RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych (ang. GDPR – General  Data Protection Regulation) zaczęło obowiązywać w Unii Europejskiej od 25 maja 2018 roku. W tym artykule dowiesz się, co to jest RODO, czym są dane osobowe, na czym polega ochrona danych osobowych, jakie są obowiązki przedsiębiorców (organizacji) wynikające z RODO, jaka jest rola inspektora ochrony danych osobowych (IOD) oraz z jakich szkoleń RODO i akredytowanych (certyfikowanych) kursów IOD skorzystać, aby sprostać wymogom RODO i zapobiec naruszeniom bezpieczeństwa danych osobowych oraz uniknąć dotkliwych sankcji: kar administracyjnych i pieniężnych.

Pamiętaj: w dobie cyfryzacji wdrożenie RODO to obecnie kluczowe działanie zapewniające bezpieczne prowadzenie biznesu w aspekcie ochrony danych. Jeśli chcesz mieć pewność, że Twoja organizacja spełnia standardy RODO, skorzystaj z usług doradztwa i szkolenia ze strony zewnętrznych ekspertów, którzy pomogą Ci we wdrożeniu RODO i zapewnieniu ochrony przetwarzanych danych osobowych.

Celem RODO jest dostosowanie unijnych przepisów w zakresie danych osobowych do wyzwań XXI wieku, ich ujednolicenie oraz  zapewnienie swobodnego, a jednocześnie bezpiecznego przetwarzania danych osobowych. 

Zasady przetwarzania danych osobowych wprowadzone poprzez RODO, mają umożliwić m.in. łatwiejszy dostęp do danych, nowe prawo do przenoszenia danych, skuteczne prawo do usunięcia danych („prawo do bycia zapomnianym”), prawo do niezwłocznego uzyskania informacji o próbie nieuprawnionego dostępu danych, a także zapewnienia adekwatnych, ale też elastycznych środków bezpieczeństwa z wykorzystaniem nowych technologii, takich jak pseudonimizacja lub szyfrowanie.

Od 4 maja 2019 r. obowiązuje ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania ogólnego rozporządzenia o ochronie danych (DzU poz. 730; dalej: nowelizacja), której celem było dostosowanie polskich przepisów sektorowych do RODO. Nowe przepisy w zakresie ochrony danych osobowych odwołują się wprost do RODO, jak np. art. 4 ustawy o świadczeniu usług drogą elektroniczną. Nowelizacja reguluje m.in. obowiązki informacyjne przedsiębiorców względem konsumentów, kwestie ochrony danych osobowych kandydatów do pracy, obowiązek wprowadzenia organizacyjnych i technicznych środków ochrony danych osobowych oraz wskazuje konsekwencje naruszenia przepisów o ochronie danych osobowych.

Przedsiębiorca, który stwierdził naruszenie ochrony danych osobowych, ma obowiązek poinformować o tym właściwy organ nadzoru tj. Prezesa UODO w ciągu 72 godz. od stwierdzenia naruszenia, ale może być zobowiązany do zawiadomienia osób, których dane dotyczą. Konsekwencją naruszenia obowiązków wynikających z RODO może być ukaranie przedsiębiorcy karą pieniężną. Zgodnie z art. 83 RODO, naruszenia przepisów dotyczących ochrony danych osobowych podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Dane osobowe to informacje o osobie fizycznej, które umożliwiają jej identyfikację, takie jak: imię i nazwisko, numer identyfikacyjny, adres domowy, adres e-mail, dane o lokalizacji, identyfikator internetowy, cechu fizyczne, fizjologiczne, genetyczne, psychiczne, kulturowe lub społeczne.. Za dane osobowe uznać można nawet dane finansowe, jak przychód czy dane bankowe.

Zgodnie z RODO, dane osobowe są objęte ochroną bez względu na to, w jaki sposób są używane lub przechowywane, np. z wykorzystaniem najnowszych systemów informatycznych, bądź papierowych dokumentów w segregatorach. W każdym przypadku przetwarzanie danych podlega wymogom RODO.

RODO to nowe podejście do ochrony danych osobowych.  Ochrona prywatności powinna być stosowana w praktyce przy prowadzeniu wszelkich projektów i działań. Wyrażają to zasady uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych. Uwzględnianie ochrony danych w fazie projektowania oznacza, że ochrona prywatności powinna być wbudowana w każdy nowy projekt. Z kolei domyślna ochrona danych to konieczność zapewnienia jak najdalej idących zabezpieczeń prywatności w ustawieniach początkowych każdego systemu lub platformy internetowej. Zabezpieczenia mają być ustawione domyślnie, czyli bez konieczności jakiegokolwiek działania osób, których dane dotyczą. Ponadto, domyślnie powinny być przetwarzane tylko te dane, które są niezbędne do osiągnięcia celu, dla którego zostały zebrane (zasada minimalizacji danych).

