RODO W PYTANIACH I ODPOWIEDZIACH

W dniu 25 maja 2018 roku wchodzi w życie RODO, czyli nowe unijne rozporządzenie dotyczące ochrony danych osobowych. Przedstawiamy Wam najważniejsze zmiany, jakie wprowadza RODO w pytaniach i odpowiedziach. Artykuł powstał na podstawie opracowania dr Pawła Litwińskiego, który „Przewodnik po RODO dla małych i średnich przedsiębiorców” opracował na zlecenie Ministerstwa Przedsiębiorczości i Technologii.

Opracowanie ma za zadanie jedynie przedstawić podstawowe informacje dotyczące nowych przepisów o ochronie danych osobowych, dlatego w razie pytań dot. konkretnych zagadnień praktycznych pozostajemy do Twojej dyspozycji.

---

PODSTAWOWE INFORMACJE O RODO

 

KIEDY RODO WCHODZI W ŻYCIE? 

CZY BĘDZIE POLSKA USTAWA?

CZY MOGĘ POCZEKAĆ Z WDROŻENIEM ZMIAN NA POLSKIE PRZEPISY?

RODO wschodzi w życie w dniu 25.05.2018 roku. Polski ustawodawca przygotowuje ustawę uzupełniającą RODO, jednak podmioty, które podlegają pod RODO, powinny być gotowe do jego stosowania od dnia 25.05.2018 roku – nie będzie żadnego okresu przejściowego.

KOGO DOTYCZY RODO?

Nowe przepisy będą dotyczyć każdego przedsiębiorcy prowadzącego działalność gospodarczą na terenie Unii Europejskiej (spółki, osoby fizyczne prowadzące działalność gospodarczą, czy oddział zagranicznego przedsiębiorcy), którzy przetwarzają dane osobowe swoich klientów. Bez znaczenia jest np. gdzie znajdują się serwery danego przedsiębiorcy.

Przykłady:
• korzystanie przez polską spółkę z o. o. z usług przetwarzania danych w chmurze nie zwalnia tej spółki z konieczności stosowania RODO,
• polski podmiot oferujący swoje usługi obywatelom Ukrainy podlega przepisom RODO,
• oddział w Polsce przedsiębiorcy z USA podlega przepisom RODO.

Os. fizyczna prowadząca działalność gosp. samodzielnie, bez pracowników, polegającą np. na naprawie sprzętu agd- przyjmując sprzęt do naprawy zapisuje dane osoby od której go przyjmuje, a więc w myśl przepisów przetwarza dane osobowe, co w konsekwencji prowadzi do konkluzji, że obowiązują takiego przedsiębiorcę nowe przepisy i musi on wprowadzić odpowiednie środki techniczno-organizacyjne, umożliwiające bezpieczne oraz zgodne z przepisami przetwarzanie danych osobowych.

RODO nie dotyczy natomiast działalności osobistej lub domowej. Przykład: przedsiębiorca prowadzący działalność gospodarczą stosuje RODO do swoich klientów, ale nie stosuje tych przepisów w celach czysto prywatnych, tj. wysyłając kartki świąteczne. (podstawa prawna art. 3 RODO)

KIEDY MÓWIMY O PRZETWARZANIU DANYCH OSOBOWYCH?

Przetwarzaniem danych osobowych według RODO są jakiekolwiek operacje wykonywane na danych osobowych, takie jak: 1) zbieranie danych, 2) przechowywanie danych, 3) usuwanie danych, 4) opracowywanie danych, 5) udostępnianie danych (podstawa prawna art. 3, 4 pkt. 2 RODO).

RODO obejmuje zatem wszelkie czynności, które mają za przedmiot dane osobowe – tj. wszelkie usługi, w których dochodzi do zbierania danych osobowych. RODO powinni więc stosować:
• przedsiębiorcy zajmujący się przetwarzaniem danych – archiwizowanie danych, niszczenie dokumentów, usługi kurierskie itp.,
• przedsiębiorcy, którzy przetwarzają dane osobowe przy okazji świadczenia innych usług, np. pośrednicy ubezpieczeniowi, agenci biur podróży, księgowi, sklepy internetowe, zarządcy nieruchomości itp.
(Podstawa prawna – art. 3, 4 pkt 2 RODO).

