26 kwietnia 2022

Co to jest RODO? Zakres, cel, kary i jak postępować zgodnie z RODO

RODO to Rozporządzenie o Ochronie Danych Osobowych, znane również pod angielską nazwą GDPR (General Data Protection Regulation). RODO to rozporządzenie Unii Europejskiej dotyczące ochrony danych osobowych, które weszło w życie 25 maja 2018 roku. Ma ono zastosowanie do wszystkich podmiotów, które przetwarzają dane osobowe mieszkańców UE. Oznacza to, że dotyczy ono firm mających siedzibę zarówno w UE, jak poza obszarem UE. RODO to najsurowsze i najbardziej rozbudowane rozporządzenie o ochronie danych osobowych na świecie.

Rodzaje danych

Istnieją dwa rodzaje danych - osobowe i nieosobowe.

  • Dane osobowe

Dane osobowe to wszelkie informacje, które mogą bezpośrednio lub pośrednio być powiązane ze zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną. W Rozporządzenie o Ochronie Danych Osobowych używa się terminu „informacje”, a nie „dane”, ponieważ dane mają zwykle wartość informacyjną. Każdy rodzaj informacji osobowych może być powiązany z konkretną żyjącą osobą.

  • Dane nieosobowe

Dane nieosobowe nigdy nie są powiązane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. Kategoria ta obejmuje również dane, które początkowo były klasyfikowane jako dane osobowe, ale usunięto z nich powiązanie z osobą fizyczną.

Co to jest przetwarzanie danych osobowych?

Za przetwarzanie danych osobowych uznaje się różne rodzaje działań związanych z danymi osobowymi: gromadzenie, rejestrowanie, klasyfikowanie, strukturyzowanie, przechowywanie, dostosowywanie lub zmienianie, odzyskiwanie, sprawdzanie, wykorzystywanie, ujawnianie przez przesyłanie, rozpowszechnianie lub udostępnianie, zestawianie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Zasady RODO mają zastosowanie do firm, które przetwarzają dane osobowe w całości lub częściowo, stosując przetwarzanie zautomatyzowane lub ręczne, a także jeśli dane są częścią mającego ustaloną strukturę systemu przechowywania.

Przykłady danych osobowych

Rozporządzenie o Ochronie Danych Osobowych ma zastosowanie do przetwarzania danych osobowych. Podmioty gospodarcze mają obowiązek chronić następujące dane osobowe:

  • Dane osobowe pracownika (imię i nazwisko, adres, data urodzenia itp.),
  • Informacje o klientach/pacjentach/mieszkańcach (bazy danych marketingowych, dokumentacja medyczna, dane kontaktowe),
  • Niepubliczne dane osobowe partnerów biznesowych i dostawców,
  • Dane osobowe, które są przekazywane osobom trzecim i przez nie przetwarzane (księgi rachunkowe, rejestry kredytowe, marketing bezpośredni),
  • Obrazy i nagrania dźwiękowe,
  • Dane zaszyfrowane (adresy IP, adresy MAC, pliki cookie, jeśli można je powiązać z osobą fizyczną),
  • Fotografie osób fizycznych,
  • Nagrania wideo.

Cel RODO

Celem Rozporządzenia o Ochronie Danych Osobowych jest ochrona prywatności obywateli. Dlatego podmioty gospodarcze są zobowiązane do ochrony danych osobowych obywateli i nie mogą ich przetwarzać ani sprzedawać stronom trzecim bez ich zgody.

W przeszłości firmy sprzedawały sobie nawzajem dane bez zgody osób, których te dane dotyczyły. RODO ma na celu stworzenie jednolitej normy ochrony danych osobowych w UE.

Kolejnym celem RODO jest aktualizacja wcześniejszych przepisów, tak aby były one dostosowane do realiów nowoczesnego społeczeństwa cyfrowego.

