Ocena:
oceń

rozmiar czcionki

|

|

poleć

|

drukuj

|

forum

|

2019-07-07 11:45:00

„RODO – co to oznacza w praktyce dla przysłowiowego Kowalskiego?”

Część I

1. Wstęp


Pojęcie danych osobowych nie jest nam obce, gdyż poprzedniczka RODO – ustawa o
ochronie danych osobowych z 1997 r. – obowiązuje dostatecznie długo, aby się oswoić z tym
pojęciem i wielokrotnie mieć z nim do czynienia w życiu codziennym. Jednakże powyższa
ustawa nie miała takiej reklamy w mediach jako RODO, o którym słyszymy / czytamy od
wielu miesięcy we wszystkich środkach masowego przekazu. Czym jest więc owe RODO? Czy
to rzeczywiście taka rewolucja w ochronie danych osobowych, jak wszyscy zapowiadali? Czy
należy się go obawiać, czy wręcz przeciwnie? Na pewno warto je poznać i być świadomym
swoich praw jako osoby, których dane osobowe są przetwarzane przez wiele rożnych
podmiotów.  

 

2. Co to jest RODO?  

RODO jest powszechnie stosowanym w Polsce skrótem dla Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) W języku angielskim dokument ten nosi miano General Data Protection Regulation (GDPR). W dniu 25.05.2018 r. RODO zaczęło obowiązywać w Polsce. Założeniem prac nad RODO było ograniczenie zróżnicowania przepisów o ochronie danych osobowych między poszczególnymi państwami członkowskimi i w efekcie RODO w sposób kompleksowy reguluje ochronę danych osobowych w Unii Europejskiej, gdyż obowiązuje we wszystkich 28 państwach członkowskich.

3. Zakres obowiązywania RODO
RODO dotyczy ochrony danych osobowych osób fizycznych, a więc nie wprowadzono w tym zakresie jakiejś istotnej zmiany. Nadmienić należy, że ochrona dotyczy też osób fizycznych prowadzących działalność gospodarczą. Czyli każdy z nas ma prawo do ochronnych swoich
danych osobowych, niezależnie od tego, czy jesteśmy pracownikiem, klientem sklepu internetowego czy pacjentem w przychodni.

W tym miejscu warto też wskazać, czym są dane osobowe, a w tym zakresie RODO wprowadza pewne zmiany, wynikające m.in. z rozwoju techniki i technologii. Otóż daneosobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobiefizycznej. Bez wątpienia danymi osobowymi były i są imię i nazwisko czy numeridentyfikacyjny (np. PESEL). Ale według RODO danymi osobowymi są też dane o lokalizacji,identyfikator internetowy lub jeden bądź kilka szczególnych czynników określającychfizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społecznątożsamość osoby fizycznej – a więc według RODO danymi osobowymi będzie adres IP komputera czy pliki cookies, zbierane przez przeglądarkę internetową. RODO rozszerzyło teżkatalog danych wrażliwych. Poprzednia ustawa określała mianem danych wrażliwych informacje dotyczące przekonań religijnych, poglądów politycznych, a także stanu zdrowia. A według RODO danymi wrażliwymi są też dane biometryczne (np. odcisk palca) oraz genetyczne.

Zmiany wprowadzono też w odniesieniu do zakresu terytorialnego RODO. Otóż RODO
znajdzie zastosowanie, jeśli administrator ma np. oddział na terytorium UE i przetwarzanie
danych ma związek z działalnością tego oddziału, nawet jeśli sam oddział nie przetwarza
danych, i to niezależnie od tego, czy przetwarzanie odbywa się w Unii.
Drugą istotną zmianą jest wprowadzenie tzw. „koncepcji nakierowania”. Dotyczy ona sytuacji,
w której administrator nie ma jednostki organizacyjnej w Unii Europejskiej, ale ich czynności
przetwarzania wiążą się z oferowaniem towarów lub usług osobom, których dane dotyczą, w
Unii lub monitorowaniem zachowania takich osób (np. za pomocą plików cookies czy
odpowiedniego oprogramowania). Warto wspomnieć, że oferowanie towarów lub usług nie
musi się łączyć z obowiązkiem zapłaty, co wynika z tego, że wiele usług w Internecie, jak np.
poczta e-mail, oferowanych jest nieodpłatnie. Unijny prawodawca poprzez bezpośrednie
odniesienie podkreśla więc, że także takie usługi będą objęte zakresem nowej regulacji.


