RODO - nowe obowiązki także dla branży TSL od 25 maja 2018 r.

image_pdfimage_print
  • Dnia 25 maja 2018 r. zaczęło obowiązywać rozporządzenie o ochronie danych osobowych nr 2016/679 z dnia 27 kwietnia 2016 r.
  • Nowe wymogi zostały nałożone na przedsiębiorstwa, które muszą zapewnić m.in. zgodność przetwarzania danych z prawem;
  • Nowe uprawnienie dla konsumentów dotyczące bycia zapomnianym, co oznacza, że będzie on mógł zażądać nie tylko udostępnienia mu informacji o danych osobowych, ale też usunięcia ich z bazy danej instytucji.

Dnia 25 maja 2018 r. weszło w życie tzw. RODO, tj. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Przepisy te wprowadzają szereg nowych wymagań mających na celu zapewnienie zgodności przetwarzania danymi osobowymi mieszkańców Unii Europejskiej.

RODO a prawo polskie i europejskie

RODO jest częścią prawa europejskiego, które do swojego stosowania nie wymaga wydania ustawy w Polsce. Oznacza to, że Rozporządzenie to jest stosowane bezpośrednio w naszym kraju jak i w innych krajach będących członkami Unii Europejskiej.

Czym są dane osobowe?

Według rozporządzenia RODO „dane osobowe” oznaczają:

  • informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);
  • możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Istnieje również pojęcie “szczególnych danych osobowych”. Są nimi bardziej szczegółowe informacje dotyczące określonej osoby, takie jak np. jej stan zdrowia czy majątku.

Kogo dotyczy RODO?

Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. obejmują wszystkie podmioty, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Nowa legislacja obejmie zatem zarówno firmy prywatne jak i jednostki administracji publicznej.  Branża TSL nie jest wyjątkiem. I niezależnie od jej wielkości, liczby zatrudnionych osób, obrotu firma transportowa, spedycyjna, czy logistyczna jest zobowiązana do wdrożenia nowej polityki prywatności zapewniającej przetwarzanie danych osobowych zgodnie z prawem.

Główne zasady RODO

Rozporządzenie RODO wprowadza sześć głównych zasad dotyczących przetwarzania danych osobowych. Według nowych przepisów powinno:

  • odbywać się ono zgodnie z prawem, rzetelnie i przejrzyście;
  • określać szczegółowo i ograniczać cel zbierania danych osobowych;
  • sprzyjać minimalizacji danych osobowych;
  • zadośćuczynić prawidłowości przetwarzania danych osobowych;
  • ograniczyć przechowywanie danych osobowych;
  • zadośćuczynić zasadom integralności i poufności.

Z wyżej wymienionymi zasadami wiąże się tzw. zasada rozliczalności, która polega na tym, że dane osobowe podlegające przetwarzaniu znajduje się w “rękach” administratora danych osobowych będącym odpowiedzialnym za prawidłowe ich zarządzanie, tj. takie, które odbywa się zgodnie z prawem. To na nim ciąży obowiązek udowodnienia przetwarzania danych zgodnie z aktualnymi przepisami prawa.

Najważniejsze zmiany

RODO wprowadza szereg zmian w obszarze polityki przetwarzania danych osobowych. Kilka najważniejszych zmian przedstawiamy poniżej:

1. Bezpośrednia odpowiedzialność przetwarzającego dane

2. Obowiązek informacyjny

3. Nowa funkcja – Inspektor Ochrony Danych (IOD)

RODO ustanowiło nową funkcję tzw. Inspektora Ochrony Danych (IOD). Jest to taka osoba w organizacji, która pozostaje odpowiedzialna za bezpieczeństwo danych. Dotychczasowy administrator danych osobowych (ABI) przestaje natomiast istnieć. Niekiedy jednak rozporządzenie wymaga obligatoryjnego powołania IOD przede wszystkim w sytuacji kiedy firma dokonuje przetwarzania danych, których brak należytego zabezpieczenia może spowodować naruszenie praw i wolności osób fizycznych np. dzieci.

Obligatoryjnie IOD zobowiązane są powołać:

  • Organy i podmioty publiczne np.: szkoły, uczelnie publiczne, urzędy gmin, jednostki pomocy społecznej, spółki komunalne itp.,
  • Firmy, które regularnie i systematycznie przetwarzają i monitorują dane osobowe np. firmy telekomunikacyjne, reklamowe, badawcze, ubezpieczyciele, marketingowe itp.,
  • szpitale, przychodnie,
  • inne, które wymieniają przepisy.

4. Obligatoryjny rejestr naruszeń i powiadamianie organów do 72 godzin

RODO zobowiązało podmioty przetwarzające dane do prowadzenia dokumentacji wszystkich przypadków naruszeń ochrony danych osobowych z uwzględnieniem okoliczności, w jakich do nich doszło, skutków i działań zaradczych podjętych w wykazanych przypadkach. Dodatkowo IOD będzie miał obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w czasie do 72 godzin od naruszenia, bezpośrednio do właściwego organu nadzoru.

5. Uprawnienia do bycia zapomnianym

Rozporządzenie RODO przyznaje osobom fizycznym, których dane osobowe są przetwarzane do tzw. bycia zapomnianym. Oznacza to nic innego jak trwałe usunięcie danych osobowych przetwarzanych przez daną firmę na wniosek osoby, której dane przetwarza. Obejmuje to informacje przechowywane w formie cyfrowej, papierowej czy zapisywanej w formie kopii zapasowej.

Inne uprawnienia obywateli, których dane są przetwarzane to m.in.:

  • możliwość żądania przeniesienia danych np. do innego podmiotu przy zmianie umowy;
  • możliwość żądania dostępu i wglądu w dane przechowywane przez instytucję, m.in.: prawo do otrzymania kopii danych, ich modyfikacji itp.;
  • możliwość wystąpienia z roszczeniami odszkodowawczymi w sądach cywilnych z tytułu szkód poniesionych z niewłaściwego przetwarzania danych.

Kary za brak wdrożenia RODO

Brak wdrożenia RODO może okazać się bardzo uciążliwy dla firm, na których został nałożony obowiązek implementacji właściwej polityki prywatności. W przepisach przewidziano bardzo dotkliwe kary pieniężne za niedostosowanie się do RODO – w zależności od artykułu, do którego nie dostosuje się podmiot, wynoszą one do 10 mln euro lub 2% rocznego (światowego) obrotu przedsiębiorstwa oraz do 20 mln euro lub 4% rocznego obrotu.

Stan prawny: 25.05.2018 r.

PODSTAWA PRAWNA:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych

 

Anna Żurawiecka

Anna Żurawiecka

Prawnik i politolog; od 2015 r. agent celny; dodatkowo absolwentka Polsko-Amerykańskiej Szkoły Przywództwa. Ekspert z kilkuletnim doświadczeniem w logistyce i Trade Compliance w polskich i międzynarodowych firmach z branży logistycznej, motoryzacyjnej, farmaceutycznej oraz FMCG. Biegle posługuje się jęz. angielskim.

Sprawdź również

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.