December 22, 2016
Termin
- 25 maja 2018 roku - początek obowiązywania RODO
- dotyczy wszystkich przedsiębiorców prowadzących działalność w UE / przetwarzających dane obywateli U
Nowe obowiązki
- administrator zobowiązany jest do prowadzenia rejestru czynności przetwarzania (rejestr ma zawierać informacje wskazane w RODO), rejestr zastąpi politykę bezpieczeństwa, instrukcję zarządzania systemem informatycznym oraz rejestrowanie baz danych
- obowiązek przeprowadzenia oceny skutków dla ochrony danych (m. in. w przypadku przetwarzania na dużą skalę danych szczególnej kategorii)
- privacy by design (ochrona prywatności ma być uwzględniona w fazie projektowania procesów przetwarzania danych)
- privacy by default (domyślnie przetwarzane mają być wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania)
- prawo do bycia zapomnianym
- prawo uzyskania kopii przetwarzanych danych przez osobę, której dane są przetwarzane
- administrator sam będzie zobowiązany do stosowania takich środków technicznych i zabezpieczeń, które będą dostosowane do charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności („rozporządzenie techniczne” przestanie obowiązywać)
- zgłaszanie naruszeń GIODO (w ciągu 72 h) / zawiadomienie osoby, której dane dotyczą o naruszeniu
- administrator ma obowiązek dokumentować wszelkie naruszenia ochrony danych osobowych, ich okoliczności, skutki oraz podjęte działania zaradcze
- konsultacje z organem przed rozpoczęciem przetwarzania w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych w wyniku przetwarzania danych
- kodeksy postępowania i mechanizmy certyfikacji
Powierzenie przetwarzania danych
- RODO reguluje treść umowy powierzenia przetwarzania
- wymóg zachowania staranności przez administratora w wyborze podmiotu przetwarzającego dane (gwarantujący właściwe wdrożenie RODO)
- konieczność uzyskania zgody administratora na dalsze powierzenie przetwarzania
- umowy powierzenia przetwarzania muszą podlegać prawu Unii lub państwa członkowskiego
- możliwość zawarcia umowy również w formie elektronicznej
Odpowiedzialność prawna administratora
- osobie, której dane są przetwarzane przez administratora będzie przysługiwało prawo do pozwania administratora przed sądem powszechnym o odszkodowanie
- prawo to dotyczy szkód majątkowych i niemajątkowych
Zgoda dziecka
- dla usług e-commerce dziecko, które ukończyło 16 lat może samo udzielić zgody na przetwarzanie danych osobowych (państwa mogą obniżyć wiek do min. 13 lat)
- gdy dziecko nie ukończyło 16 lat konieczna jest zgoda opiekuna
- na administratorze danych spoczywa obowiązek weryfikacji czy opiekun wyraził zgodę
- za niezgodne z prawem przetwarzanie danych osobowych dziecka poniżej 16 lat kara do 10 mln EUR lub 2% globalnego rocznego obrotu z poprzedniego roku za naruszenie praw podmiotów danych
Przetwarzanie szczególnych kategorii danych osobowych
- wprowadzenie nowego pojęcia szczególnych kategorii danych osobowych zamiast danych wrażliwych
- zniesienie wymogu zgody na piśmie
- ocena skutków przetwarzania dla ochrony danych
- dodanie do tej kategorii danych biometrycznych, np. owal twarzy, rozkład oczu
- obowiązkowe powołanie Inspektor Ochrony Danych, przy przetwarzaniu na dużą skalę
Inspektor Ochrony Danych
- nowa funkcja w miejsce ABI
- powołanie obowiązkowe dla administratorów przetwarzających określone kategorie danych m. in. na dużą skalę dane szczególnej kategorii (dane wrażliwe)
- w ramach obowiązku informacyjnego administrator zobowiązany jest do podania danych kontaktowych Inspektora Ochrony Danych (punkt kontaktowy)
- bezpośrednio podlega jedynie najwyższemu kierownictwu w strukturach administratora
- określone kwalifikacje zawodowe (wiedza fachowa na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia powierzonych zadań)
- możliwy outsourcing
Zniesione obowiązki
- zgłaszanie zbiorów danych osobowych
- prowadzenia dokumentacji przetwarzania danych osobowych i stosowania warunków technicznych określonych w „rozporządzeniu technicznym”
Kary
- do 20 mln euro lub 4 % globalnego rocznego obrotu z poprzedniego roku za naruszenie praw podmiotów danych
- 25 maja 2018 roku - początek obowiązywania RODO
- dotyczy wszystkich przedsiębiorców prowadzących działalność w UE / przetwarzających dane obywateli U
Nowe obowiązki
- administrator zobowiązany jest do prowadzenia rejestru czynności przetwarzania (rejestr ma zawierać informacje wskazane w RODO), rejestr zastąpi politykę bezpieczeństwa, instrukcję zarządzania systemem informatycznym oraz rejestrowanie baz danych
