RODO

RODO – co to jest? krok po kroku

RODO to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/697 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/64/WE. To akt prawny wprowadzający przepisy, które obowiązywać będą od 25 maja 2018 roku. W założeniu RODO ma ujednolicić przepisy w zakresie ochrony danych osobowych na terytorium Unii Europejskiej. Większość z forsowanych w tym rozporządzeniu regulacji już od dawna, w ten lub inny sposób, funkcjonuje w polskim systemie ochrony danych osobowych. Do nowości wprowadzonych przez RODO, należy jednak szereg istotnych zagadnień, z których najważniejsze wskazano w poniższym opracowaniu.

Podstawy przetwarzania danych osobowych według RODO

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy spełniony jest co najmniej jeden z poniższych warunków:

    1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
    2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
    3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
    4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (przykład: szpitale);
    5. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
    6. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego, administrator bierze pod uwagę związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania; kontekst, w którym zebrano dane osobowe; charakter danych osobowych; ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; istnienie odpowiednich zabezpieczeń, w tym ewentualne szyfrowanie lub pseudonimizację.

Zgoda na przetwarzanie danych osobowych

Zgoda na przetwarzanie danych osobowych musi być wyraźna i obejmować wymaganą formę jej wyrażenia jako „okazanie woli w formie oświadczenia” lub „wyraźnego działania potwierdzającego”.

Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Jeżeli osoba, której dane dotyczą, wyrazi zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, a wycofanie zgody musi być równie łatwe, jak jej wyrażenie.

Podstawy prawne przetwarzania danych szczególnych kategorii

Co do zasady zabrania się przetwarzania wrażliwych danych osobowych (w tym danych biometrycznych, danych genetycznych). Powyższe ograniczenie nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

    1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach;
    2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej;
    3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
    4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
    5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
    6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
    7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
    8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego;
    9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych;
    10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.

Informacje i dostęp do danych osobowych według RODO

Jeżeli dane osobowe zbierane są od osoby, której dotyczą, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie poniższe informacje: swoją tożsamość i dane kontaktowe; cele przetwarzania danych osobowych i podstawę prawną przetwarzania; informacje o odbiorcach danych osobowych; inne informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

Poza powyższymi informacjami, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

    1. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
    2. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
    3. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
    4. informacje o prawie wniesienia skargi do organu nadzorczego;
    5. informację czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
    6. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.

Obowiązek respektowania praw osób, których dane dotyczą

Osoba, której dane dotyczą, powinna mieć przede wszystkim zapewnione:

  1. Prawo dostępu do danych;
  2. Prawo do sprostowania danych;
  3. Prawo do usunięcia danych;
  4. Prawo ograniczenia przetwarzania danych;
  5. Prawo sprzeciwu;
  6. Prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu.

Domyślna ochrona

RODO wprowadza obowiązek uwzględnienia ochrony danych osobowych w fazie projektowania oraz ustawienia domyślnej ochrony danych osobowych w produktach i usługach. Mechanizmy te zakładają, że ustawienia prywatności w urządzeniach, produktach, usługach mają być nakierowane na maksymalną ochronę użytkownika. Polityki ochrony danych osobowych oraz wdrożone środki powinny zapewniać uwzględnienie ochrony danych w fazie projektowania oraz mechanizmy domyślnej ochrony.

Obowiązek rejestrowania czynności przetwarzania  

Nowe przepisy wprowadzają obowiązek prowadzenia przez administratora danych rejestru czynności przetwarzania. Obowiązek ten dotyczy:

    1. Przedsiębiorcę lub podmiot zatrudniający powyżej 250 osób,
    2. Przedsiębiorcę lub podmiot zatrudniający mniej niż 250 osób, jeżeli
  1. przetwarzanie, którego dokonuje, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
  2. przetwarzanie nie ma charakteru sporadycznego;
  3. obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust 1 RODO (pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, a także dane dotyczących zdrowia, seksualności lub orientacji seksualnej) oraz dane, o których mowa w art. 10 RODO (dane o naruszeniach prawa i wyrokach skazujących).