CO TO SĄ DANE OSOBOWE?

To wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą zidentyfikowaną jest osoba, której tożsamość znamy lub którą możemy wskazać wśród innych osób – osobą możliwą do zidentyfikowania jest osoba, której tożsamości nie znamy, ale możemy poznać, korzystając z danych/środków które posiadamy.

Wyróżniamy dwa rodzaje danych  osobowych: tzw. dane osobowe zwykłe i dane osobowe zaliczające się do szczególnych kategorii danych (dawniej dane wrażliwe). Szczególny rodzaj danych to np.” pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, orientacja seksualna. Pozostałe dane są danymi zwykłymi. (podstawa prawna art. 4 pkt. 1, art. 9 i 10 RODO)

KTO MOŻE PRZETWARZAĆ DANE OSOBOWE?

Jeżeli dojdzie już do sytuacji, że przetwarzasz dane osobowe to możesz to robić jako jeden z dwóch kategorii podmiotów:

administrator danych lub podmiot przetwarzający dane.

administrator danych: to podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. Np. pracodawca w stosunku do danych osobowych swoich pracowników (administratorem danych ZAWSZE jest określony podmiot, a więc np. spółka z o.o. a nie jej prezes zarządu- zarząd z racji reprezentowania spółki pełni jednak funkcję administratora danych. Biorąc jednak pod uwagę obowiązki informacyjne jakie nakłada RODO na administratora, zawsze wskazujemy, że administratorem danych jest podmiot, tj. np. spółka.

podmiot przetwarzający dane: nie decyduje o celach i środkach przetwarzanych danych – działa na podstawie umowy z administratorem danych. Administrator bowiem sam przetwarza dane, albo korzysta z usług zewnętrznego podmiotu, które te dane przetwarzał dla niego. Nieco inaczej wygląda sytuacja W DANEJ ORGANIZACJI- wówczas  dane osobowe faktycznie przetwarzają konkretne osoby fizyczne – pracownicy  lub współpracownicy administratora lub podmiotu przetwarzającego dane. Takie osoby nie podpisują umowy, ale powinny posiadać upoważnienie do przetwarzania danych osobowych. (podstawa prawna art. 4 pkt. 7 i 8 RODO)

 

ZBIERANIE DANYCH OSOBOWYCH

KIEDY MOŻNA PRZETWARZAĆ DANE OSOBOWE?

Dane osobowe można przetwarzać wyłącznie wtedy, gdy istnieje podstawa prawna przetwarzania danych. Przykłady: 1) zgoda osoby, której dane dotyczą, 2) przetwarzanie danych jest niezbędne do wykonywania umowy z osobą, której dane dotyczą lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby, 3) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, 4) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Istotne jest jednak to, że brak wymaganej zgody na przetwarzanie danych osobowych nie zwalnia Nas z pozostałych obowiązków nałożonych przez RODO, w tym głównie obowiązków prowadzenia rejestru, o czym niżej.

W przypadku danych osobowych szczególnych, podstawy do ich przetwarzania to: 1) wyraźna zgoda osoby, której dane dotyczą, 2) przetwarzanie danych jest niezbędne do wykonania zadań związanych z zatrudnieniem, ubezpieczeniem społecznym pracowników, 3) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, 4) przetwarzanie danych jest niezbędne w celu dochodzenia praw przed sądem.

Administrator ma obowiązek wykazać, że dysponuje odpowiednią podstawą przetwarzania danych osobowych. Jest to podstawowy obowiązek administratora wynikający z tzw. zasady rozliczności. (podstawa prawna art. 6 i 9 RODO)

JAK DUŻO DANYCH MOŻNA ZBIERAĆ?

