RODO – obowiązki dla podmiotu przetwarzającego dane osobowe Część II

 

  • Wstęp

W pierwszej części artykułu pt. RODO – co to oznacza w praktyce dla przysłowiowego Kowalskiego wyjaśniono, czym jest RODO oraz jaki jest zakres przedmiotowy i terytorialny stosowania RODO.  Po tym wstępie przedstawiono nowe uprawnienia wynikające z RODO dla osób, których dane są przetwarzane. Nowe uprawnienia tych osób oznaczają nowe obowiązki dla podmiotów, które te dane przetwarzają (administratorzy danych osobowych).  I temu właśnie poświęcony jest niniejszy artykuł.

  • Administrator danych osobowych

Administratorem jest każda osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe. Stowarzyszenie będzie więc administratorem danych, które przetwarza, a więc obowiązane będzie do przestrzegania przepisów RODO w zakresie przetwarzania danych. Mogą to być dane pracowników, współpracowników, beneficjentów Stowarzyszenia.

  • Zgoda na przetwarzanie danych osobowych

Stosownie do art. 6 ust. 1 RODO przetwarzanie danych jest zgodne z prawem wyłącznie w przypadkach, gdy spełniony jest co najmniej jeden z poniższych warunków:

a)   osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych,

b)   przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,

d)    przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,

e)    przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,

f)    przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Powyższe oznacza, że zawsze gdy nie występuje któryś z przypadków wskazanych w pkt. b) -f), na przetwarzanie danych potrzebna jest zgoda osoby, której dane mają być przetwarzane. W praktyce często jednak występują sytuacje, gdy dana osoba jest proszona o zgodę mimo że jej dane będą przetwarzane przykładowo tylko na potrzeby zawarcia umowy i tylko w zakresie danych do tego niezbędnych. Jest to chyba skutek nadmiernej ostrożności ze strony administratorów.

Co do zgody to RODO wymaga, aby administrator był w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. A więc najlepiej, aby taka zgoda wyrażona została na piśmie albo co najmniej poprzez e-mail. Oświadczenie o wyrażeniu zgody musi być zrozumiałe, napisane jasnym i prostym językiem. Poza tym przed podpisaniem takiego oświadczenia dana osoba musi być poinformowana, że w każdym momencie może cofnąć swoją zgodę na przetwarzanie jej danych. Warto też pamiętać, że wyrażenie zgody musi być dobrowolne, a więc nie można uzależniać wykonania umowy od wyrażenia zgody na przetwarzanie danych, chyba że przetwarzanie określonych danych jest niezbędne do wykonania umowy.

W tym miejscu pojawia się pytanie, co z danymi osób uzyskanymi przed wejściem w życie RODO? Czy zgoda na przetwarzanie danych wyrażona pod rządami ustawy o ochronie danych osobowych zachowuje swą ważność? RODO nie zawiera bowiem przepisów przejściowych w tym zakresie. Otóż jeszcze przed 25.05.2018 r. GIODO informował, że większość otrzymanych dotychczas zgód zachowa ważność także pod rządami RODO pod warunkiem, że osoba, której dane dotyczą, miała informację o możliwości wycofania zgody w dowolnym momencie. Problem w tym, że „stara” ustawa nie wymagała informowania o możliwości wycofania zgody. Tak więc w praktyce pewnie część zgód zdezaktualizuje się, gdyż nie każdy administrator informował o możliwości cofnięcia zgody.

W tym miejscu warto zaznaczyć, że takie rygorystyczne podejście GIODO do „starych” zgód spotyka się z krytyką. Zdaniem wielu komentatorów przepisy RODO nie powinny działać wstecz, a już tym bardziej nie powinny mieć zastosowania do zgód udzielanych przed wejściem RODO w życie, czyli przed 24.05.2016 r.[1] Być może wydane zostaną jeszcze jakieś urzędowe wyjaśnienia w tej kwestii, co jest postulowane przez przedsiębiorców, dla których uzyskiwanie zgód na nowo na pewno będzie procesem skomplikowanym i kosztownym.