Prawa osób fizycznych

RODO ma na celu pomoc obywatelom UE w zrozumieniu, w jaki sposób wykorzystywane są ich dane i w jaki sposób mogą składać skargi i odwołania. Celem jest zapewnienie osobom fizycznym kontroli nad ich danymi osobowymi. Obywatelom przysługują następujące prawa:

  • prawo do bycia poinformowanym,
  • prawo dostępu do danych,
  • prawo do sprostowania danych,
  • prawo do usunięcia danych/bycia zapomnianym,
  • prawo do ograniczenia przetwarzania danych,
  • prawo do przenoszenia danych,
  • prawo do sprzeciwu oraz prawa związane ze zautomatyzowanym podejmowaniem decyzji i profilowaniem.

Zakres RODO

Rozporządzenie o Ochronie Danych Osobowych ma wpływ na wszystkie podmioty, które przetwarzają dane osobowe obywateli UE, w tym na wszystkie podmioty gospodarcze, która oferuje towary i usługi lub zatrudniają pracowników w UE, nawet jeśli ich siedziba znajduje się poza UE.

RODO ma zastosowanie do podmiotów gospodarczych, stowarzyszeń, organizacji, organów administracji i w niektórych przypadkach osób prywatnych.

RODO obejmuje całą Unię Europejską, ma zastosowanie do wszystkich państw członkowskich oraz krajów Europejskiego Obszaru Gospodarczego, takich jak Islandia, Liechtenstein, Norwegia i Wielka Brytania.

Siedem zasad RODO

RODO opiera się na siedmiu zasadach dotyczących przetwarzania danych osobowych.

  • Zgodność z prawem, uczciwość i przejrzystość,
  • Ograniczenie celu przetwarzania,
  • Minimalizacja zakresu przetwarzanych danych,
  • Dokładność,
  • Ograniczenie przechowywania,
  • Integralność i poufność (bezpieczeństwo),
  • Odpowiedzialność.

Naruszenia RODO - kary finansowe

W przypadku naruszenia RODO, na podmioty zobowiązane mogą być nałożone dwa rodzaje kar pieniężnych.

  • Niższy poziom wynosi do 10 milionów euro lub 2% rocznego światowego dochodu z poprzedniego roku, jeśli kwota ta jest wyższa. Naruszenia związane z prowadzeniem dokumentacji, bezpieczeństwem danych itp.
  • Wyższy poziom wynosi do 20 milionów euro lub 4% rocznego światowego dochodu z poprzedniego roku fiskalnego, jeśli kwota ta jest wyższa. Kary te są zazwyczaj nakładane za naruszenia zasad ochrony danych, podstawy prawnej przetwarzania danych, zakazu przetwarzania danych wrażliwych, odmowy przyznania praw osobom, których dane dotyczą, lub przekazywania danych do krajów spoza UE.

Kary wynikające z RODO mogą być nakładane na wszystkie rodzaje przedsiębiorstw, od dużych do małych.

Kary są ustalane dla każdego przypadku z osobna i muszą być skuteczne, proporcjonalne i odstraszające. Istnieje katalog kryteriów, na podstawie którego ustala się odpowiednio wysoką karę pieniężną. Pod uwagę brane są następujące kryteria:

  • czy naruszenie było umyślne,
  • liczba osób poszkodowanych w wyniku naruszenia,
  • jakiego rodzaju działania podjęła firma, aby ograniczyć szkody,
  • zakres współpracy z władzami itp.

Różnice w przepisach RODO w UE

BDSG w Niemczech

Wraz z wejściem w życie GDPR w UE, w życie weszła nowa Niemiecka Ustawa o Ochronie Prywatności (BDSG-new). Uzupełnia ona, precyzuje i modyfikuje RODO oraz skupia się na konkretnych zagadnieniach. BDSG-new ma zastosowanie do firm prywatnych, które mają siedzibę w Niemczech i które przetwarzają dane osobowe w Niemczech, ale także do firm, które oferują towary i usługi w Niemczech lub nadzorują zachowanie podmiotów przetwarzających dane osób z Niemiec.