RODO wprowadza tzw. zasadę minimalizacji danych osobowych. Zgodnie z nią, można przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania danych. Przetwarzanie danych powinno więc zostać ograniczone do takich danych, bez których nie można osiągnąć celu przetwarzania danych.

JAK UZYSKAĆ ZGODĘ NA PRZETWARZANIE DANYCH OSOBOWYCH?

Zgoda powinna cechować się następującymi cechami:

a) dobrowolność – zgoda może być ważna tylko jeżeli osoba, której dane dotyczą, ma możliwość dokonania rzeczywistego wyboru, przy czym nie zachodzi ryzyko wprowadzenia w błąd, zastraszenia, przymusu lub znaczących negatywnych konsekwencji, jeśli nie wyrazi zgody. Jeżeli konsekwencje wyrażenia zgody nie dają się pogodzić ze swobodą wyboru, zgoda nie jest dobrowolna (Opinia WP 187 w sprawie definicji zgody),
b) konkretność – aby zgoda była ważna, musi być konkretna. Innymi słowy, niedopuszczalna jest ogólna zgoda bez określenia dokładnego celu przetwarzania (Opinia WP 187 w sprawie definicji zgody),
c) świadomość – zgoda na przetwarzanie danych osobowych na podstawie art. 23 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania (zob. wyrok NSA z 11.04.2003 r., II SA 3942/02),
d) jednoznaczność – zgoda musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania (zob. wyrok NSA z 4.4.2003 r., II SA 2135/02).

Zgoda może zostać wyrażona w dowolnej formie – ale zawsze w razie wątpliwości to administrator danych powinien wykazać, że zgoda została udzielona. Decyzja o tym, jaki konkretnie sposób zbierania i archiwizowania zgód zastosować powinna być podjęta świadomie przez administratora danych. (Podstawa prawna – art. 6 RODO)

OBOWIĄZKI INFORMACYJNE. JAKIE INFORMACJE PRZEKAZYWAĆ PRZY ZBIERANIU ZGÓD NA PRZETWARZANIE DANYCH OSOBOWYCH?

RODO nakazuje, aby przy gromadzeniu danych przekazywać osobie, której dane dotyczą, szereg informacji:

• o tożsamości administratora danych i o jego danych kontaktowych,
• jeżeli administrator danych powołał Inspektora Ochrony Danych (IOD) – o danych kontaktowych IOD,
• o celach i podstawie przetwarzania danych, a jeżeli przetwarzanie odbywa się na tej podstawie, że jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią – o tych prawnie uzasadnionych interesach,
• o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją
• gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego,
• o okresie czasu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
• o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
• jeżeli przetwarzanie odbywa się na podstawie zgody – o prawie do cofnięcia zgody w dowolnym momencie,
• o prawie wniesienia skargi do organu nadzorczego, (więcej na www.biznes.gov.pl),
• o tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
• jeżeli dochodzi do tzw. zautomatyzowanego podejmowania decyzji lub profilowania – należy poinformować o tym fakcie oraz podać istotne informacje o zasadach automatycznego podejmowania decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Co bardzo istotne, odbiorcy danych to także podmioty przetwarzające dane osobowe na zlecenie administratora danych. Stąd konieczność poinformowania o tych podmiotach. Te bardzo rozbudowane obowiązki informacyjne w przypadku zgody na przetwarzanie danych osobowych przybierają najczęściej postać tzw. klauzuli zgody na przetwarzanie danych. W innych sytuacjach obowiązkom informacyjnym można czynić zadość w dużo prostszy sposób (Podstawa prawna – art. 6, art. 12 i 13 RODO.). 

KIEDY NIE TRZEBA ZBIERAĆ ZGODY NA PRZETWARZANIE DANYCH OSOBOWYCH?

