Jak uniknąć wysokich kar za niewłaściwe przechowywanie i przetwarzanie danych osobowych?
Rozporządzenie o Ochronie Danych Osobowych, czyli RODO obowiązuje od 25 maja 2018 roku. Wprowadzono je by ujednolicić przepisy dotyczące ochrony danych osobowych w krajach Unii Europejskiej.
Same przepisy nie narzucają wprost w jaki sposób chronić dane osobowe, zostawiając w tej kwestii duża swobodę, to jedno jest jasne, działania muszą być skuteczne, a za naruszenie przepisów i wyciek danych osobowych grożą ogromne kary, rzędu kilkudziesięciu milionów Euro.
Kogo obowiązują przepisy RODO?
Przepisy RODO obowiązują każdy podmiot przechowujący i przetwarzający dane osobowe, czyli każdą firmę i przedsiębiorstwo, instytucję państwową i publiczną, szkołę, policję czy też placówki służby zdrowia.
Są oczywiście firmy, które z zasady swojego działania, operują ogromną liczbą danych osobowych, takie jak call center, firmy windykacyjne, firmy telekomunikacyjne lub banki.
Dzięki przepisom RODO, klienci nie tylko są bardziej zabezpieczenia przed niechcianym wyciekiem danych, ale także przed nadużyciami firm, które często w celach marketingowych przechowywały i przetwarzały dane klientów bez ich zgody, a także dysponowały nimi niezgodnie z wolą klienta.
Jakie są najważniejsze przepisy RODO?
1. Klienci mają prawo do skorzystania z przepisów, umożliwiających im modyfikację lub całkowite usunięcie danych z bazy firmy. Dzięki RODO prośby klientów, w końcu będą respektowane. Każdy klient ma prawo do bycia zapomnianym, czyli wykreślenie jego danych w całości bazy, a także musi być poinformowany o przeniesieniu danych do innego administratora, czyli firmy.
Prawa klientów:
- prawo do bycia zapomnianym
- prawo do przenoszenia danych
- prawo do sprostowania danych
- prawo do ograniczenia przetwarzania
- prawo do sprzeciwu
- prawo dostępu przysługujące osobie, której dane dotyczą
2. Administratorem danych jest podmiot gospodarczy, czyli firma i to ona odpowiada za ich maksymalne zabezpieczenie. Każda firma musi wyznaczyć inspektora danych osobowych
3. Firmy mogą przechowywać tylko niezbędne im dane osobowe. Jest to tzw zasada minimalizacji przetwarzania danych osobowych.
4. Zapytanie o zgodę przetwarzania danych musi być napisane zrozumiałym językiem, w sposób przystępny i jasny dla użytkownika. Musi zawierać informację jakie konkretnie dane i w jakim celu będą przetwarzane.
5. Firma, czyli administrator danych jest zobowiązana wykazać, że klient faktycznie wyraził zgodę na przetwarzanie jego danych. Zgoda musi dotyczyć konkretnego podmiotu.
6. Firma ma 72 godziny na zgłoszenie naruszenia przetwarzania danych osobowych.
Wysokość przyznawanych kar.
Dotychczasowe kary nakładane przez GIODO ( od 25 maja 2018 roku organem właściwym jest Prezes UODO) sięgały maksymalnie 50 tys zł. W przypadku wielokrotnych naruszeń kwota ta wynosiła 200 tys. zł.
RODO wymierza dwa rodzaje kar (źródło: uodo.gov.pl).
Pierwsza w wysokości 10 mln Euro lub 2 % rocznego światowego obrotu z poprzedniego roku, w przypadku naruszenia obowiązków administratora lub podmiotu przetwarzającego, certyfikującego bądź monitorującego.
Druga w wysokości 20 mln Euro lub do 4% jego jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w przypadku naruszenia przepisów o prawach osób, których dane dotyczą, podstawowych zasad przetwarzania, przekazywania danych do państw trzecich oraz przestrzegania nakazu ograniczenia przetwarzania bądź zawieszenia danych.