4. Uprawnienia konsumenta wynikające z RODO

RODO wprowadza pewne nowe uprawnienia osób, których dane są przetwarzane, a których
nie było w dotychczasowych przepisach, a mianowicie:


1) prawo do informacji, jak długo dane osobowe będą przetwarzane
Dotąd często podpisywaliśmy klauzule wyrażające zgodę na przetwarzanie naszych danych,
ale w praktyce nie mieliśmy żadnego wpływu na to, co się dzieje z naszymi danymi później.
Czy będą one przetwarzane przez miesiąc, rok, 10 lat, a może wiecznie? RODO zmienia to
diametralnie i nakazuje informować osobę, której dane są zbierane, o okresie, przez który
dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego
okresu. Powinno to wymusić na podmiotach przetwarzających dane, aby dane były usuwane
gdy nie są już potrzebne.


2) Prawo do przenoszenia danych osobowych
To uprawnienie ma duże znaczenie praktyczne i powinno ułatwić funkcjonowanie w obrocie
prawnym. Dotychczas sprawa wyglądała tak, że podczas zmiany banku, dostawcy internetu,
prądu lub gazu, czy operatora komórkowego zachodziła konieczność każdorazowego
wypełniania formularzy, celem podania niezbędnych danych osobowych. RODO wprowadza
natomiast zasadę, że możemy zażądać od administratora naszych danych, aby przekazał
nasze dane innemu administratorowi. Pewną modyfikacją zasady przenoszenia danych jest
uprawnienie do żądania od administratora, aby przesłał nam nasze dane w powszechnie
stosowanym formacie (np. pdf), abyśmy z kolei mogli je sami przesłać kompleksowo do
innego administratora.
Zasada wydaje jest bardzo praktyczna, choć osobiście wyrażam wątpliwości, czy wszyscy
administratorzy będą chcieli się do niej stosować. Pewnie często będzie tak (przynajmniej
przez jakiś czas), że każdy administrator sam będzie chciał zebrać od nas wszystkie dane
(np. każąc wypełnić wniosek, albo inną kartę danych osobowych) na swoich własnych
formularzach. W szczególności problem taki będzie w moim przekonaniu przy współpracy z
bankami, które przykładowo przy wnioskach kredytowych nie odstąpią od zbierania danych
poprzez wypełnienie ich własnych formularzy.


3) Prawo do usunięcia danych (do bycia zapomnianym)
Przedmiotowe uprawnienie osób, których dane są przetwarzane, jest przytaczane jako
uprawnienie wprowadzone przez RODO. Tymczasem funkcjonowało ono również przed
wejściem w życie RODO, które je jedynie rozszerza i precyzuje. Tak więc w każdym czasie
można żądać od administratora naszych danych, aby jej usunął, jeśli tylko ich dalsze
przetwarzanie jest zbędne, albo gdy cofnęliśmy zgodę na przetwarzanie naszych danych i nie
ma innej podstawy jej przetwarzania. Zaletą nagłośnienia tego prawa przy okazji wejścia w
życie RODO może być to, żeby będziemy z tego uprawnienia częściej korzystać, gdyż nie ma
potrzeby, aby ktokolwiek dysponował naszymi danymi dłużej niż to konieczne.


4) Prawo do ograniczenia przetwarzania danych
Ograniczenie przetwarzania danych polega na tym, że administrator może je jedynie
przechowywać, natomiast wszelkie inne formy ich przetwarzania są co do zasady zabronione.
Żądanie ograniczenia przetwarzania naszych danych dotyczy przykładowo sytuacji, gdy
przetwarzane dane są nieprawidłowe i do czasu ich zweryfikowania możemy żądać od
administratora ograniczenia ich przetwarzania. Innym przypadkiem, kiedy będzie można
skorzystać z tego uprawnienia, będzie sytuacja, gdy administrator nie potrzebuje już naszych
danych i chciałby je usunąć, ale my nie zgadzamy się na to, gdyż jest to nam potrzebne do
dochodzenia od niego naszych roszczeń.
Osobiście uważam, że praktyczne zastosowanie tego uprawnienia nie będzie znaczące.