- obowiązek przeprowadzenia oceny skutków dla ochrony danych (m. in. w przypadku przetwarzania na dużą skalę danych szczególnej kategorii)
- privacy by design (ochrona prywatności ma być uwzględniona w fazie projektowania procesów przetwarzania danych)
- privacy by default (domyślnie przetwarzane mają być wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania)
- prawo do bycia zapomnianym
- prawo uzyskania kopii przetwarzanych danych przez osobę, której dane są przetwarzane
- administrator sam będzie zobowiązany do stosowania takich środków technicznych i zabezpieczeń, które będą dostosowane do charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności („rozporządzenie techniczne” przestanie obowiązywać)
- zgłaszanie naruszeń GIODO (w ciągu 72 h) / zawiadomienie osoby, której dane dotyczą o naruszeniu
- administrator ma obowiązek dokumentować wszelkie naruszenia ochrony danych osobowych, ich okoliczności, skutki oraz podjęte działania zaradcze
- konsultacje z organem przed rozpoczęciem przetwarzania w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych w wyniku przetwarzania danych
- kodeksy postępowania i mechanizmy certyfikacji
Powierzenie przetwarzania danych
- RODO reguluje treść umowy powierzenia przetwarzania
- wymóg zachowania staranności przez administratora w wyborze podmiotu przetwarzającego dane (gwarantujący właściwe wdrożenie RODO)
- konieczność uzyskania zgody administratora na dalsze powierzenie przetwarzania
- umowy powierzenia przetwarzania muszą podlegać prawu Unii lub państwa członkowskiego
- możliwość zawarcia umowy również w formie elektronicznej
Odpowiedzialność prawna administratora
- osobie, której dane są przetwarzane przez administratora będzie przysługiwało prawo do pozwania administratora przed sądem powszechnym o odszkodowanie
- prawo to dotyczy szkód majątkowych i niemajątkowych
Zgoda dziecka
- dla usług e-commerce dziecko, które ukończyło 16 lat może samo udzielić zgody na przetwarzanie danych osobowych (państwa mogą obniżyć wiek do min. 13 lat)
- gdy dziecko nie ukończyło 16 lat konieczna jest zgoda opiekuna
- na administratorze danych spoczywa obowiązek weryfikacji czy opiekun wyraził zgodę
- za niezgodne z prawem przetwarzanie danych osobowych dziecka poniżej 16 lat kara do 10 mln EUR lub 2% globalnego rocznego obrotu z poprzedniego roku za naruszenie praw podmiotów danych
Przetwarzanie szczególnych kategorii danych osobowych
- wprowadzenie nowego pojęcia szczególnych kategorii danych osobowych zamiast danych wrażliwych
- zniesienie wymogu zgody na piśmie
- ocena skutków przetwarzania dla ochrony danych
- dodanie do tej kategorii danych biometrycznych, np. owal twarzy, rozkład oczu
- obowiązkowe powołanie Inspektor Ochrony Danych, przy przetwarzaniu na dużą skalę
Inspektor Ochrony Danych
- nowa funkcja w miejsce ABI
- powołanie obowiązkowe dla administratorów przetwarzających określone kategorie danych m. in. na dużą skalę dane szczególnej kategorii (dane wrażliwe)
- w ramach obowiązku informacyjnego administrator zobowiązany jest do podania danych kontaktowych Inspektora Ochrony Danych (punkt kontaktowy)
- bezpośrednio podlega jedynie najwyższemu kierownictwu w strukturach administratora
- określone kwalifikacje zawodowe (wiedza fachowa na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia powierzonych zadań)
- możliwy outsourcing
Zniesione obowiązki
- zgłaszanie zbiorów danych osobowych
- prowadzenia dokumentacji przetwarzania danych osobowych i stosowania warunków technicznych określonych w „rozporządzeniu technicznym”
Kary
- do 20 mln euro lub 4 % globalnego rocznego obrotu z poprzedniego roku za naruszenie praw podmiotów danych
About the Author
Read also
November 12, 2024
Dobrowolne umorzenie udziałów w spółce z o.o.
Umorzenie udziałów jest instytucją prawa handlowego uregulowaną w art. 199 KSH. Polega ona na unicestwieniu, czyli zniesieniu lub wygaśnięciu...
Read more
November 04, 2024
Environmental, Social and Governance (ESG) factors
ESG factors have become critical elements that business must address to remain competitive and legally compliant. ESG, as a concept have existed...
Read more
October 31, 2024
WEBINAR: How to establish a Polish limited company?...
About the webinar Are you planning to expand your business to Poland? Starting a limited liability company in Poland offers excellent...
Read more