RODO dla każdego, czyli co trzeba wiedzieć przed 28 maja 2018 r.?

Z dniem 28 maja 2018 r. wejdzie w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE tzw. ogólne rozporządzenie o ochronie danych – RODO. Przepisy obecnie obowiązującej Ustawy o ochronie danych osobowych z ww. dniem zostaną zastąpione przez regulacje zawarte w RODO. W celu przedstawienia podstawowych regulacji zawartych w RODO posłużymy się przykładem przedsiębiorcy, który pragnie przygotować się na wejście w życie RODO.

  • W związku z prowadzeniem przedsiębiorstwa zatrudniam wielu pracowników i w związku z tym gromadzę ich dane osobowe. Czy po 28 maja 2018 r. będę zmuszony wprowadzić jakieś zmiany w tym zakresie?

Tak. W pierwszej kolejności należy pamiętać o konieczności uzyskania zgody na przetwarzanie danych od osoby, której dotyczą. (niezależnie czy jest to jeden pracownik, dziesięciu czy też kontrahent będący osobą fizyczną).

Powyższa zgoda zgodnie z treścią RODO musi zawierać pewne elementy, aby późniejsze przetwarzanie danych odbywało się zgodnie z prawem. Takimi elementami są:

  1. Wskazanie celu w jakim zbierane są dane
  2. Dane można zbierać jedynie ściśle związane z celem ich przetwarzania, np. Nie można żądać od pracownika udzielenia informacji o jego poglądach i przekonaniach religijnych, jeżeli nie ma to związku z wykonywana pracą.
  3. Wszelkie dane muszą być prawidłowe i w razie konieczności uaktualniane (np. w przypadku zmiany nazwiska)
  4. Informacja o prawie do cofnięcia ww. zgody, przy czym cofnięcie musi być równie łatwe, co jej wyrażenie,
  5. Informacja o prawie do bycia zapomnianym – uprawnienie osoby do żądania usunięcia wszelkich przekazanych danych.
  6. Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania.
  7. Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych.
  • Czy sam proces przetwarzania danych również musi spełniać określone warunki narzucone przez przepisy Rozporządzenia?

Tak. Oprócz warunków dotyczących samej zgody, wskazanymi powyżej, do procesu przetwarzania mają również zastosowanie poniższe zasady:

  1. Należy zapewnić ochronę (zarówno w zakresie technicznym jak i organizacyjnym) przetwarzanych danych dostosowaną do ich wagi,
  2. Stosować szyfrowanie i psudonimizaję danych,
  3. Zapewnić możliwość szybkiego przywrócenia dostępu do danych w przypadku jego utraty,
  4. Należy regularnie testować, sprawdzać i oceniać skuteczność środków technicznych i organizacyjnych mających zapewnić ochronę danych.
  5. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu.
  6. Należy poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania. Jeżeli gromadzi się dane osobowe od osoby, której dane dotyczą, należy ją też poinformować, czy ma ona obowiązek je podać, oraz o konsekwencjach ich niepodania.

Definicja profilowania została zawarta w motywie (71) RODO: „dowolne zautomatyzowane przetwarzanie danych osobowych pozwalające ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą – o ile wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa.”

  1. Administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz, że są skuteczne.
  2. Dla zachowania zgodności z niniejszym rozporządzeniem, administrator lub podmiot przetwarzający powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni. Każdy administrator i każdy podmiot przetwarzający powinni mieć obowiązek współpracować z organem nadzorczym i na jego żądanie udostępniać mu te rejestry w celu monitorowania tych operacji przetwarzania
  3. Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej sobie podjęcie niezbędnych działań zapobiegawczych.
  4. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:
    1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
    2. cele przetwarzania;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  1. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  2. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  3. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa,
  1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
  2. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu

 

  • Jeżeli prowadząc przedsiębiorstwo przetwarzam dane osób fizycznych to jestem Administratorem danych, czy też Podmiotem Przetwarzającym?

Zgodnie z art. 4 pkt 7 i 8 RODO:

  1. „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
  2. „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu

Odpowiadając zatem na zadane pytanie, w powyższym przypadku przedsiębiorca będzie Administratorem i to na nim spoczywać będzie ciężar wywiązania się z obowiązków narzuconych przez RODO.

  • Gdzie mogę znaleźć informacje o środkach jakie mam stosować w celu zapewnienia dostatecznej ochrony?

Zastosowanie określonych środków techniczno – organizacyjnych zależy od wielu czynników takich jak rozwój techniki i waga przetwarzanych danych. W celu uzyskania pewności, że zastosowane środki ochrony są wystarczające, należy sprawdzić, czy ich zastosowanie umożliwia ich ochronę i zapobiega naruszeniom. W celu ułatwienia dostosowania środków do wymaganego poziomu Prezes urzędu ochrony danych osobowych będzie wydawał „Dzienniki dobrych praktyk”, które będą wskazywać i informować o działaniach jakie należy podjąć aby w każdym czasie zapewnić pełną ochronę danych. Administratorzy danych mogą się ubiegać o certyfikację, która będzie stwierdzać zgodność zastosowanych środków ochrony z obowiązującymi wymogami.