5) Możliwość niewyrażenia zgody na profilowanie
Profilowanie, czyli tworzenie profilu konsumenta, nie jest zjawiskiem nowym i na pewno
każdy aktywny użytkownik Internetu zetknął się z nim. Chodzi o analizę zachowań
użytkownika w sieci, by na podstawie zgromadzonych danych móc lepiej dopasować ofertę
do jego oczekiwań. Jeśli więc szukamy w sieci jakiegoś towaru i odwiedzamy związane z tym
strony internetowe, to zauważymy, że i w przyszłości będziemy otrzymywać (w różnej
formie) reklamy tego towaru.
RODO definiuje profilowanie jako dowolną formę zautomatyzowanego przetwarzania danych
osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych
czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów
dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych
preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.
RODO daje konsumentom prawo do tego, by nie podlegać automatycznego profilowaniu
przez systemy badające sposób poruszania się po witrynie. W sytuacji, gdy strona
internetowa korzysta z takich sposobów zbierania danych, administrator ma obowiązek
poinformować konsumenta o tym fakcie.


6) Zwiększona ochrona małoletnich
RODO zwróciło też uwagę na ochronę praw małoletnich. Mianowicie w przypadku
świadczenia jakiejkolwiek usługi na rzecz osoby poniżej 16. roku życia i przetwarzania w
związku z tym danych osobowych tej osoby, zgody na przetwarzanie danych osobowych
udziela rodzic lub opiekun prawny. W takich przypadkach administrator, uwzględniając
dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca
władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała. Osobiście
trudno mi sobie wyobrazić, w jaki sposób administrator miałby weryfikować, czy przycisk
„zgody” kliknął rodzic czy dziecko.
Przedmiotowy przepis oznacza, że dziecko poniżej 16. roku życia bez zgody rodziców
teoretycznie nie będzie już mogło założyć np. konta na Facebooku czy innym portalu
społecznościowym. Tym bardziej jestem ciekawa, jak w praktyce będzie wyglądało
weryfikowanie przez portal zgody rodziców.


5. Obowiązki administratorów danych osobowych
RODO wprowadza zasadę bezpośredniej odpowiedzialności administratorów za przetwarzanie
danych, co jest istotne z punktu widzenia konsumenta. Dla firm jako administratorów
oznacza to z jednej strony konieczność wdrożenia odpowiednich środków technicznych i IT
(informatycznych), a więc często konieczność modernizacji biur. Innymi słowy administrator
ma obowiązek samodzielnej oceny ryzyka i zastosowania takich metod, które pozwolą w
możliwie największym zakresie zabezpieczyć przetwarzane dane.
Oczywiście nawet najdoskonalsze zabezpieczenia nie wyeliminują w 100% ryzyka
nielegalnego pozyskania danych. W takim przypadku administrator ma obowiązek
powiadomić o wycieku danych osobowych właściwy organ i to w ciągu 72 godzin. W
dotychczasowych przepisach nie było takiego obowiązku i to najczęściej z mediów
dowiadywaliśmy się, że gdzieś na śmietniku znaleziono worki z dokumentami zawierającymi
dane osobowe tej czy innej instytucji.
W związku z dodatkowymi uprawnieniami osób, których dane są przetwarzane, rozbudowane
zostały również formuły wyrażające zgodę na przetwarzanie naszych danych. Muszą one
teraz zawierać dodatkowo informacje o prawie do przenoszenia danych, czasie ich
przechowywania, jak również planach przekazywania poza granice kraju. Warto o tym
pamiętać podpisując takie formularze po wejściu RODO w życie.


6. Wysokość kar nakładanych za naruszenie RODO
Istotną zmianą zarówno z punktu widzenia przedsiębiorców jak i konsumentów jest
wprowadzenie kar, i to wysokich, za naruszenie przepisów o ochronie danych osobowych. W
porównaniu do dotychczasowych przepisów jest to prawdziwa rewolucja, gdyż dotychczas
kar takich praktycznie nie było. RODO przewiduje natomiast możliwość nałożenia kary w
wysokości do 20 milionów euro bądź 4% wartości rocznego światowego obrotu
przedsiębiorstwa. Wybór kary zależy od tego, która z tych wartości jest wyższa. Tak więc
zbagatelizowanie nowych przepisów może więc drogo kosztować, co tylko wzmocni pozycję
osób, których dane są przestrzegane. Można się też spodziewać częstszych kontroli
przestrzegania przez administratorów i inne podmioty przepisów o ochronie danych
osobowych.


