Analizy
Co Członkowie Rad Nadzorczych powinni wiedzieć o RODO?
Pozyskiwanie i przetwarzanie danych osobowych ma miejsce w każdej firmie – czy to w odniesieniu do pracowników, kontrahentów czy klientów; jedynie skala zależy od rodzaju prowadzonej działalności. Rozwój technologii umożliwia gromadzenie i korzystanie z coraz to większej ilości danych osobowych, wzrasta więc potrzeba zapewnienia skutecznej ochrony prywatności. Sprzyjać temu ma Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO), które zacznie obowiązywać 25 maja 2018 roku.
Agata Jankowska-Galińska | Radca prawny Deloitte Legal
Działalność Rad Nadzorczych a RODO
Rada Nadzorcza, jako organ sprawujący nadzór nad działalnością spółki we wszystkich dziedzinach jej działalności, musi nie tylko zdawać sobie sprawę z zakresu zmian wprowadzonych przez RODO, ale także z konsekwencji naruszenia przepisów Rozporządzenia. Tematem warto zająć się już teraz. Spółka potrzebuje bowiem sporo czasu na dostosowanie się do nowych regulacji.
O czym członkowie Rad Nadzorczych powinni pamiętać?
• Jednolite zasady ochrony danych osobowych w całej Unii Europejskiej
RODO nie wymaga implementacji; będzie obowiązywało bezpośrednio we wszystkich Państwach Członkowskich.
• Katalog zasad przetwarzania danych osobowych
Do zasad tych należą m.in. zasady zgodności z prawem, minimalizacji danych, ograniczenia celu, rzetelności, prawidłowości, integralności i poufności.
• Zasada privacy by default i zasada privacy by design
Aspekt ochrony danych osobowych powinien zostać uwzględniony już na etapie projektowania nowych rozwiązań, a domyślne ustawienia - zakładać minimalny zakres przetwarzania danych.
• Privacy impact assessment
Na administratora danych został nałożony obowiązek dokonania oceny skutków przetwarzania danych z perspektywy ochrony prywatności przed rozpoczęciem ich przetwarzania. Ocena powinna w szczególności uwzględniać takie czynniki jak: charakter, zakres, kontekst i cele operacji przetwarzania czy zastosowanie nowych technologii.
• Inspektor ochrony danych osobowych
Inspektor ochrony danych zajmie miejsce ABI; będzie wypełniał zadania z zakresu compliance oraz współpracy z organem nadzoru. Inspektor powinien posiadać kwalifikacje w zakresie ochrony danych osobowych, być właściwie i terminowo angażowany we wszystkie sprawy dotyczące ochrony danych w przedsiębiorstwie, powinien mieć zapewnione warunki działania oraz niezależność. Jego wyznaczenie będzie obligatoryjne tylko w przypadkach wskazanych w RODO.
• Ciężar dowodu
RODO w wielu aspektach narzuca określone obowiązki, nie precyzując sposobu ich realizacji. To na przedsiębiorcy w takim przypadku spoczywać będzie obowiązek udowodnienia, że działa zgodnie z przepisami Rozporządzenia, stąd warto rozważyć wdrożenie formalnych polityk i procedur ochrony danych.
Z czym Członkowie Rad Nadzorczych musza się liczyć?
• Możliwość nałożenia administracyjnych kar pieniężnych na przedsiębiorcę do kwoty 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego lub 20.000.000 EUR;
• Prawo dochodzenia odszkodowania za szkody majątkowe i niemajątkowe od przedsiebiorcy;
• Prawo do wniesienia skargi na działania administratorów i podmiotów przetwarzających dane do właściwego organu nadzorczego;
• Potencjalne sankcje karne za naruszenie RODO.
Subskrybuj "Biuletyn Rad Nadzorczych"
Subskrybuj na e-mail powiadomienia o nowych wydaniach tego biuletynu.
Rekomendowane strony
Praktyczny Przewodnik po Ogólnym Rozporządzeniu o Ochronie Danych Osobowych (RODO)
Jak dostosować funkcjonujący w firmie model bezpieczeństwa i ochrony danych osobowych do wymogów RODO?
Newsletter: RODO
Najnowsze informacje dotyczące Rozporządzenia Unii Europejskiej o Ochronie Danych Osobowych