  • Czy uzyskanie certyfikatu zwalnia od odpowiedzialności w sytuacji powstania naruszenia ochrony danych?

Nie. Uzyskanie certyfikatu stwierdza jedynie, że w danym momencie (w którym wydano certyfikat) zapewniona była odpowiednia ochrona danych, nie zwalnia to Administratora z obowiązku sprawdzania i aktualizowania środków ochrony wraz z wprowadzaniem kolejnych przepisów prawa, czy też technologii pozwalających na zapewnienie skuteczniejszej ochrony.

 

Adam Tchórzewski
aplikant radcowski

Smaga Jaroszyński Spółka Adwokacka S.K.A.


Icon made by Freepik from www.flaticon.com

Komentarze ( 0 )

    Napisz komentarz

    Twój adres email nie zostanie opublikowany. Wymagane pola oznaczone są *

    Autorzy Bloga

    Krzysztof Smaga

    Zawodowo – adwokat, syndyk, członek rad nadzorczych, na każdej z tych funkcji z wieloletnim doświadczeniem. Absolwent Wydziału Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Stypendysta na Uniwersytetach Alberta Ludwika we Fryburgu i Karola Franciszka w Grazu. Współzałożyciel Kancelarii i współautor jej charakteru. Pozazawodowo - aktywny sympatyk sportu w każdej popularnej postaci (bieganie, jazda na rowerze, narty, żeglarstwo) i wielki miłośnik gór.

    Jacek Jaroszyński

    Adwokat i doradca podatkowy. Absolwent Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Lubelskiego Jana Pawła II, gdzie obronił doktorat. Ukończył również studia doktorskie oraz zdał minimum doktorskie na Wydziale Ekonomii Uniwersytetu Warszawskiego. Posiada doświadczenie w biznesie międzynarodowym, które zdobył jako dyrektor spółki rosyjsko-polskiej w Nowogrodzie. Wraz z Krzysztofem Smagą - współzałożyciel Kancelarii i współautor jej charakteru. Pasjonat koni - zarówno tych naturalnych, jak i mechanicznych.

    Tomasz Czapla

    Żeromszczak z Kielc, absolwent Wydziału Prawa Uniwersytetu Marii Curie Skłodowskiej w Lublinie. Studiował na Uniwersytetach w Monachium, w Utrechcie i Edinboro University of Pennsylvania. Ukończył również z wynikiem bardzo dobrym aplikację sądową. Radca prawny od 2008 roku. Zajmuje się zamówieniami publicznymi, niszowymi zagadnieniami gospodarczymi (prawo lotnicze, bezpieczeństwo żywności) i co ciekawszymi procesami cywilnymi. Regularny uczestnik zawodów narciarskich i maratonów MTB na dystansie giga. Zdarza mu się wziąć kilka dni wolnego, po czym okazuje się że pokonał Albrechts Route albo trasę Świeradów Zdrój – Ustrzyki.

    Michał Połaniecki

    Radca prawny. Absolwent Wydziału Praca, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Lubelskiego Jana Pawła II. Pełnił funkcję koordynatora lubelskiego oddziału Fundacji Acedamia Iuris. Zajmuje się obsługą prawną podmiotów gospodarczych z sektora lotniczego oraz reprezentuje klientów w toku postępowań w sprawach gospodarczych. Zawodowo stara się łączyć przeciwstawne wyzwania: wszechstronności prawniczej oraz specjalizacje w zakresie prawa gospodarczego. Uwielbia aktywny tryb życia. Odreagowuje codzienność na torze kartingowym.

    Krzysztof Józefaciuk

    Doradca podatkowy. Ukończył studia prawnicze na Wydziale Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Absolwent studiów podyplomowych w zakresie rachunkowości i finansów Akademii Leona Koźmińskiego w Warszawie. Pasjonat optymalizacji podatkowej oraz przekształceń podmiotów gospodarczych. Prywatnie lubi rajdy terenowe i inne sportowe okazje, żeby się pobrudzić.

    Karol Kajka

    Absolwent Wydziału Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Ukończył również podyplomowe Studium Zamówień Publicznych na Uniwersytecie Warszawskim. Z wyróżnieniem zdał egzamin wstępny na aplikację radcowską. Pracując wzoruje się na rywalizacji sportowej, gdzie cel osiąga się przede wszystkim systematycznym i mądrym przygotowaniem. Prywatnie, entuzjasta biegów długodystansowych (10 km, półmaraton).
    ↓