7. Podsumowanie
Jak widać RODO nie wprowadza żadnej rewolucji. Owszem, niesienie ze sobą szereg nowych
uprawnień dla osób, których dane są przetwarzane, i nowych obowiązków dla osób, które te
dane przetwarzają, ale określanie tych zmian jako rewolucyjnych jest grubą przesadą. Jeśli
mówić o jakiejkolwiek rewolucji w zakresie ochrony danych osobowych, to co najwyżej
odnośnie kar za naruszenie przepisów o ochronie danych. Ich wysokość z całą pewnością
spowoduje, że żaden z administratorów nie będzie już mógł sobie pozwolić na traktowanie
tych przepisów per nogam. Niewątpliwe warto jednak zapoznać się z nowymi regulacji, aby
lepiej chronić swoje dane.

   

Część II

1. Wstęp

W pierwszej części artykułu pt. RODO – co to oznacza w praktyce dla przysłowiowego Kowalskiego wyjaśniono, czym jest RODO oraz jaki jest zakres przedmiotowy i terytorialny stosowania RODO. Po tym wstępie przedstawiono nowe uprawnienia wynikające z RODO dla osób, których dane są przetwarzane. Nowe uprawnienia tych osób oznaczają nowe obowiązki dla podmiotów, które te dane przetwarzają (administratorzy danych osobowych). I temu właśnie poświęcony jest niniejszy artykuł.

2. Administrator danych osobowych

Administratorem jest każda osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe. Stowarzyszenie będzie więc administratorem danych, które przetwarza, a więc obowiązane będzie do przestrzegania przepisów RODO w zakresie przetwarzania danych. Mogą to być dane pracowników, współpracowników, beneficjentów Stowarzyszenia.

3. Zgoda na przetwarzanie danych osobowych

Stosownie do art. 6 ust. 1 RODO przetwarzanie danych jest zgodne z prawem wyłącznie w przypadkach, gdy spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych,
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Powyższe oznacza, że zawsze gdy nie występuje któryś z przypadków wskazanych w pkt. b) -f), na przetwarzanie danych potrzebna jest zgoda osoby, której dane mają być przetwarzane. W praktyce często jednak występują sytuacje, gdy dana osoba jest proszona o zgodę mimo że jej dane będą przetwarzane przykładowo tylko na potrzeby zawarcia umowy i tylko w zakresie danych do tego niezbędnych. Jest to chyba skutek nadmiernej ostrożności ze strony administratorów.
Co do zgody to RODO wymaga, aby administrator był w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. A więc najlepiej, aby taka zgoda wyrażona została na piśmie albo co najmniej poprzez e-mail. Oświadczenie o wyrażeniu zgody musi być zrozumiałe, napisane jasnym i prostym językiem. Poza tym przed podpisaniem takiego oświadczenia dana osoba musi być poinformowana, że w każdym momencie może cofnąć swoją zgodę na przetwarzanie jej danych. Warto też pamiętać, że wyrażenie zgody musi być dobrowolne, a więc nie można uzależniać wykonania umowy od wyrażenia zgody na przetwarzanie danych, chyba że przetwarzanie określonych danych jest niezbędne do wykonania umowy.
W tym miejscu pojawia się pytanie, co z danymi osób uzyskanymi przed wejściem w życie RODO? Czy zgoda na przetwarzanie danych wyrażona pod rządami ustawy o ochronie danych osobowych zachowuje swą ważność? RODO nie zawiera bowiem przepisów przejściowych w tym zakresie. Otóż jeszcze przed 25.05.2018 r. GIODO informował, że większość otrzymanych dotychczas zgód zachowa ważność także pod rządami RODO pod warunkiem, że osoba, której dane dotyczą, miała informację o możliwości wycofania zgody w dowolnym momencie. Problem w tym, że „stara” ustawa nie wymagała informowania o możliwości wycofania zgody. Tak więc w praktyce pewnie część zgód zdezaktualizuje się, gdyż nie każdy administrator informował o możliwości cofnięcia zgody.
W tym miejscu warto zaznaczyć, że takie rygorystyczne podejście GIODO do „starych” zgód spotyka się z krytyką. Zdaniem wielu komentatorów przepisy RODO nie powinny działać wstecz, a już tym bardziej nie powinny mieć zastosowania do zgód udzielanych przed wejściem RODO w życie, czyli przed 24.05.2016 r. Być może wydane zostaną jeszcze jakieś urzędowe wyjaśnienia w tej kwestii, co jest postulowane przez przedsiębiorców, dla których uzyskiwanie zgód na nowo na pewno będzie procesem skomplikowanym i kosztownym.
Warto też pamiętać o zasadzie rozliczalności, co oznacza obowiązek przechowywania informacji o tym, kto wyraził zgodę na przetwarzanie danych, kiedy to zrobił, w jakim zakresie oraz jakie informacje zostały mu przekazane przy okazji odbierania zgody.

