Ogólne rozporządzenie o ochronie danych osobowych (RODO)

25 maja 2018 r. w życie wchodzi RODO (GDPR), czyli nowe rozporządzenie dotyczące ochrony danych osobowych – General Data Protection Regulation czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych, które zrewolucjonizuje sposób zarządzania danymi osobowymi.

ZGODY I OBOWIĄZEK INFORMACYJNY DOKUMENTACJA PRZETWARZANYCH DANYCH

Na mocy RODO zostają wprowadzone nowe zasady uzyskiwania zgody na przetwarzanie danych osobowych, od osób, których te dane dotyczą. Już na etapie pozyskiwania danych administrator danych osobowych – ADO – będzie zobowiązany do podania informacji m. in. o prawie przenoszenia tych danych oraz o okresie przechowywania danych.
Rozszerzeniu ulega również zakres informacji, które należy przekazywać osobom, których dane są pozyskiwane. Powoduje to konieczność wprowadzenia zmian w stosowanych klauzulach informacyjnych. Nowe regulacje nakładają obowiązki w postaci informowania m.in. o:

  • celach przetwarzania danych osobowych,

  • fakcie przetwarzania danych w ramach tzw. profilowania,

  • odbiorcach danych,

  • danych dotyczących administratora danych osobowych oraz inspektora ochrony danych,

  • o prawie wniesienia skargi do organu nadzorczego,

  • zamiarze przekazania danych do państw trzecich,

Nie będzie konieczna rejestracja zbiorów danych osobowych przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Pojawia się za to obowiązek prowadzenia rejestru czynności przetwarzania danych wewnątrz organizacji (szerzej poniżej).
Zgodnie z rozporządzeniem administratora musi także umożliwić wycofanie zgody na przetwarzanie danych w przystępny sposób (co najmniej tak łatwy jak jej wyrażenie)– jest to istotna zmiana, gdyż dotychczas przepisy krajowe przewidywały formę pisemną dla wycofania zgody. RODO kładzie duży nacisk na dokumentowanie czynności przetwarzania danych. Jest to jeden z podstawowych sposobów wykazywania przez administratorów danych zgodności prowadzonych działań z wymogami Rozporządzenia. Należy pamiętać, że od 25 maja 2018 r. przedsiębiorcy będą musieli dokumentować czynności związane z przetwarzaniem danych osobowych, a zwłaszcza:

  • posiadane dane i okoliczności ich pozyskania – ze wskazaniem podstawy prawnej przetwarzania i sposobu spełnienia obowiązków informacyjnych,

  • fakt udostępnienia danych (ze wskazaniem podmiotu i zakresu)

  • informacji o sposobie raportowania incydentów związanych z naruszeniem ochrony danych

  • informacji o przeprowadzeniu analizy w zakresie obowiązku bądź braku obowiązku wyznaczenia inspektora ochrony danych osobowych i wniosków z niej wypływających,

  • informacji o organie nadzorczym wiodącym dla transgranicznych operacji przetwarzania, danych osobowych

Uwaga ! Rozporządzenie przewiduje ograniczenie obowiązku prowadzenia części powyższych rejestrów dla administratorów zatrudniających mniej niż 250 pracowników.

KARY FINANSOWE

Należy zaznaczyć, że wraz z nowym aktem GIODO uzyska możliwość nakładania administracyjnych kar pieniężnych za nieprzestrzeganie postanowień RODO. Kary mogą wynosić nawet maksymalnie 20 mln EURO lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa.

Co bardzo ważne – powołanie inspektora ochrony danych osobowych, czy wynajęcie firmy zewnętrznej nie zwalnia administratora danych z odpowiedzialności za naruszenia przepisów. Nawet jeśli podmiot zewnętrzny – np. podwykonawca – nie wywiąże się ze spoczywających na nim obowiązków, to odpowiedzialność spoczywać będzie na „głównym” administratorze solidarnie z podwykonawcą.