Naruszenia ochrony danych osobowych

RODO nakłada na administratora obowiązek niezwłocznego zgłoszenia do organu nadzorczego (w Polsce GIODO) naruszenia ochrony danych osobowych. Takie zgłoszenie administrator musi wykonać niezwłocznie, ale nie później niż w 72 godziny po stwierdzeniu naruszenia. Gdy administrator przekroczy ten termin musi do zgłoszenia dołączyć wyjaśnienie przyczyn opóźnienia.

Zgłoszenie musi co najmniej:

    1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
    2. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
    3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
    4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Zgłoszenia nie należy dokonywać, jeżeli jest „mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” – a zatem to na administratorze będzie ciążył ciężar oceny wraz z odpowiedzialnością z tym związaną (ocena prawdopodobieństwa ryzyka naruszenia praw lub wolności).

Należy także pamiętać, że administrator jest też zobowiązany do dokumentowania wszelkich naruszeń ochrony danych osobowych w ramach swojej dokumentacji wewnętrznej.

Obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, w tym między innymi w stosownym przypadku:

    1. pseudonimizację i szyfrowanie danych osobowych;
    2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
    3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
    4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Administrator danych realizuje przedmiotowy obowiązek poprzez:

  1. audyty zgodności ochrony danych osobowych;
  2. testy sytemu informatycznego;
  3. kontrolowane próby przedarcia przez zabezpieczenia;
  4. wizje lokalne.

Szacowanie ryzyka związanego z przetwarzaniem danych osobowych

Pierwszy etap szacowania ryzyka polega na zdefiniowaniu każdego ryzyka zagrażającego podmiotowi przetwarzającemu dane osobowe poprzez wyszczególnienie tych zagrożeń wraz ze wskazaniem zagrożeń prowadzących do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych.

Drugi etap dotyczy pomiaru i analizy ryzyka i polega na szacowaniu prawdopodobieństwa wystąpienia zdefiniowanych rodzajów ryzyka, a także określenie wartości prawdopodobnych strat (skutków). Skutkami mogą być: uszczerbek fizyczny, szkody majątkowe lub niemajątkowe u osób fizycznych, takie jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.

Trzeci etap dotyczy postępowania z ryzykiem i polega na modyfikowaniu ryzyka przekraczającego akceptowalny próg (redukcja ryzyka). Przykładowe sposoby postępowania z ryzykiem to: usunięcie źródła ryzyka, podjęcie lub zawieszenie ryzyka w celu wykorzystania szansy, dzielenie następstw ryzyka z innymi stronami.

Jeżeli ocena skutków dla ochrony danych osobowych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia, wtedy przed rozpoczęciem czynności przetwarzania należy skonsultować się z organem nadzorczym.

Wyznaczenie inspektora ochrony danych

Rozporządzenie nie posługuje się nazwą znaną z UODO – „administratora bezpieczeństwa informacji – ABI”, a sformułowaniem „inspektor ochrony danych”. Wyznaczenie wewnętrznego inspektora ochrony danych jest obligatoryjne następujących przypadkach:

  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO (pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, a także dane dotyczących zdrowia, seksualności lub orientacji seksualnej) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Profilowanie

Profilowanie dotyczy sytuacji, w których serwisy zajmujące się sprzedażą internetową zbierają informacje o preferencjach konsumenta na podstawie których „przewidują” jego dalsze wybory (proponując mu przedmioty korelujące z jego preferencjami). RODO definiuje profilowanie jako „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.

Do profilowania odnosi się także przepis, w którym wyrażone jest zobowiązanie administratora danych do poinformowania osoby, której dane dotyczą o fakcie profilowania oraz konsekwencjach tego profilowania.

Gdy wynikiem zautomatyzowanego przetwarzania lub profilowania będzie podjęcie decyzji w indywidualnej sprawie, a dodatkowo przedmiotowe przetwarzanie będzie wywoływało skutki prawne wobec osoby, której dane dotyczą, lub w podobny sposób istotnie na nią wpływało, administrator danych będzie musiał uzyskać wyraźną zgodę na tego typu przetwarzanie.