Warto też pamiętać o zasadzie rozliczalności, co oznacza obowiązek przechowywania informacji o tym, kto wyraził zgodę na przetwarzanie danych, kiedy to zrobił, w jakim zakresie oraz jakie informacje zostały mu przekazane przy okazji odbierania zgody.

  • Obowiązek informacyjny

RODO rozszerza nieco dotychczasowy obowiązek informacyjny wobec osób, których dane są przetwarzane. Mianowicie administrator musi podać osobom, których dane przetwarza, następujące informacje:

  1. swoją tożsamość i dane kontaktowe,
  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych,
  3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
  4. gdy ma to zastosowanie – prawnie uzasadnione interesy realizowane przez administratora,
  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
  6. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
  7. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  8. jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie,
  9. informacje o prawie wniesienia skargi do organu nadzorczego,
  10. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
  11. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

W związku z rozszerzeniem obowiązków informacyjnych należy więc zaktualizować obecnie stosowane komunikaty.

  • Zabezpieczenie danych osobowych

Założeniem RODO jest z jednej strony dostosowanie przepisów o ochronie danych osobowych do osiągnięć XXI wieku i rozwoju technologii teleinformatycznej, a z drugiej takie ich zredagowanie, aby nie straciły na aktualności na przestrzeni kolejnych lat. Stąd duża ogólność RODO w odniesieniu do środków bezpieczeństwa przy przetwarzaniu danych, co istotnie odróżnia je od ustawy o ochronie danych osobowych i wydanych na jej podstawie przepisów wykonawczych. Zgodnie z RODO dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W RODO nie ma jednak szczegółowych wskazówek, jakie środki organizacyjne i techniczne wdrożyć, nie określono też minimalnych standardów technicznych bezpieczeństwa danych. Obecnie administrator danych – uwzględniając aktualny stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres i cele przetwarzania danych – samodzielnie będzie decydował, jakie środki bezpieczeństwa wdrożyć, by zapewnić zgodność przetwarzania danych z wymogami RODO.

Takie indywidualne podejście z jednej strony ułatwia sprawę, z drugiej jednak brak punktu odniesienia co do stosowanych środków ochrony. W praktyce więc, jeśli tylko indywidualna ocena stopnia bezpieczeństwa przetwarzanych danych przez administratora na to pozwala, można nadal stosować środki techniczne i organizacyjne wdrożone i udokumentowane w dotychczasowej polityce bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym.

W powyższym zakresie pomocne mogą być również zatwierdzone przez GIODO po 25 maja 2018 r. kodeksy postępowania. W takich kodeksach poszczególne grupy administratorów (np. samorządy zawodowe, izby branżowe, itp.)  mogą zaproponować modelowe rozwiązania techniczne, które będą pomocne dla wszystkich administratorów, którzy zobowiążą się do stosowania kodeksu. Innym rozwiązaniem rekomendowanym przez GIODO będzie uzyskanie stosownych certyfikatów i znaków jakości potwierdzających właściwe zabezpieczenie danych osobowych. Źródłem praktycznej i sprawdzonej wiedzy w zakresie budowy i zarządzania środkami bezpieczeństwa mogą być też krajowe, europejskie lub międzynarodowe normy, w tym normy ISO.

  • Rejestrowanie czynności przetwarzania

RODO wprowadza obowiązek prowadzenia dokumentacji przetwarzania danych (proadzenie rejestru czynności przetwarzania danych). Zgodnie z art. 30 ust. 5 RODO obowiązek jest wyłączony w stosunku do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że występuje przynajmniej jedna z trzech wymienionych sytuacji:

1) przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,

2) przetwarzanie nie ma charakteru sporadycznego,

3) przetwarzanie obejmuje szczególne kategorie danych osobowych (tzw. dane wrażliwe).