Punktem wyjścia do przepisów szczegółowych RODO są zasady przetwarzania danych osobowych: rzetelności, zgodności z prawem i przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości danych, ograniczenia przechowywania, integralności i poufności oraz rozliczalności. Przetwarzaniem danych osobowych może być każda operacja na nich dokonywana, jak zbieranie danych, utrwalanie, organizowanie, porządkowanie, przechowywanie, dostosowywanie lub zmienianie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Zgodnie z RODO, administrator jest nie tylko odpowiedzialny za przestrzeganie przepisów, ale musi też być w stanie wykazać ich przestrzeganie.  Inaczej mówiąc, administrator powinien mieć możliwość udokumentowania i udowodnienia, że przetwarzanie danych w jego organizacji jest zgodne z prawem, rzetelne i przejrzyste.

RODO nakłada zatem na administratorów (organizacje) obowiązek wdrożenia odpowiednich technicznych i organizacyjnych środków ochrony danych osobowych. Administratorzy muszą wykazać przestrzeganie RODO pod kątem ryzyka naruszenia praw lub wolności osób fizycznych.

RODO nie wskazuje konkretnych rozwiązań, które należy wdrożyć w celu zabezpieczenia danych osobowych. Wskazuje jedynie cel, do którego administrator powinien dążyć, nie podając metody jego osiągnięcia (tzw. neutralność technologiczna).

Zgodnie z art. 2 RODO przepisy tego rozporządzenia nie mają zastosowania do przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. W związku z tym przyjęty został odrębny akt prawny, Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z 27 kwietnia 2016 r., zwana Dyrektywą DODO. Na jej podstawie Polska, jako kraj członkowski UE, wdrożyła odpowiednie przepisy poprzez ustawę z dnia 14 grudnia 2018 r. o ochronie danych osobowych w związku z zapobieganiem i zwalczeniem przestępczości, zwaną Ustawą DODO.

Wraz z wprowadzeniem RODO, od 25 maja 2018 roku funkcja administratora bezpieczeństwa informacji (ABI) została zastąpiona przez funkcję inspektora ochrony danych (IOD) – ang. DPO-Data Protection Officer.

RODO nie nakłada obowiązku powoływania inspektora ochrony danych na wszystkich pracodawców. Muszą go wyznaczyć organy publiczne oraz podmioty, których główna działalność ze względu na swój charakter, zakres lub cele wymaga z przetwarzania danych na dużą skalę. To administrator (organizacja) musi ustalić, czy ma ten obowiązek i uzasadnić, czyli udokumentować swoje stanowisko, uwzględniając unijne wytyczne w tym zakresie.

Funkcję inspektora ochrony danych może pełnić osoba zatrudniona u administratora, także realizująca w organizacji inne zadania, lub zewnętrzny ekspert. Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy.

IOD jest zobowiązany do zachowania tajemnicy lub poufności wykonywanych zadań. IOD zapewnia organizacji istotne wsparcie merytoryczne w zakresie ochrony danych osobowych, pomaga w przygotowaniu dokumentacji RODO i zapewnia stały kontakt z organem nadzorczym. Należy pamiętać, że inspektor ochrony danych osobowych powinien być informowany o wszelkich sprawach związanych z danymi osobowymi i mieć wpływ na podejmowane decyzje i działania w tym zakresie.

W dobie cyfryzacji i różnorodnych zagrożeń bezpieczeństwa informatycznego inspektor ochrony danych (IOD) to zatem jedna z ważniejszych funkcji w organizacji. Mając profesjonalną wiedzę na temat przepisów prawnych i narzędzi RODO, inspektor ochrony danych informuje, doradza i szkoli kierownictwo organizacji i pracowników oraz przeprowadza audyty i na bieżąco ocenia zgodność organizacji z przepisami o ochronie danych osobowych, wskazując miejsca do poprawy. W razie potrzeby inspektor jest punktem kontaktowym – zarówno dla organu nadzorczego, jak i dla osób, których dane przetwarza administrator. Inspektor ochrony danych powinien uczestniczyć w planowaniu i zmianie wszelkich procesów, które są związane z danymi osobowymi.

Funkcja inspektora ochrony danych osobowych wymaga wiedzy i doświadczenia w zakresie stosowania prawa, zarządzania ryzykiem oraz zabezpieczeń IT, a ponadto dyspozycyjności i ciągłego podnoszenia kwalifikacji. Dlatego outsourcing IOD, czyli przejęcie funkcji IOD przez zewnętrznych ekspertów to sprawdzony sposób na optymalizację procesów i kosztów. Outsourcing IOD to szereg innych korzyści: stały dostęp do doświadczonych konsultantów z zakresu prawa, bezpieczeństwa sieci i systemów IT, zarządzania ryzykiem i bezpieczeństwa fizycznego, dostęp do narzędzi informatycznych pozwalających wykazać zgodność z RODO, w tym do platformy e-learningowej, realizacja lub wsparcie w realizacji wielu obowiązków spoczywających bezpośrednio na organizacji, poczucie bezpieczeństwa wynikające ze współpracy z doświadczonym i kompetentnym partnerem w zakresie ochrony danych osobowych oraz pełne wsparcie w zarządzaniu naruszeniami, a podczas kontroli UODO, fizyczna obecność na miejscu ekspertów – prawnika oraz informatyka.

