Ochrona danych osobowych

 

 

RODO

 

 

 

 

24 maja 2016 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych  w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych ora uchylenia dyrektywy 95/46/WE /Dz. Urz.UE.L nr 119, str.1/ zwane popularnie RODO. Rozporządzenie będzie stosowane na terenie Unii Europejskiej, w tym również Polski od 25 maja 2018 r. Ranga rozporządzenia stanowi, że wszystkie jego przepisy będą od tego dnia bezpośrednio obowiązywać i będą miały bezpośredni skutek. Nie będzie procesu implementacji do prawa krajowego, jak ma to miejsce w przypadku dyrektyw unijnych. Nowa Ustawa o ochronie danych osobowych zawierać będzie jedynie uregulowania dotyczące m. in.:

  • nowego organu w sprawie ochrony danych osobowych – Prezes Urzędu Ochrony Danych Osobowych,
  • postępowania w sprawie naruszenia przepisów i postępowania kontrolnego,
  • odpowiedzialności cywilnej i karnej, wysokości kar pieniężnych,
  • inspektorów ochrony danych osobowych,
  • niewielkich ograniczeń dla firm mikro odnośnie stosowania niektórych uregulowań RODO,
  • propozycji zmian ponad 40 ustaw pod kątem wymogów wynikających z RODO.

Na wstępie należy podać kilka istotnych dla omawianego tematu pojęć.

 

RODO podlega każdy przedsiębiorca, który prowadzi działalność na terenie Unii Europejskiej niezależnie od formy prawnej i wielkości firmy.        Przedsiębiorca przetwarzający dane osobowe zwany jest administratorem danych osobowych. Administratorem danych jest zawsze określony podmiot np. spółka z o.o., spółka S.A., osoba fizyczna prowadząca działalność gospodarczą. Administrator danych osobowych decyduje o sposobach, środkach i celach przetwarzania danych osobowych. W sytuacji, gdy administrator sam nie przetwarza posiadanych danych osobowych przekazuje je tzw. podmiotowi przetwarzającemu. Przekazanie następuje w oparciu o umowę powierzenia przetwarzania danych osobowych, w której określa się zasady przetwarzania. Jako przykłady powierzenia przetwarzania danych podmiotowi przetwarzającemu można podać zlecanie biuru rachunkowemu prowadzenia obsługi finansowo-księgowej, zlecanie firmie niszczącej dokumenty niszczenie dokumentacji firmowej zawierającej dane osobowe, zlecanie firmie informatycznej obsługę wykorzystywanych programów komputerowych, zlecanie firmie medycznej przeprowadzanie badań okresowych zatrudnionych pracowników. Obowiązkowo w określonych w RODO przypadkach lub fakultatywnie w pozostałych przypadkach administrator może  wyznaczyć inspektora ochrony danych osobowych. Podstawowe zadania inspektora to:

  • informowanie kadrę zarządzającą i pracowników o obowiązkach wynikających z RODO,
  • monitorowanie przestrzegania przepisów RODO  w firmie,
  • udzielanie porad odnośnie planowanych operacji przetwarzania danych osobowych,
  • pełnienie punktu kontaktowego dla GIODO, a od 25 maja 2018 r. dla PUODO /Prezes Urzędu Ochrony Danych Osobowych/,
  • audyty, szkolenia, przydział obowiązków pracownikom, nadzór nad dokumentacją.

Dane osobowe to wszelkie informacje odnoszące się do zidentyfikowanej osoby lub możliwej do zidentyfikowania w oparciu o posiadane dane  np. PESEL, nr dowodu osobistego, nr prawa jazdy osoby fizycznej. Dane osobowe dotyczą osób fizycznych. Osoby prawne nie mają danych osobowych, ale już ich kadra zarządzająca i pracownicy takie dane posiadają. Dane osobowe dzielą się na:

  • zwykłe,
  • szczególnych kategorii /zwane dawniej wrażliwymi/ np. pochodzenie etniczne lub rasowe, poglądy polityczne, dane dotyczące zdrowia, poglądy polityczne.

Przetwarzanie danych osobowych to ich posiadanie, przechowywanie, zbieranie, usuwanie, opracowywanie, udostępnianie, niszczenie. Przetwarzać dane osobowe można wtedy, gdy istnieje podstawa prawna przetwarzania danych osobowych. Istnieją cztery podstawy:

  • zgoda osoby fizycznej której dane dotyczą,
  • wykonanie umowy z osobą której dane dotyczą lub działania poprzedzające zawarcie umowy,
  • wypełnienie obowiązku prawnego ciążącego na administratorze danych osobowych,
  • realizacja celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.

Przy zbieraniu danych osobowych należy stosować zasadę minimalizacji polegającej na gromadzeniu danych osobowych niezbędnych do osiągnięcia celu przetwarzania.

Przepisy RODO dużo uwagi poświęcają zgodzie osoby fizycznej której dane dotyczą jako podstawie przetwarzania danych osobowych. Udzielona zgoda powinna być:

  • dobrowolna – bez przymusu, zastraszania, groźby negatywnych konsekwencji,
  • konkretna – określony cel przetwarzania,
  • świadoma – dotycząca określonego stanu faktycznego,
  • jednoznaczna – w momencie wyrażania zgody muszą być jasne i znane wszystkie jej aspekty.