Zgoda na przetwarzanie danych jest jedną z podstaw prawnych przetwarzania danych – nie jedyną. Zgody na przetwarzanie danych nie trzeba zbierać w szczególności wtedy, gdy:
a) przetwarzanie danych jest niezbędne do wykonania umowy – np. sklep internetowy sprzedaje wysyłkowo książki; nie musi w takim wypadku prosić o zgodę na przetwarzanie danych, przetwarzanie danych będzie zgodne z RODO jako niezbędne do wykonania umowy (sprzedaży),
b) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze – np. przetwarzanie danych w celach związanych z prowadzeniem ksiąg rachunkowych nie wymaga zgody osób, których dane dotyczą, a jego podstawą są przepisy o rachunkowości,
c) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią – np. skierowanie do sądu pozwu o zapłatę przeciwko nieuczciwemu klientowi nie wymaga jego zgody na przetwarzanie danych, a podstawą przetwarzania danych w takim wypadku jest właśnie realizacja prawnie uzasadnionego interesu administratora danych.
Prawnie uzasadnionym interesem realizowanym przez administratora danych jest także marketing jego produktów i usług. Przetwarzanie danych w takim celu – marketingowym w stosunku do produktów i usług administratora danych – nie wymaga zgody na przetwarzanie danych osobowych. Ale uwaga – pewne formy kontaktu z osobami, których dane dotyczą, wymagają zgody. Zgody wymaga: a) przesyłanie informacji handlowej za pomocą środków komunikacji elektronicznej, np. reklam za pomocą poczty elektronicznej, b) wykorzystanie telekomunikacyjnych urządzeń końcowych w celu marketingu bezpośredniego, np. wysyłanie wiadomości SMS o treści reklamowej. (Podstawa prawna: art. 6, art. 12 i 13 RODO, art. 10 ustawy o świadczeniu usług drogą elektroniczną, art. 172 ustawy Prawo telekomunikacyjne.)

PRZETWARZANIE SZCZEGÓLNYCH KATEGORII DANYCH OSOBOWYCH

RODO – inaczej, niż to ma miejsce na gruncie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych – nie wymaga, aby zgoda na przetwarzanie danych zaliczonych do szczególnych kategorii danych osobowych była wyrażona na piśmie. Na gruncie RODO taka zgoda powinna być zgodą „wyraźną” – oznacza to, że zgoda może zostać udzielona np. w Internecie, poprzez zaznaczenie odpowiedniego pola wyboru. Oczywiście zbieranie zgód na piśmie w dalszym ciągu będzie dopuszczalne.

CZYM JEST PROFILOWANIE?

Profilowanie to szczególny rodzaj przetwarzania danych osobowych, który:
• odbywa się w sposób automatyczny,
• ma na celu ocenę osoby fizycznej lub przewidywanie jej zachowania.

Profilowanie zawsze wymaga poinformowania o tym osób, które są profilowane.

CZY MOŻNA ODWOŁAĆ ZGODĘ NA PRZETWARZANIE DANYCH OSOBOWYCH?

Zgodę na przetwarzanie danych osobowych można zawsze odwołać. Odwołanie zgody powinno być równie łatwe, jak jej udzielenie. Przykład – jeżeli zgody są zbierane przy pomocy dedykowanej strony internetowej, odwołanie zgody powinno być możliwe w ten sam sposób.

Odwołanie zgody wywołuje wyłącznie skutki na przyszłość – oznacza to, że od chwili otrzymania oświadczenia o odwołaniu zgody, nie można już opierać na zgodzie przetwarzania danych; wszystkie te czynności, które opierały się na zgodzie i miały miejsce wcześniej pozostają ważne. (Podstawa prawna – art. 7 ust. 3 RODO.)

JAK DŁUGO MOGĘ PRZECHOWYWAĆ DANE OSOBOWE?

Dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, dla realizacji których są one przetwarzane. Innymi słowy, oznacza to, że dane osobowe nie powinny być przechowywane w nieskończoność, bez ograniczenia czasowego. Jeżeli podstawą przetwarzania danych osobowych jest zgoda, wówczas dane osobowe mogą być przetwarzane tak długo, aż zgoda nie zostanie odwołana. Po odwołaniu zgody, przez okres czasu odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić administrator danych i jakie mogą być podnoszone wobec administratora danych. Obecnie okres ten wynosi 10 lat. Lub Np. po realizacji określonego celu, przedsiębiorca powinien usunąć te dane, które obiektywnie nie są już potrzebne. Przykładowo, po zakończeniu rekrutacji na stanowisko w firmie, wskazane jest usunięcie z bazy CV kandydatów. Informacje personalne nie mogą bowiem być gromadzone „na zapas” i na wszelki wypadek, na co niejednokrotnie wskazywało stanowisko GIODO.

Jeżeli podstawą przetwarzania danych jest wykonywanie umowy, wówczas dane mogą być przetwarzane tak długo, jak jest to niezbędne do wykonania umowy, a po tym czasie przez okres czasu odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić administrator danych i jakie mogą być podnoszone wobec administratora danych. W przypadku przedsiębiorców ten okres czasu co do zasady wynosi nie dłużej, niż 3 lata i różni się w zależności od tego, jakiej umowy dotyczyło przetwarzanie danych. Jeżeli istnieją przepisy szczególne określające czas, przez jaki powinny być przechowywane dane osobowe, wówczas takie przepisy mogą wydłużać (lub w konkretnym przypadku skracać) czas przetwarzania danych osobowych. (Podstawa prawna – art. 5 ust. 1 pkt e) RODO.)

JAK NALEŻY PRZYGOTOWAĆ SIĘ DO USUNIĘCIA DANYCH OSOBOWYCH?

 

ORGANIZACJA PRZETWARZANIA DANYCH OSOBOWYCH

JAK NALEŻY ZABEZPIECZAĆ DANE OSOBOWE?

RODO odchodzi od praktyki polegającej na wskazywaniu w przepisach prawa konkretnych środków zabezpieczenia danych osobowych, jakie mają zostać wdrożone przez administratora lub podmiot przetwarzający. Zamiast tego, RODO wprowadza tzw. podejście oparte na ryzyku. Istota podejścia opartego na ryzyku sprowadza się do tego, że każdy podmiot przetwarzający dane osobowe powinien samodzielnie określić, jakie konkretne środki zabezpieczenia danych należy wdrożyć. Dobór środków zabezpieczenia powinien być oparty o:

a) charakter, zakres, kontekst i cele przetwarzania,
b) ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
c) stan wiedzy technicznej,
d) koszt wdrażania.

Każdy podmiot przetwarzający dane osobowe powinien więc:
a) ustalić, jakie dane osobowe, w jakim charakterze, po co i w jakim środowisku przetwarza,
b) określić ryzyko naruszenia praw lub wolności osób fizycznych związane z takim przetwarzaniem,
c) dobrać odpowiednie środki zabezpieczenia danych, uwzględniając istniejące możliwości techniczne i własne możliwości finansowe.
Przykład – archiwizowanie danych osobowych przez specjalistyczny podmiot:
• zakres danych: ryzyko wzrasta, gdy archiwizowana jest systematycznie cała dokumentacja medyczna szpitala, a maleje, gdy archiwizowane są księgi rachunkowe księgarni internetowej,
• cele przetwarzania: ryzyko wzrasta, gdy dane są przetwarzane przez ich przechowywanie przez 50 lat, a maleje, gdy są przetwarzane wyłącznie w celu zniszczenia danych,
• ryzyko wzrasta, gdy dane są przetwarzane na zewnętrznych serwerach, z którymi komunikacja odbywa się w sposób nieszyfrowany z wykorzystaniem sieci publicznych, a maleje, gdy dane są przetwarzane na własnych serwerach. RODO nie nakazuje stosowania żadnych konkretnych środków zabezpieczenia danych.

RODO wskazuje tylko przykładowe środki techniczne i organizacyjne, które mogą służyć osiągnięciu tego celu, tj. zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku. Są nimi w szczególności:
• pseudonimizacja i szyfrowanie danych osobowych;
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Podejście oparte na ryzyku zakłada, że każdy podmiot przetwarzający dane w sposób świadomy podejmie decyzję o stosowanych środkach zabezpieczenia. Ma to tym większe znaczenie, że podmiot ten ponosi odpowiedzialność w przypadku naruszenia bezpieczeństwa danych osobowych. (Podstawa prawna – art. 32 RODO.)