Szkolenia z RODO zwiększają świadomość i zmniejszają ryzyko błędów, jakie mogą popełnić pracownicy, narażając organizację na poważne konsekwencje, w tym bardzo wysokie kary pieniężne. Podczas szkolenia RODO pracownicy dowiedzą się, czym są dane osobowe i jak je przetwarzać w bezpieczny sposób, jak działać w nowoczesnym ekosystemie informatycznym, czym są naruszenia ochrony danych osobowych i jak im zapobiegać, jakie są prawa osób fizycznych w zakresie ochrony danych osobowych.

Szkolenie pracowników w zakresie ochrony danych osobowych i bezpieczeństwa informacji jest kluczowe dla zapobiegania i ograniczania ryzyka, bowiem pomaga zrozumieć ważną rolę, jaką pracownicy mogą odegrać w zwalczaniu naruszeń. Takie szkolenie znacząco zwiększa bezpieczeństwo informacji przy stosunkowo niskich kosztach. Pracownicy organizacji powinni mieć świadomość, że za bezpieczeństwo danych osobowych odpowiadają wszyscy.

Dzięki szkoleniu z bezpieczeństwa informacji pracownicy poznają zasady cybernetycznej higieny w miejscu pracy, dowiedzą się, jak działać w nowoczesnym ekosystemie informatycznym (praca hybrydowa, korzystanie z e-maila i social mediów), uzyskają świadomość istnienia socjotechnik i zagrożeń z tym związanych, a także świadomość, czym są naruszenia ochrony danych i jak im zapobiegać.

Szkolenie IOD w praktyce przeznaczone jest dla osób, które chcą zmierzyć się z obowiązkami i specyfiką pracy inspektora ochrony danych. Warsztaty DPIA i analiza ryzyka to dobre rozwiązanie dla osób chcących posiąść wiedzę na temat wykonywania oceny skutków i analizy ryzyka. Szkolenie RODO w HR jest użyteczne dla osób, które chcą zrozumieć, na czym polega ochrona danych osobowych w kontekście danych kadrowych i jak w praktyczny sposób stosować wymogi prawa w tym zakresie. Szkolenie RODO w IT przeznaczone jest dla inspektorów ochrony danych, managerów i pracowników IT. Na szkoleniach DODO od podstaw można poznać obowiązki, jakie reguluje Ustawa DODO. Bezpłatne webinary są okazją do spotkań z ekspertami w zakresie ochrony danych osobowych, którzy w prosty sposób wyjaśniają aktualne interpretacje przepisów oraz najnowsze trendy rynkowe.

Szkolenie zdalne z RODO w formie e-learningu to prosta i efektywna kosztowo formuła przeprowadzenia szkoleń dla większości pracowników, którzy zajmują stanowiska kierownicze m.in. dla pracowników ochrony, sprzedawców, telemarketerów, pracowników infolinii, obsługi recepcji lub kasjerów bankowych. Celem e-learningu jest zapoznanie pracownika z podstawowymi informacjami niezbędnymi do bezpiecznego i zgodnego z RODO przetwarzania danych osobowych.

Dzięki temu szkoleniu pracownicy organizacji będą mieli wiedzę, jak może wyglądać kontrola Prezesa UODO oraz jakich informacji mogą żądać od nich kontrolerzy. Po szkoleniu z przygotowania do kontroli UODO pracownicy zyskują świadomość w zakresie tego, czym są dane osobowe i na co zwracać uwagę przy ich codziennym przetwarzaniu, jak przebiega kontrola UODO, w tym jakie prawa i obowiązki ma kontrolujący i kontrolowany, jak zachować się podczas kontroli i jak dostosować obszar przetwarzania, aby jej przebieg był możliwie pomyślny i jak krok po kroku przygotować organizację do zapowiedzianej kontroli.

Zapoznaj się z bogatą ofertą przystępnych cenowo, cyklicznych szkoleń, kursów i warsztatów poświęconych RODO, stacjonarnych i online, dla początkujących i zaawansowanych. Znajdź program zajęć najlepiej dopasowany do Twoich potrzeb. Dzięki szkoleniom, kursom i warsztatom z RODO dowiesz się m.in.  jak krok po kroku zbudować system ochrony danych osobowych, jak skutecznie i rzetelnie wywiązać się z powierzonych Tobie obowiązków, jak przeprowadzić audyt zgodności z przepisami o ochronie danych osobowych, jakie polityki ochrony danych osobowych powinna zastosować Twoja organizacja, jak zabezpieczyć system informatyczny, jak szacować ryzyko i dokonać oceny skutków dla ochrony danych, jak wdrożyć i stosować RODO, aby zwiększyć renomę Twojej organizacji, poprzez troskę i ochronę, jakimi Twoja organizacja otacza dane osobowe swoich potencjalnych, obecnych i byłych Klientów oraz Kontrahentów.