Czym jest RODO
RODO to skrót od Rozporządzenia Ogólnego o Ochronie Danych Osobowych, które zostało ustanowione w Unii Europejskiej w 2016 roku i weszło w życie 25 maja 2018 roku. Rozporządzenie to określa zasady przetwarzania danych osobowych w Unii Europejskiej i reguluje sposób, w jaki firmy, organizacje i instytucje muszą postępować w przypadku zbierania, przechowywania, przetwarzania i udostępniania danych osobowych.
RODO ma na celu zapewnienie wysokiego poziomu ochrony prywatności i bezpieczeństwa danych osobowych.
Na czym polega rozporządzenie?
Zgodnie z tym rozporządzeniem, każda osoba ma prawo do ochrony swoich danych osobowych oraz do dostępu do nich, a także do ich poprawiania lub usuwania. W przypadku naruszenia tych praw, osoby, których dane zostały naruszone, mają prawo do wniesienia skargi i dochodzenia swoich praw przed organami nadzorczymi.
Dla przedsiębiorstw i organizacji, które przetwarzają dane osobowe, RODO wymaga wprowadzenia szeregu środków technicznych i organizacyjnych, które zapewnią ochronę tych danych i zminimalizują ryzyko ich naruszenia.
Wymogi te obejmują m.in. przeprowadzenie oceny skutków dla ochrony danych (DPIA), prowadzenie rejestru czynności przetwarzania danych, stosowanie zasad minimalizacji danych i prawa do bycia zapomnianym, wprowadzenie odpowiednich procedur bezpieczeństwa i poufności danych, a także zgłaszanie naruszeń ochrony danych do odpowiednich organów.
RODO dotyczy każdej firmy, organizacji lub instytucji, która przetwarza dane osobowe w UE, a także każdej firmy spoza UE.
Kary za niestosowanie się do RODO
Kara za niestosowanie się do RODO jest uzależniona od rodzaju naruszenia oraz stopnia szkody, jakie wynikły z nieprzestrzegania przepisów. Zgodnie z art. 83 RODO, organy nadzorcze mają prawo nałożyć kary administracyjne w wysokości do 20 milionów euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa.
- Niezgodne z prawem przetwarzanie danych osobowych Jeśli organizacja przetwarza dane osobowe bez zgody osoby, której dane dotyczą lub bez innej podstawy prawnej, może to skutkować nałożeniem kary. Ponadto, przetwarzanie danych osobowych powinno odbywać się zgodnie z celami, dla których zostały zebrane, a także zasadami minimalizacji danych oraz ograniczenia przechowywania.
- Brak ochrony danych osobowych. Organizacje muszą zapewnić odpowiedni poziom ochrony danych osobowych, takich jak stosowanie szyfrowania, haseł, odpowiednich systemów zabezpieczeń, a także monitorowania dostępu do danych. W przypadku braku ochrony danych osobowych, organizacja może zostać ukarana.
- Niezgłoszenie naruszenia ochrony danych RODO wymaga zgłaszania naruszeń ochrony danych do organów nadzorczych w ciągu 72 godzin od momentu stwierdzenia takiego naruszenia. Jeśli organizacja nie zgłosi naruszenia w terminie, może to skutkować nałożeniem kary RODO.
- Brak przeprowadzenia oceny skutków dla ochrony danych Jeśli organizacja przetwarza duże ilości danych osobowych lub dane wrażliwe, powinna przeprowadzić ocenę skutków dla ochrony danych (DPIA). Brak przeprowadzenia takiej oceny, jeśli jest wymagana, może skutkować nałożeniem kary.
- Brak odpowiednich umów z podmiotami przetwarzającymi dane. Jeśli organizacja przekazuje dane osobowe podmiotom przetwarzającym, powinna podpisać z nimi umowę powierzenia przetwarzania danych osobowych. Brak takiej umowy, jeśli jest wymagana, może skutkować nałożeniem kary.