CO SIĘ STANIE Z ISTNIEJĄCĄ DOKUMENTACJĄ OCHRONY DANYCH OSOBOWYCH?

Ustawa z 29 sierpnia 1997 r. nakładała na administratorów danych obowiązek przygotowania i wdrożenia tzw. dokumentacji ochrony danych osobowych, na która składały się:
• polityka bezpieczeństwa danych osobowych,
• instrukcja zarządzania systemem informatycznym, w którym przetwarzane są dane osobowe.

RODO podobnego obowiązku już nie nakłada, zgodnie z podejściem opartym na ryzyku. Z drugiej strony, RODO wielokrotnie odwołuje się do „polityk ochrony danych” stosowanych przez administratora. Z tego względu zaleca się dalsze stosowanie dokumentacji ochrony danych osobowych, po jej dostosowaniu do przepisów RODO.

OBOWIĄZEK REJESTROWANIA CZYNNOŚCI PRZETWARZANIA DANYCH

Rejestr czynności przetwarzania danych osobowych jest elementem dokumentacji ochrony danych. Rejestr powinien być prowadzony odrębnie dla każdego procesu przetwarzania danych – i niektóre z tych procesów występujących w typowych organizacjach mogą być zwolnione z prowadzenia rejestru. Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych dotyczy administratora danych oraz podmiotu przetwarzającego dane. Administrator danych odnotowuje w rejestrze:
a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz IOD,
g) cele przetwarzania,
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego,
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych

Podmiot przetwarzający natomiast odnotowuje w rejestrze:
a) imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający,
b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
c) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego,
d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.
Rejestr może być prowadzony w formie pisemnej bądź w postaci elektronicznej.
Rejestr czynności nie musi być prowadzony przez przedsiębiorców zatrudniających mniej niż 250 osób, chyba że:
a) przetwarzanie może naruszać prawa lub wolności osób, których dane dotyczą,
b) przetwarzanie obejmuje szczególne kategorie danych lub dane dotyczące wyroków skazujących,
c) przetwarzanie nie ma charakteru sporadycznego.
Przykłady:
• przedsiębiorcy zatrudniający mniej niż 250 osób muszą prowadzić rejestr w odniesieniu do danych osobowych kadrowych – takie przetwarzanie nie ma charakteru sporadycznego i obejmuje szczególne kategorie danych osobowych,
• przedsiębiorca zatrudniający mniej niż 250 osób, który będzie jednorazowo przetwarzał dane osobowe nie obejmujące szczególnych kategorii danych, np. w celu organizacji eventu promocyjnego, będzie w odniesieniu do takiego procesu przetwarzania danych zwolniony z obowiązku prowadzenia rejestru.

KIEDY NALEŻY WYZNACZYĆ INSPEKTORA DANYCH OSOBOWYCH?

Inspektor Ochrony Danych (IOD) to następca Administratora Bezpieczeństwa Informacji (ABI). Inaczej niż w przypadku ABI, wyznaczenie IOD w pewnych przypadkach jest obowiązkowe na gruncie RODO:
a) gdy dane są przetwarzane przez podmioty z sektora publicznego,
b) gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
c) gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących.
Główną działalnością będzie działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane. Nie każdy podmiot, którego główną działalnością jest przetwarzanie danych, musi jednak powołać IOD – a tylko taki, którego działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Przykład – działalnością główną podmiotu zajmującego się profesjonalnym niszczeniem danych osobowych jest przetwarzanie danych osobowych, jednak podmiot ten nie ma obowiązku powołania IOD, ponieważ ta działalność nie wymaga regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Działalność główną należy rozumieć włączając w to działalność nierozerwalnie związaną z działalnością główną. Przykład – szpital powinien powołać IOD, choć jego główną działalnością jest leczenie, a przetwarzanie danych działalnością nierozerwalnie związaną z taką działalnością główną.

Nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby dużą skalę. Zaleca się jednak, aby za przetwarzanie na dużą skalę uznawać np.:
• przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności,
• przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności,
• przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki.

Jednocześnie przywołuje się następujące przykłady przetwarzania danych niemieszczącego się w zakresie dużej skali:
• przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza,
• przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego.
(Podstawa prawna – art. 37 RODO)

CO TO JEST OBOWIĄZEK UWZGLĘDNIANIA OCHRONY DANYCH W FAZIE PROJEKTOWANIA?

Obowiązek uwzględniania ochrony danych osobowych w fazie projektowania to rodzaj podejścia do ochrony danych osobowych, które jest promowane w przepisach RODO. Ta filozofia opiera się na takich konkretnych rozwiązaniach, jak:
• proaktywne podejście do ochrony danych osobowych,
• konieczność włączania ochrony prywatności w projekty od początku ich realizacji,
• poszanowanie dla prywatności użytkowników.
W rezultacie, zasady prywatności w fazie projektowania powinny prowadzić do uczynienia prywatności domyślnym sposobem działania w organizacji przy jednoczesnym utrzymaniu pełnej funkcjonalności. (Podstawa prawna – art. 25 RODO)

CZYM JEST DOMYŚLNA OCHRONA DANYCH?

W rezultacie zastosowania zasady uwzględniania ochrony danych w fazie projektowania powinno być doprowadzenie do sytuacji, w której domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Przykład – domyślne wyłączenie wszelkich funkcji gromadzenia danych o użytkowniku przez aplikację mobilną i konieczność ich aktywnego i świadomego uruchomienia przez użytkownika. (Podstawa prawna – art. 25 RODO).

CO TO JEST OCENA SKUTKÓW DLA OCHRONY DANYCH OSOBOWYCH I KIEDY NALEŻY JĄ PRZEPROWADZIĆ?

RODO odchodzi od obowiązku rejestracji zbiorów danych osobowych w GIODO – po 25 maja 2018 r. zbiory danych osobowych nie będą podlegały rejestracji, a rejestr zbiorów danych zostanie zlikwidowany. Zamiast tego jednak, RODO wprowadza procedurę tzw. oceny skutków dla ochrony danych. Ocena skutków dla ochrony danych to proces mający opisać przetwarzanie, ocenić niezbędność i proporcjonalność przetwarzania oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych (oceniając ryzyko i ustalając środki mające mu zaradzić). Oceny skutków dla ochrony danych to narzędzia istotne dla celów rozliczalności, ponieważ pomagają administratorom nie tylko w przestrzeganiu wymogów RODO, ale również w wykazaniu, że podjęto odpowiednie środki w celu zapewnienia zgodności z rozporządzeniem. Innymi słowy, ocena skutków dla ochrony danych to proces służący do zapewnienia i wykazania zgodności przetwarzania danych z RODO. (Podstawa prawna – art. 35 RODO.)

CZYM SĄ UPRZEDNIE KONSULTACJE Z ORGANEM NADZORCZYM?

Jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator danych nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym. Uprzednie konsultacje są więc rodzajem postępowania administracyjnego, które należy wszcząć z w oparciu o wynik oceny skutków dla ochrony danych. W wyniku przeprowadzonego postepowania, organ nadzorczy (PUODO) może wydać zalecenia, które ich adresat powinien wdrożyć. (Podstawa prawna – art. 36 RODO.)

CO TO JEST OBOWIĄZEK ZGŁASZANIA NARUSZEŃ OCHRONY DANYCH?

