Trzeba wiedzieć

Rodo wchodzi w życie

Ważne:

Już niebawem bo 25 maja 2018 r. we wszystkich krajach członkowskich Unii Europejskiej wejdą w życie przepisy tzw. RODO czyli Rozporządzenie o Ochronie Danych Osobowych (Rozporządzenie Parlamentu Europejskiego i Rady UE (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej Rozporządzenie lub RODO).

Uchylenie dyrektywy 95/46/WE  i wejście w życie nowego Rozporządzenia jest konsekwencją rozwoju technologii, których dyrektywa tworzona w latach 90 nie mogła przewidzieć. RODO (Rozporządzanie o Ochronie Danych Osobowych) wprowadza istotne  zmiany w zakresie obowiązków ochrony danych osobowych w instytucjach publicznych jednostek samorządowych i przedsiębiorstwach ma też na celu powszechną ochronę danych osób, wprowadzając nałożenie nowych obowiązków na przetwarzających dane osobowe.

Ważne:

Jeśli nie chcesz narazić się na odpowiedzialność oraz wysokie kary finansowe, zapoznaj się szczegółowo z poniższymi instrukcjami i przygotuj się by właściwie pobierać i przetwarzać dane osobowe. W przypadku niewłaściwego stosowania przepisów przedsiębiorca może zostać ukarany grzywną w celu przymuszenia do wykonania decyzji GIODO, w wysokości do 200.000 euro lub 4% całkowitego rocznego „światowego” obrotu u danego karanego przedsiębiorcy z roku obrotowego, który poprzedza naruszenie. 

1. Wprowadzone przepisy RODO i te z rządowego projektu ustawy o ochronie danych osobowych z dnia 16 marca 2018 r. rozszerzają przede wszystkim obowiązek informowania konsumentów, których dane zapisujemy i przetwarzamy. Powinniśmy informować osoby od których pobieramy dane osobowe na każdym kroku o celu, zakresie i sposobie wykorzystania pobierania danych.

Rozporządzenie RODO dotyczy tak naprawdę wszystkich przedsiębiorców. Gdyż każdy z nich musi gromadzić i wykorzystywać dane dotyczące osób fizycznych. Mogą to być zarówno duże korporacje jak i mniejsze niewielkie przedsiębiorstwa. Zgodnie z art. 5 rozporządzenia zasady dotyczące przetwarzania danych osobowych zostały określone następująco. Dane osobowe muszą być:

 • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
 • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
 • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
 • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
 • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
 • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Ważne:

Ty lub Administrator jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Wskazać należy, że wdrożenie nowych regulacji przez przedsiębiorców będzie wymagało kreatywności. Same przepisy RODO i Ustawy niestety nie tłumaczą punkt po punkcie, co i jak należy zrobić. Dlatego też metody zbierania, klasyfikowania, zabezpieczania i przetwarzania danych osobowych każdy przedsiębiorca będzie musiał wybrać i dostosować indywidualnie do charakteru swojego przedsiębiorstwa. 

Ważne:

Przed 25 maja 2018 r. musisz dokonać weryfikacji i ustalić zakres podmiotowy i rzeczowy danych osobowych, które chcesz przetwarzać w zakresie nowej ustawy i rozporządzenia. Pamiętaj, że przetwarzanie to operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Przede wszystkim przedsiębiorca powinien dokonać weryfikacji stanu wg. UODO czy zbiory danych osobowych czyli katalogi klientów/kontrahentów są właściwie zabezpieczone właściwymi programami. W szczególności zwrócić należy uwagę na to jakie dane są obecnie przetwarzane. Jeżeli są to dane wrażliwe np. przy prowadzeniu apteki, czy gabinetu lekarskiego, niezbędne będzie powołanie odrębnego inspektora ochrony danych osobowych w miejsce obecnego administratora bezpieczeństwa informacji.