NOWE OBOWIĄZKI PRZEDSIĘBIORCÓW – WEWNĘTRZNE I ZEWNĘTRZNE

Obowiązki „wewnętrzne” to m.in.:

  • wyznaczenie inspektora ochrony danych, w szczególności w instytucjach przetwarzających dane na dużą skalę w sposób zautomatyzowany,

  • należyte zabezpieczenie przechowywanych danych, przy czym rozporządzenie nie określa konkretnych rozwiązań technicznych, poprzestając na sugestiach, m.in. pseudonimizacji i szyfrowania danych,

  • opracowanie i prowadzenie dokumentacji przetwarzania danych, w tym rejestru czynności przetwarzania i rejestru naruszeń,

  • wdrożenie zasady „privacy by default”, tj. wcielenie takich środków technicznych i organizacyjnych, które pozwolą na domyślne przetwarzanie tylko niezbędnych do danego procesu danych,

  • udokumentowanie udzielenia zgody, tj. przechowywanie informacji o tym, kto wyraził zgodę, kiedy to zrobił, w jakim zakresie oraz jakie informacje zostały mu przekazane przy okazji odbierania zgody.

Obowiązki „zewnętrzne” to m.in.:

  • uzyskanie zgody na wykorzystanie danych w kontekście konkretnego procesu i celu przetwarzania,

  • przekazywanie szczegółowych informacji o przetworzeniu danych osobowych klientom, umożliwienie wglądu w historię zmiany danych, informowanie o celu zbierania danych,

  • obowiązek notyfikacyjny, tj. powiadamiania w ciągu 72 godzin od zajścia incydentu naruszenia bezpieczeństwa do organu nadzorczego (w sytuacjach mogących naruszyć prawa lub swobody osób),

  • zapewnienia rozliczalności – na żądanie organu nadzorczego przedsiębiorca jest zobowiązany przedstawić dokumentację, która będzie potwierdzać prawidłowe przestrzeganie postanowień RODO.

INSPEKTOR OCHRONY DANYCH OSOBOWYCH PRAWA OSÓB, KTÓRYCH DANE SĄ GROMADZONE I PRZETWARZANE

Dotychczas w przedsiębiorstwach występowali Administratorzy Danych Osobowych oraz Administratorzy Bezpieczeństwa Informacji. Dotychczasowe przepisy zostały zmodyfikowane przez RODO, które wprowadza nową funkcję – Inspektora Ochrony Danych Osobowych.
Powołanie nowego stanowiska będzie obowiązkowe dla: wszystkich instytucji publicznych (z wył. sądów), jednostek których działalność polega na regularnym i automatycznym przetwarzaniu danych na dużą skalę oraz jednostek których główna działalność polega na przetwarzaniu danych wrażliwych.
Do obowiązków Inspektora należeć będzie między innymi bieżące monitorowanie zgodności przyjętych przez przedsiębiorstwo procedur z wymogami RODO. Osoba pełniąca funkcję Inspektora musi dysponować wiedzą ekspercką w zakresie prawa i praktyk w dziedzinie ochrony danych osobowych. Dane kontaktowe Inspektora Ochrony Danych powinny zostać opublikowane oraz przekazane organowi nadzorczemu.
Nie jest jednak jeszcze wiadomym czy z mocy prawa obecni Administratorzy Bezpieczeństwa Informacji staną się Inspektorami lub na jakich warunkach tak się stanie. Wszelkie wątpliwości powinny zostać rozwiane przy okazji nowelizacji ustawy o ochronie danych osobowych.
Prawo do bycia poinformowanym o operacjach przetwarzania,

  • Prawo dostępu (do informacji takich jak: cele przetwarzanie, kategorie danych, okres przechowywania itd.)

  • Prawo do sprostowania/ uzupełnienia danych,

  • Prawo do usunięcia danych (prawo do bycia zapomnianym) ulega rozszerzeniu wraz z wejściem w życie RODO – na wniosek osoby, który nie musi być złożony w formie pisemnej, administrator musi usunąć całkowicie wszelkie dane z bazy, w tym kopie, linki, odniesienia i dokumentację papierową oraz przedstawić poświadczenie ich usunięcia,

  • Prawo do ograniczenia przetwarzania,

  • Prawo do przenoszenia danych, jest zupełnie nowym prawem wprowadzanym wraz z RODO. Polega ono na tym, że osoba może zażądać otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe, które dostarczyła dotychczas administratorowi oraz że może w dalszej kolejności przesłać te dane innemu administratorowi. Co więcej, prawo to pozwala również na bezpośrednie przekazywanie danych od jednego administratora do drugiego,

  • Prawo do sprzeciwu,

  • Prawo do tego, by nie podlegać profilowaniu.