RODO nakłada na podmioty przetwarzające dane osobowe prawny obowiązek informowania o incydentach bezpieczeństwa dotyczących danych osobowych. Jest to bardzo istotna zmiana w stosunku do ustawy z 29 sierpnia 1997 r., która tego rodzaju rozwiązania w ogóle nie zawierała.
Incydent bezpieczeństwa zwany jest w przepisach RODO naruszeniem ochrony danych osobowych i może polegać na:
a) naruszeniu bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia,
zmodyfikowania danych osobowych
b) naruszeniu bezpieczeństwa prowadzącym do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do
danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Przykłady:
• zagubienie nośnika z danymi osobowymi,
• uzyskanie dostępu do danych przez osobę do tego nieuprawnioną,
• włamanie do systemu służącego do przetwarzania danych osobowych.
O wystąpieniu incydentu należy poinformować organ nadzorczy (PUODO). Informacja powinna zostać przekazania niezwłocznie, lecz nie później, niż w ciągu 72 godzin od stwierdzenia naruszenia. W pewnych przypadkach należy również informować o incydencie osoby, których dane dotyczą – będzie tak wtedy, gdy naruszenie może powodować wysokie ryzyko naruszenia praw i wolności osoby, której dane dotyczą. (Podstawa prawna – art. 34 RODO.)

JAK ZAWRZEĆ UMOWĘ POWIERZENIA DANYCH OSOBOWYCH?

W działalności większości przedsiębiorców dochodzi do powierzenia przetwarzania danych osobowych.
Przykłady:
• korzystanie z usług zewnętrznego podmiotu świadczącego usługi księgowe,
• korzystanie z usług podmiotu zapewniającego usługi poczty elektronicznej,
• zlecenie zewnętrznemu podmiotowi zniszczenia dokumentów zawierających dane osobowe,
• zlecenie zewnętrznemu podmiotowi archiwizacji dokumentów zawierających dane osobowe.
Podmiot przetwarzający dane na zlecenie powinien zawrzeć z administratorem danych odpowiednią umowę, tzw. umowę powierzenia, w której określone zostaną zasady przetwarzania danych. W stosunku do ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, RODO wprowadza nowe – znacznie rozbudowane – wymagania co do treści umowy powierzenia. Są to zobowiązania podmiotu przetwarzającego do: 

a) przetwarzania danych wyłącznie na udokumentowane polecenie administratora,
b) zapewniania, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
c) podejmowania środków zabezpieczenia danych wymaganych przez RODO i pomagania administratorowi wywiązać się z tych obowiązków,
d) przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego – tzw. podpowierzenie przetwarzania danych jest dopuszczalne wyłącznie za zgodą administratora danych,
e) pomagania administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w RODO,
f) usunięcia danych lub do zwrotu danych administratorowi danych po zakończeniu przetwarzania, zgodnie z decyzją administratora,
g) udostępnia administratorowi wszelkich informacji niezbędnych do wykazania spełnienia jego obowiązków oraz do umożliwiania administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów.
Umowa powierzenia może zostać zawarta w formie pisemnej oraz w formie elektronicznej, pod warunkiem zapewnienia integralności i autentyczności dokumentu w postaci elektronicznej. Tym, co istotnie różni zasady powierzania przetwarzania danych w RODO od ustawy z 29 sierpnia, jest prawny obowiązek wyboru takiego podmiotu przetwarzającego, który gwarantuje odpowiednią ochronę danych osobowych. Administrator danych może mieć praktyczną trudność w wyborze takiego podmiotu – zwłaszcza, gdy sam administrator jest podmiotem niewielkim, a przetwarzanie danych ma się odbywać przez renomowanych dostawców. Z pomocą przychodzi w tym przypadku tzw. procedura certyfikacji podmiotów przetwarzających dane osobowe. Certyfikaty wydawane będą po to, żeby zaświadczyć o zgodności przetwarzania danych przez certyfikowany podmiot. Będzie to więc wskazówka dla tych, którzy poszukują odpowiedniego podmiotu przetwarzającego dane osobowe – wybór podmiotów posiadających certyfikat. (Podstawa prawna – art. 28, art. 42 RODO).

 

---

biuro@kancelaria-zarzecki.pl

---