Poniżej przedstawiamy przykładową listę kroków, jakie należy podjąć na potrzeby wdrożenia Rozporządzenia i Ustawy:

 • Na początek szczegółowo zaplanuj procesu wdrażania systemu ochrony danych osobowych w czasie, oraz wyznacz w swoim przedsiębiorstwie pracowników odpowiedzialnych za koordynowanie działań oraz ewentualnie dodatkowe zatrudnienie (zlecenie działań) osoby o właściwych kompetencjach (prawnik/informatyk);
 • Przeprowadź audyt wewnętrzny w tym kroku w szczególności sprawdź jak przebiega inwentaryzacja danych osobowych w Twoim przedsiębiorstwie oraz procesów ich przetwarzania, wnioskami na zakończenie audytu powinny być informacje co należy udoskonalić celem zgodności systemu Twojego przedsiębiorstwa z Rozporządzeniem, 
 • Dokonaj na podstawie audytu (przeglądu) szczegółowej oceny ryzyk związanych z przetwarzaniem danych osobowych w Twojej Firmie;
 • Dostosuj rozwiązania technologiczne i techniczne oraz regulacje jakie zostaną wdrożone (stworzenie nowych regulaminów, stworzenie nowych deklaracji);
 • Przygotuj nowe regulaminy i dokumentacje RODO w Twoim przedsiębiorstwie;
 • Dokonaj wdrożenia powyższych rozwiązań; 
 • Dokonaj przeszkolenia Twoich pracowników;

2. RODO wymienia przykładowe środki w zakresie zapewnienia bezpieczeństwa przetwarzania danych osobowych, zgodnie z art. 32 Rozporządzenia są to:

 • pseudonimizacja i szyfrowanie danych osobowych;
 • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
 • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
 • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Ważne:

Pamiętaj, że o tym jakie konkretnie rozwiązania powinny zostać wprowadzone w zakresie zabezpieczeń powinny zadecydować szczegółowe rozporządzenie zakresu zbiorowych danych i ich kwalifikowania oraz weryfikacja ich prowadzenia, których ustalenia i wnioski będą różne dla każdego przedsiębiorcy.

3. Koniczne jest również zweryfikowanie do kogo od Ciebie trafiają dane klientów i dokonanie analizy zawartych umów pod kątem zgodności z RODO, na mocy których następuje powierzenie przetwarzania danych osobowych. Może okazać się, że konieczna będzie całkowita zmiana lub aneksowanie dokumentów tak, aby były one zgodne z Rozporządzeniem i Twoimi nowymi wewnętrznymi regulacjami.

Ważnym kolejnym krokiem jest to aby przeszkolić pracowników, którzy będą mieć dostęp do zbioru danych osobowych, mogli je przetwarzać lub będą mieć kontakt z klientami. Pracownicy powinni również zostać przeszkoleni pod względem udzielania informacji klientom w zakresie pozyskiwania, przetwarzania i zabezpieczenia ich danych osobowych w Twojej firmie.

Ważne:

Celem przygotowania do wdrożenia, powinieneś zrobić/ zlecić szczegółowa analizę do jakiego stopnia przepisy obowiązują w Twoim przedsiębiorstwie, i trzeba je jedynie dostosować dokonując drobnych modyfikacji, a o ile trzeba wdrożyć zabezpieczenia dotyczące danych osobowych od początku.

W związku z powyższym, aby należycie zbudować taki system, trzeba starannie zaplanować cały proces. Trzeba pamiętać, że proces wdrożenia RODO może trwać 1-2 miesiące, zwłaszcza w przypadku tych podmiotów, które do tej pory nie przywiązywały szczególnej wagi do spraw związanych z ochroną danych osobowych. Należy również uwzględnić konieczność współpracy z prawnikami oraz specjalistami z zakresu IT, ponieważ wdrożenie systemu zgodnego z RODO wymaga wiedzy fachowej z obu dziedzin – zwłaszcza, gdy do stosowanych aplikacji, programów, systemów trzeba będzie dodać nową funkcjonalność.