Trzy największe kary pieniężne związane z RODO

  1. Amazonkara pieniężna w wysokości 746 mln EUR - Grzywna w wysokości 746 milionów euro została nałożona przez luksemburską Narodową Komisję Ochrony Danych (CNDP) na Amazon.com Inc. Dochodzenie zostało wszczęte w związku ze skargą złożoną przez 10 000 osób przeciwko firmie Amazon w maju 2018 r. CNPD stwierdziła, że Amazon naruszył RODO gdyż jego system targetowania reklam nie uzyskał odpowiednich zgód od użytkowników.
  2. WhatsAppkara pieniężna w wysokości 225 mln EUR - Irlandzka Komisja ds. Prywatności Danych (Data Privacy Commission, DPC) 2 września 2021 r. nałożyła karę wynikającą z RODO na WhatsApp Ireland. WhatsApp Ireland Ltd. naruszyła zasadę przejrzystości i firma nie przekazała użytkownikom odpowiednich informacji. W 2021 roku WhatsApp zaktualizował swoją Informację o ocronie prywatności użytkowników (User Privacy Notice), aby zwiększyć przejrzystość przetwarzania danych osobowych użytkowników.
  3. Google LLCkara pieniężna w wysokości 90 mln EUR - CNIL (The Commission nationale de l'informatique et des libertés) nałożyła na Google LLC karę w wysokości 90 mln euro. Użytkownicy YouTube we Francji nie mogli odmówić instalacji plików cookie w tak sposób równie łatwy, w jaki sposób mogli wyrazić na nie zgodę. Firma osiągała korzyści zniechęcając użytkowników do odmawiania zgody na instalację plików cookie, co jest uznawane za naruszenie GDPR.

5 kroków do zabezpieczenia danych w celu zapewnienia zgodności z GDPR

  1. Przeprowadzenie audytu danych - Musisz wiedzieć, jakiego rodzaju dane osobowe generuje firma i gdzie są one przechowywane.
  2. Wdrożenie wytycznych dotyczących postępowania z dokumentami - Stwórz zestaw zasad określających sposób postępowania z danymi osobowymi.
  3. Przeszkolenie pracowników - Każdy pracownik powinien wiedzieć, jak należy postępować z danymi osobowymi.
  4. Szyfrowanie danych - RODO zaleca, aby wszystkie nośniki i urządzenia zewnętrzne były szyfrowane.
  5. Ochrona danych przed wyciekami i zagrożeniami z wewnątrz - Zapobieganie utracie danych to kompleksowa strategia, którą należy wdrożyć nie tylko ze względu na RODO, ale również dlatego, że dane są jednym z najcenniejszych zasobów posiadanych przez firmy. Zabezpiecz dane i sposoby komunikacji, takie jak poczta elektroniczna, dane przechowywane w chmurze, komunikatory, wydruki, napędy USB, urządzenia mobilne itp.

Jak dostosować się do RODO korzystając z rozwiązań Safetica?

Safetica pomaga monitorować przepływ danych w firmowym środowisku IT, a także w momencie, gdy dane opuszczają granice firmy. Możesz określić szczegółowe zasady, które pomogą Ci zachować zgodność z RODO. Safetica pozwala zobaczyć, w jaki sposób pracownicy pracują z danymi osobowymi i innymi danymi wrażliwymi, dzięki czemu możesz wyeliminować ryzyko celowego wykorzystania danych w sposób niewłaściwy a także przypadkowego naruszenia zasad. W przypadku zagrożenia bezpieczeństwa system przekazuje powiadomienie w czasie rzeczywistym.

Prywatność i ochrona danych osobowych powinny być absolutnym prawem każdego człowieka we współczesnym świecie. Dlatego właśnie w Safetica umieszczamy zapewniające to zabezpieczenia w centrum każdego z naszych produktów

Radim Trávníček
CISO Safetica

Jeśli chcesz zdobyć więcej informacji na temat zgodności z przepisami i rozwiązania Safetica, kliknij ten odnośnik lub zamów spotkanie demonstracyjne z naszymi ekspertami ds. bezpieczeństwa.

Zamów spotkanie demonstracyjne

Autor: Kristýna Svobodová, Copywriter

Mateusz Piątek

Mateusz Piątek
senior product manager Safetica / Holm Security / Senhasegura

Masz pytania?
Skontaktuj się ze mną:
piatek.m@dagma.pl
532 570 255

Skuteczna ochrona przed wyciekiem danych

Sprawdź