiębiorstwa z roku poprzedniego. To są kary które mają odstraszać gigantów takich jak Google czy FB. W RODO wyraźnie się wskazuje, że organ nadzorczy (czyli wkrótce PUODO) ma zagwarantować, żeby kary pieniężne były “w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające”. Każdy przypadek będzie rozpatrywany indywidualnie.

W art. 83 RODO podaje się na co powinno się zwrócić uwagę przy nakładaniu kar. W kwestii nakładania kar, więcej będzie wiadome po powołaniu nowego organu.

MIT VII

Nie potrzebny nam inspektor RODO mamy Administratora Danych Osobowych!

Wyjaśnienie:

Instytucje Państwowe mają obowiązek powołać z zewnątrz lub zatrudnić Inspektora Ochrony Danych (jest to następca Administratora Bezpieczeństwa Informacji) np.: szkoły, szpitale. Natomiast przedsiębiorca może skorzystać z dowolnej firmy zewnętrznej jak np. kancelaria prawna, która ma uprawnienia i zabezpieczy dane oraz przeszkoli personel. Zazwyczaj potrzebny jest do tego informatyk, programista, prawnik.

Kim jest Inspektor RODO?

Unijne przepisy wskazują, iż inspektor ochrony danych osobowych musi mieć zagwarantowaną niezależność i podlegać najwyższemu kierownictwu tak, aby mógł bezpośrednio skontaktować się z osobami decyzyjnymi w sprawie przetwarzania danych osobowych a także mieć dostęp do wszystkich informacji, które związane są z przetwarzaniem danych osobowych w organizacji. Nie może być on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Niezależność Inspektora ma zapewniać również zakaz wydawania mu instrukcji, co do sposobu wykonywania jego obowiązków (niedopuszczalne będzie zatem np. zlecenie Inspektorowi, przez zarząd administratora, przygotowania raportu z audytu ochrony danych o określonej z góry treści). Ta gwarancja niezależności inspektora ochrony danych jest niezbędna dla zapewnienia mu możliwości wykonywania zadań

RADA NA DZIŚ: zebrać najważniejsze osoby w firmie (odpowiedzialne za przetwarzanie danych) i zastanowić się nad zbiorami danych, celami przetwarzania i ryzykami, które mogą występować w Twojej firmie.

Źródło: http://www.kancelariasosnicka.pl/nasz-blog/58-6-mitow-na-temat-rodo.html