Ważne:

Pamiętaj, że klienci/kontrahenci powinni być świadomi tego, w jakim celu są przetwarzane i pozyskiwane jego dane osobowe, ponieważ muszą mieć możliwość nie wyrażenia na to zgody.  Dlatego też należy przebudować formularze o odpowiednie treści odnoszące się do wyrażania zgody na różne czynności m.in. na takie działania marketingowe jak np. otrzymywanie newsletterów. Pamiętaj również o przygotowaniu specjalnego wystąpienia do klientów których dane posiadasz z prośbą o zgodę na przetwarzanie na nowych warunkach i uzyskaj ich zgody. Pamiętaj że masz na to czas tylko do 25 maja 2018 r.!

Rozporządzenie wprowadziło także surowe regulacje dotyczące informowania w ciągu 72 godzin od wykrycia, do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone, a także obowiązek bezzwłocznego poinformowania konsumentów których dane wyciekły. Należy to uwzględnić w regulacji i przy przeszkoleniu.

Ważne:

Wobec powyższego powinieneś pamiętać w szczególności o dokonaniu podziału osób, których dane osobowe przetwarza na odpowiednie grupy i w związku z tym stworzyć bazy danych z podziałem ze względu na zakres i termin ich przetwarzania. Klientom/kontrahentom przysługuje bowiem prawo żądania od administratora danych trwałego usunięcia danych z systemu np. gdy dane nie są już potrzebne do celu przetwarzania jak np. dla potrzeb reklamacji i rękojmi czy przy umowie gwarancji, która obowiązuje przez określony czas np. roku czy dwóch lat.

Ważne:

Zwrócić uwagę należy, że w nowej ustawie ochronie danych osobowych zostały również określone sankcje, kary, kontrole postępowania, nadzór, odpowiedzialność cywilna i postępowanie przed sądem. W przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu może zobowiązać przedsiębiorcę do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres przetwarzania. Jeżeli zostaną naruszone przepisy Rozporządzenia dot. naruszenia w wyniku przetwarzania danych osobowych lub poniesienia szkody majątkowej lub niemajątkowej w wyniku naruszenia Rozporządzenia będą miały zastosowanie przepisy Kodeksu cywilnego, a właściwy do rozpoznawania sporów będzie sąd okręgowy. Ponadto Prezes Urzędu będzie przeprowadzał kontrolę przestrzegania przepisów o ochronie danych osobowych, a w przypadku ich naruszenia i stwierdzenia, że doszło do naruszeń Prezes Urzędu będzie wszczynał postępowanie wobec przedsiębiorcy. Należy wówczas brać pod uwagę, że jeżeli dane osobowe będę przetwarzane pomimo braku uprawnień albo w przypadku ich niedopuszczalności, to przedsiębiorca będzie podlegał karze grzywny, karze ograniczenia wolności albo nawet pozbawienia wolności do lat dwóch.

Ważne:

Trzeba pokreślić, że wdrożenie systemu RODO to pewnie fazy (kroki) których nie można pominąć. 

To zawsze rzetelna weryfikacja stanu obecnego (audyt, przegląd) co do tego jak, jakie dane, w jaki sposób, w jakim zakresie i czasie, i dla jakich potrzeb są zbierane (przetwarzanie, przyjęcie harmonogramu dostosowania, klasyfikacja danych, identyfikacja koniecznych środków, tak sporządzonych programowanych jak i regulacji wdrożeniowych, rozpoznanie ryzyk w konkretnych warunkach przedsiębiorstwa, obowiązywanie i wdrożenie zabezpieczeń przetwarzania danych i wewnętrzne wdrożenia systemu co oznacza przeszkolenie pracowników).

Podstawa prawna:

 • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
 • Rządowy projekt Ustawy o ochronie danych osobowych z dnia 16 marca 2018 r.

Pomogliśmy?

Teraz Ty możesz pomóc nam!

Z tego tekstu możesz korzystać za darmo, ale nie powstał za darmo i poświęciliśmy na niego sporo czasu. Ty również możesz pomóc w tworzeniu kolejnych, wspierając nas finansowo.
Wystarczy nawet niewielka kwota.

Wybierz kwotę darowizny i przejdź do szybkiej, bezpiecznej płatności internetowej:

/ miesięcznie

 • Wybierz lub wpisz kwotę darowizny