Przy pozyskiwaniu zgody na przetwarzanie danych osobowych administrator musi zrealizować obowiązek informacyjny, czyli poinformować zainteresowaną osobę m. in.:

  •  o administratorze danych osobowych i jego danych kontaktowych,
  • o danych inspektora ochrony danych – gdy jest wyznaczony,
  • o celach i podstawie przetwarzania,
  • o odbiorcach danych osobowych,
  • o okresie przetwarzania,
  • o prawie do żądania od administratora dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, sprzeciwu do przetwarzania, do przenoszenia danych,
  • o prawie do cofnięcia zgody na przetwarzanie,
  • o prawie wniesienia skargi do PUODO.

Obowiązek informacyjny powinien być realizowany przez administratora jasnym i prostym językiem, w sposób zwięzły, przejrzysty i zrozumiały.

RODO nie wprowadza istotnych zmian w zakresie podstaw prawnych oraz zasad przetwarzania danych osobowych. Natomiast istotne, wręcz rewolucyjne podejście wprowadza w zakresie zwiększenia samodzielności i odpowiedzialności administratorów danych osobowych /podejście oparte na ryzyku/. Od 25 maja 2018 r. każdy administrator - biorąc pod uwagę:

  • charakter, zakres, kontekst i cele przetwarzania,
  • ryzyko naruszenia praw lub wolności osób fizycznych o różnym  prawdopodobieństwie wystąpienia i wadze zagrożenia,
  • stan wiedzy technicznej,
  • koszt wdrażania określonych rozwiązań,

 będzie musiał samodzielnie decydować jakie zabezpieczenia techniczne i organizacyjne, dokumentacje i procedury przetwarzania danych będzie stosował w swojej firmie. W związku z powyższym w RODO nie znajdziemy przykładów minimalnych standardów technicznych zabezpieczających przetwarzanie danych osobowych oraz przykładów rozwiązań organizacyjnych i dokumentacyjnych.

Przystępując do wdrażania RODO należy w pierwszej kolejności przeprowadzić „przegląd” tego jakie dane osobowe są przetwarzane, jak zostały pozyskane, skąd pochodzą, jak są udostępniane i jak są chronione pod kątem ich zgodności i legalności z tym aktem prawnym. Rezultatem takiego przeglądu powinna być uporządkowana dokumentacja, zgodne z RODO procedury i klauzule zgody. Administrator powinien przetwarzać dane osobowe pozyskane zgodnie z nowymi przepisami, a pozostałe usunąć.

RODO odnośnie dokumentacji przetwarzania danych osobowych – poza rejestrem czynności przetwarzania danych osobowych – nie precyzuje innej dokumentacji, którą należy prowadzić. W przepisach są natomiast wskazane czynności, które należy dokumentować np. jakie dane są w posiadaniu administratora, jak były pozyskane, komu są udostępniane lub powierzane, jak są raportowane incydenty naruszenia ochrony danych osobowych, przekazywanie danych do państw trzecich. W opiniach ekspertów z tego tematu zaleca się dalsze prowadzenie dotychczasowej dokumentacji tj. polityki ochrony danych osobowych, instrukcji zarządzania systemem informatycznym, w którym są przetwarzane dane osobowe, wykazu upoważnień do przetwarzania danych osobowych, indywidualnych upoważnień – po ich dostosowaniu do wymogów RODO. Nowa wymagana przez RODO dokumentacja dotyczy prowadzenia rejestru czynności przetwarzania danych osobowych. Rejestr powinien zawierać następujące elementy:

  • dane administratora danych i gdy to ma miejsce przedstawiciela administratora lub inspektora ochrony danych,
  • opis osób których dane dotyczą ora kategorii danych osobowych,
  • cele przetwarzania,
  • kategorie odbiorców,
  • podstawa przetwarzania,
  • planowany termin usunięcia danych,
  • ogólny opis stosowanych technicznych i organizacyjnych środków bezpieczeństwa danych.

Rejestr nie musi być  prowadzony przez przedsiębiorców zatrudniających mniej niż 250 zatrudnionych, chyba że:

  • przetwarzanie nie ma charakteru sporadycznego,
  • przetwarzanie obejmuje szczególne kategorie danych lub dane dotyczą wyroków skazujących,
  • przetwarzanie może naruszać prawa lub wolności osób, których dane dotyczą.

Rejestr przetwarzania danych zastąpi od 25 maja 2018 r. obowiązek zgłaszania do GIODO posiadanych baz danych.

            Przedstawiona informacja nie wyczerpuje całej problematyki ochrony danych osobowych w rozumieniu RODO. Wszyscy zainteresowani tematem powinni zapoznać się z przepisami RODO i oficjalnymi wyjaśnieniami lub stanowiskami GIODO lub Grupy Roboczej Art. 29. Ewentualnie skorzystać z pomocy specjalistów z zakresu ochrony danych osobowych.

            Niedostosowanie się do wymogów RODO może nieść za sobą dla administratorów danych oraz osób fizycznych, których dane dotyczą negatywne skutki. Do najpoważniejszych należy zaliczyć utratę kontroli nad danymi, ograniczenie praw osób, których dane dotyczą, dyskryminację, kradzież tożsamości, naruszenie dobrego imienia, szkody o charakterze majątkowym. Administrator, który nie zapewni bezpieczeństwa przetwarzania danych osobowych musi się liczyć z odpowiedzialnością finansową określoną w RODO, nie należ również wykluczać   odpowiedzialności z powództwa cywilnego.

 

 

Praktyczny poradnik RODO

 

Obowiązek informacyjny i zgoda na przetwarzanie danych osobowych

 

Polityka bezpieczeństwa  przetwarzania danych osobowych

 

Upoważnienie do przetwarzania danych osobowych, umowa powierzenia przetwarzania danych osobowych