Tak więc w przypadku Stowarzyszenia prowadzenie rejestru czynności przetwarzania danych będzie obligatoryjne, gdyż przetwarzanie danych przez Stowarzyszenie nie ma raczej charakteru sporadycznego, a poza tym często przetwarzane są dane wrażliwe.

W rejestrze czynności zamieszcza się obowiązkowo co najmniej następujące rodzaje informacji dla każdej z czynności przetwarzania (zakres minimalny wpisów w rejestrze):

  1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora,
  2. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (jeżeli został wyznaczony),
  3.  cele przetwarzania,
  4. opis kategorii osób, których dane dotyczą,
  5. zakres przetwarzanych danych osobowych dla określonej kategorii osób, których one dotyczą,
  6. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
  7. informacja o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej,
  8. planowane terminy usunięcia poszczególnych kategorii danych (jeżeli jest to możliwe),
  9. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych osobowych (jeżeli jest to możliwe).

Rejestr musi być prowadzony w formie pisemnej, do której RODO zalicza także formę elektroniczną. Przykładowy wzór rejestru wraz ze wskazówkami w zakresie jego wypełnienia został opublikowany przez GIODO pod adresem https://giodo.gov.pl/pl/1520281/10449. Rejestr prowadzony jest na potrzeby wewnętrzne administratora i nie ma obowiązku ujawniania rejestru ani zawartych w nim informacji osobom, których dane są przetwarzane. Oczywiście rejestr podlega jednak wglądowi przez organ nadzorczy.

  • Zgłaszanie incydentów naruszenia bezpieczeństwa

Nowością wprowadzoną przez RODO jest obowiązek zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych. Obowiązku takiego nie ma jeśli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zgłoszenia należy dokonać niezwłocznie, nie później niż w ciągu 72 godzin od naruszenia. Po upływie tego terminu należy wyjaśnić przyczynę opóźnienia.  Art. 33 RODO wymienia informacje, które należy podać w zgłoszeniu.

Niezależnie od zgłoszenia naruszenia do organu nadzorczego, administrator musi też powiadomić o tym osobę, której dane są przetwarzane, jeśli tylko naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Powiadomienie musi jasnym i prostym językiem opisywać charakter naruszenia i również zawierać podany w RODO minimum informacji. Zawiadomienie nie jest wymagane w następujących przypadkach:

a)   administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

b)   administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;

c)    wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

  • Podsumowanie

Nowe obowiązki nałożone przez RODO na administratorów w odniesieniu do danych osobowych pozyskanych po wejściu w życie RODO nie wydają się szczególnie dotkliwe ani wymagające. To wyłącznie kwestia przygotowania pewnych nowych dokumentów, wprowadzenie pewnych nowych procedur przy przetwarzaniu danych osobowych. Większe problemy praktyczne mogą być w zakresie dostosowania przetwarzania danych pozyskanych wcześniej do przepisów RODO, jak choćby obowiązek informacyjny wobec wszystkich osób, których dane  były przetwarzane przed wejściem w życie RODO czy też obowiązek ponownego uzyskania zgód na przetwarzanie danych.


[1] RODO weszło w życie 24.05.2016 r. a stosowane jest od 25.05.2018 r. Rozróżnienie tych dat wprowadza samo RODO, co w praktyce może skutkować zamieszaniem, gdyż w języku potocznym mogą to być synonimy i wielu pewnie powie, że w Polsce RODO weszło w życie 25.05.2018 r.

slot demo
https://jdih.menlhk.go.id/slot-gacor-online/
https://www.oceanic-saunas.eu/rtp-live/
https://majorzeman.eu/slot-demo/
https://www.psychopsy.com/toto-sgp/
https://www.oceanic-saunas.eu/slot-demo/
https://www.rioquente.com.br/slot-demo/
https://www.parcoursmetiers.tv/uploads/slot-demo/
https://chavancentre.org/slot-demo/
https://drift82.com/togelsgp/