W przypadku, gdy przedmiotowe przetwarzanie opiera się na przesłane konieczności zawarcia umowy lub jej wykonania bądź na wyraźnej zgodzie, administrator musi wdrożyć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

Można zatem przyjąć, że jeżeli administrator profiluje dane wyłącznie w celach statystycznych czy rozwojowych lub wyłącznie na wewnętrzne potrzeby i nie wiąże się to z żadnym procesem decyzyjnym względem osoby, której dane są profilowane, nie ma również obowiązku informować o tym działaniu lub uzyskiwać zgody w tym zakresie.

Dane biometryczne

W RODO została wprowadzona definicja „danych biometrycznych” co powinno zwrócić uwagę np. pracodawców planujących wprowadzić zaawansowane technologicznie rozwiązania związane np. z monitorowaniem i regulowaniem dostępu pracowników do obiektów zakładu pracy, ponieważ RODO ustanawia generalny zakaz przetwarzania takich danych.

Jako dane biometryczne należy rozumieć takie dane osobowe „które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby takiej jak wizerunek twarzy lub dane daktyloskopijne”.

Powierzenie przetwarzania danych osobowych

Administrator może zawierać umowy w zakresie powierzenia danych osobowych jedynie z podmiotami, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą

Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Dokumenty wewnętrzne

RODO nakłada obowiązek utworzenia i posiadania szeregu dokumentów wewnętrznych: dowodu udzielenia zgody na przetwarzanie danych osobowych, klauzul informacyjnych o przetwarzaniu danych osobowych, rejestru czynności przetwarzania, czy też regulaminów przetwarzania danych.

Nowe przepisy nakładają też na administratora ochrony danych osobowych przyjęcie wewnętrznych polityk i wdrożenie odpowiednich środków technicznych i organizacyjnych. Jednakże RODO nie precyzuje jak dokładnie mają wyglądać przedmiotowe polityki, nie nakłada też obowiązku ich prowadzenia w formie dokumentacji.

Sankcje

RODO przewiduje drastyczne sankcje związane z naruszeniami nowych przepisów. W zależności od rodzaju naruszenia, może to być od 10.000.000 do nawet 20.000.000 Euro lub od 2 % do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności która z tych kwot będzie wyższa.

Podsumowanie

Niniejsze opracowanie nie wyczerpuje tematu, a jedynie sygnalizuje jego objętość, nowatorstwo i idące za nim zagrożenia. Zainteresowanych tematem odsyłamy do kontaktu z kancelarią lub lektury poniższych publikacji, które jako jedne z pierwszych na polskim rynku były pomocne podczas prac nad niniejszym opracowaniem.

  1. Anna Dmochowska, Marcin Zadrożny: Unijna reforma ochrony danych osobowych. Analiza zmian. Wydawnictwo C.H. Beck 2016
  2. Grzegorz Sibiga, Katarzyna Syska: Ogólne rozporządzenie o ochronie danych. Podręczny zbiór przepisów o ochronie danych osobowych, zestawień, schematów oraz wzorów rejestru czynności przetwarzania. Wydawnictwo C.H. Beck 2017

Materiał został przygotowany i udostępniony dzięki uprzejmości współpracującej z nami kancelarii prawnej Answer.

Więcej na temat nowych zasad możecie Państwo przeczytać na stronie internetowej: http://answer.com.pl/pomozemy-przygotowac-ci-sie-rodo/.

W przypadku, gdy potrzebujecie Państwo asysty w dostosowaniu swojego przedsiębiorstwa do nowych przepisów, chętnie prześlemy ofertę na kompleksową pomoc informatyczną i organizacyjną.

Verseo  Darmowa Wycena

Powiązane wpisy

Dodaj komentarz

1 comment

  1. dominika

    Super wyjaśnione ! 🙂

    ________________________

Copyright © 2018 Agencja Interaktywna Verseo - wszelkie prawa zastrzeżone

Polityka prywatności | Witryna wykorzystuje pliki cookies