RODO
24 maja 2016 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych ora uchylenia dyrektywy 95/46/WE /Dz. Urz.UE.L nr 119, str.1/ zwane popularnie RODO. Rozporządzenie będzie stosowane na terenie Unii Europejskiej, w tym również Polski od 25 maja 2018 r. Ranga rozporządzenia stanowi, że wszystkie jego przepisy będą od tego dnia bezpośrednio obowiązywać i będą miały bezpośredni skutek. Nie będzie procesu implementacji do prawa krajowego, jak ma to miejsce w przypadku dyrektyw unijnych. Nowa Ustawa o ochronie danych osobowych zawierać będzie jedynie uregulowania dotyczące m. in.:
Na wstępie należy podać kilka istotnych dla omawianego tematu pojęć.
RODO podlega każdy przedsiębiorca, który prowadzi działalność na terenie Unii Europejskiej niezależnie od formy prawnej i wielkości firmy. Przedsiębiorca przetwarzający dane osobowe zwany jest administratorem danych osobowych. Administratorem danych jest zawsze określony podmiot np. spółka z o.o., spółka S.A., osoba fizyczna prowadząca działalność gospodarczą. Administrator danych osobowych decyduje o sposobach, środkach i celach przetwarzania danych osobowych. W sytuacji, gdy administrator sam nie przetwarza posiadanych danych osobowych przekazuje je tzw. podmiotowi przetwarzającemu. Przekazanie następuje w oparciu o umowę powierzenia przetwarzania danych osobowych, w której określa się zasady przetwarzania. Jako przykłady powierzenia przetwarzania danych podmiotowi przetwarzającemu można podać zlecanie biuru rachunkowemu prowadzenia obsługi finansowo-księgowej, zlecanie firmie niszczącej dokumenty niszczenie dokumentacji firmowej zawierającej dane osobowe, zlecanie firmie informatycznej obsługę wykorzystywanych programów komputerowych, zlecanie firmie medycznej przeprowadzanie badań okresowych zatrudnionych pracowników. Obowiązkowo w określonych w RODO przypadkach lub fakultatywnie w pozostałych przypadkach administrator może wyznaczyć inspektora ochrony danych osobowych. Podstawowe zadania inspektora to:
Dane osobowe to wszelkie informacje odnoszące się do zidentyfikowanej osoby lub możliwej do zidentyfikowania w oparciu o posiadane dane np. PESEL, nr dowodu osobistego, nr prawa jazdy osoby fizycznej. Dane osobowe dotyczą osób fizycznych. Osoby prawne nie mają danych osobowych, ale już ich kadra zarządzająca i pracownicy takie dane posiadają. Dane osobowe dzielą się na:
Przetwarzanie danych osobowych to ich posiadanie, przechowywanie, zbieranie, usuwanie, opracowywanie, udostępnianie, niszczenie. Przetwarzać dane osobowe można wtedy, gdy istnieje podstawa prawna przetwarzania danych osobowych. Istnieją cztery podstawy:
Przy zbieraniu danych osobowych należy stosować zasadę minimalizacji polegającej na gromadzeniu danych osobowych niezbędnych do osiągnięcia celu przetwarzania.
Przepisy RODO dużo uwagi poświęcają zgodzie osoby fizycznej której dane dotyczą jako podstawie przetwarzania danych osobowych. Udzielona zgoda powinna być:
Przy pozyskiwaniu zgody na przetwarzanie danych osobowych administrator musi zrealizować obowiązek informacyjny, czyli poinformować zainteresowaną osobę m. in.:
Obowiązek informacyjny powinien być realizowany przez administratora jasnym i prostym językiem, w sposób zwięzły, przejrzysty i zrozumiały.
RODO nie wprowadza istotnych zmian w zakresie podstaw prawnych oraz zasad przetwarzania danych osobowych. Natomiast istotne, wręcz rewolucyjne podejście wprowadza w zakresie zwiększenia samodzielności i odpowiedzialności administratorów danych osobowych /podejście oparte na ryzyku/. Od 25 maja 2018 r. każdy administrator - biorąc pod uwagę:
będzie musiał samodzielnie decydować jakie zabezpieczenia techniczne i organizacyjne, dokumentacje i procedury przetwarzania danych będzie stosował w swojej firmie. W związku z powyższym w RODO nie znajdziemy przykładów minimalnych standardów technicznych zabezpieczających przetwarzanie danych osobowych oraz przykładów rozwiązań organizacyjnych i dokumentacyjnych.
Przystępując do wdrażania RODO należy w pierwszej kolejności przeprowadzić „przegląd” tego jakie dane osobowe są przetwarzane, jak zostały pozyskane, skąd pochodzą, jak są udostępniane i jak są chronione pod kątem ich zgodności i legalności z tym aktem prawnym. Rezultatem takiego przeglądu powinna być uporządkowana dokumentacja, zgodne z RODO procedury i klauzule zgody. Administrator powinien przetwarzać dane osobowe pozyskane zgodnie z nowymi przepisami, a pozostałe usunąć.
RODO odnośnie dokumentacji przetwarzania danych osobowych – poza rejestrem czynności przetwarzania danych osobowych – nie precyzuje innej dokumentacji, którą należy prowadzić. W przepisach są natomiast wskazane czynności, które należy dokumentować np. jakie dane są w posiadaniu administratora, jak były pozyskane, komu są udostępniane lub powierzane, jak są raportowane incydenty naruszenia ochrony danych osobowych, przekazywanie danych do państw trzecich. W opiniach ekspertów z tego tematu zaleca się dalsze prowadzenie dotychczasowej dokumentacji tj. polityki ochrony danych osobowych, instrukcji zarządzania systemem informatycznym, w którym są przetwarzane dane osobowe, wykazu upoważnień do przetwarzania danych osobowych, indywidualnych upoważnień – po ich dostosowaniu do wymogów RODO. Nowa wymagana przez RODO dokumentacja dotyczy prowadzenia rejestru czynności przetwarzania danych osobowych. Rejestr powinien zawierać następujące elementy:
Rejestr nie musi być prowadzony przez przedsiębiorców zatrudniających mniej niż 250 zatrudnionych, chyba że:
Rejestr przetwarzania danych zastąpi od 25 maja 2018 r. obowiązek zgłaszania do GIODO posiadanych baz danych.
Przedstawiona informacja nie wyczerpuje całej problematyki ochrony danych osobowych w rozumieniu RODO. Wszyscy zainteresowani tematem powinni zapoznać się z przepisami RODO i oficjalnymi wyjaśnieniami lub stanowiskami GIODO lub Grupy Roboczej Art. 29. Ewentualnie skorzystać z pomocy specjalistów z zakresu ochrony danych osobowych.
Niedostosowanie się do wymogów RODO może nieść za sobą dla administratorów danych oraz osób fizycznych, których dane dotyczą negatywne skutki. Do najpoważniejszych należy zaliczyć utratę kontroli nad danymi, ograniczenie praw osób, których dane dotyczą, dyskryminację, kradzież tożsamości, naruszenie dobrego imienia, szkody o charakterze majątkowym. Administrator, który nie zapewni bezpieczeństwa przetwarzania danych osobowych musi się liczyć z odpowiedzialnością finansową określoną w RODO, nie należ również wykluczać odpowiedzialności z powództwa cywilnego.
Obowiązek informacyjny i zgoda na przetwarzanie danych osobowych
Polityka bezpieczeństwa przetwarzania danych osobowych
Upoważnienie do przetwarzania danych osobowych, umowa powierzenia przetwarzania danych osobowych