4. Obowiązek informacyjny

RODO rozszerza nieco dotychczasowy obowiązek informacyjny wobec osób, których dane są przetwarzane. Mianowicie administrator musi podać osobom, których dane przetwarza, następujące informacje:
a) swoją tożsamość i dane kontaktowe,
b) gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych,
c) cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
d) gdy ma to zastosowanie - prawnie uzasadnione interesy realizowane przez administratora,
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
f) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
g) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
h) jeżeli przetwarzanie odbywa się na podstawie zgody - informacje o prawie do cofnięcia zgody w dowolnym momencie,
i) informacje o prawie wniesienia skargi do organu nadzorczego,
j) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
k) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.
W związku z rozszerzeniem obowiązków informacyjnych należy więc zaktualizować obecnie stosowane komunikaty.

5. Zabezpieczenie danych osobowych

Założeniem RODO jest z jednej strony dostosowanie przepisów o ochronie danych osobowych do osiągnięć XXI wieku i rozwoju technologii teleinformatycznej, a z drugiej takie ich zredagowanie, aby nie straciły na aktualności na przestrzeni kolejnych lat. Stąd duża ogólność RODO w odniesieniu do środków bezpieczeństwa przy przetwarzaniu danych, co istotnie odróżnia je od ustawy o ochronie danych osobowych i wydanych na jej podstawie przepisów wykonawczych. Zgodnie z RODO dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W RODO nie ma jednak szczegółowych wskazówek, jakie środki organizacyjne i techniczne wdrożyć, nie określono też minimalnych standardów technicznych bezpieczeństwa danych. Obecnie administrator danych – uwzględniając aktualny stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres i cele przetwarzania danych – samodzielnie będzie decydował, jakie środki bezpieczeństwa wdrożyć, by zapewnić zgodność przetwarzania danych z wymogami RODO.
Takie indywidualne podejście z jednej strony ułatwia sprawę, z drugiej jednak brak punktu odniesienia co do stosowanych środków ochrony. W praktyce więc, jeśli tylko indywidualna ocena stopnia bezpieczeństwa przetwarzanych danych przez administratora na to pozwala, można nadal stosować środki techniczne i organizacyjne wdrożone i udokumentowane w dotychczasowej polityce bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym.
W powyższym zakresie pomocne mogą być również zatwierdzone przez GIODO po 25 maja 2018 r. kodeksy postępowania. W takich kodeksach poszczególne grupy administratorów (np. samorządy zawodowe, izby branżowe, itp.) mogą zaproponować modelowe rozwiązania techniczne, które będą pomocne dla wszystkich administratorów, którzy zobowiążą się do stosowania kodeksu. Innym rozwiązaniem rekomendowanym przez GIODO będzie uzyskanie stosownych certyfikatów i znaków jakości potwierdzających właściwe zabezpieczenie danych osobowych. Źródłem praktycznej i sprawdzonej wiedzy w zakresie budowy i zarządzania środkami bezpieczeństwa mogą być też krajowe, europejskie lub międzynarodowe normy, w tym normy ISO.

 

6.Rejestrowanie czynności przetwarzania

RODO wprowadza obowiązek prowadzenia dokumentacji przetwarzania danych (prowadzenie rejestru czynności przetwarzania danych). Zgodnie z art. 30 ust. 5 RODO obowiązek jest wyłączony w stosunku do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że występuje przynajmniej jedna z trzech wymienionych sytuacji:
1) przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
2) przetwarzanie nie ma charakteru sporadycznego,
3) przetwarzanie obejmuje szczególne kategorie danych osobowych (tzw. dane wrażliwe).
Tak więc w przypadku Stowarzyszenia prowadzenie rejestru czynności przetwarzania danych będzie obligatoryjne, gdyż przetwarzanie danych przez Stowarzyszenie nie ma raczej charakteru sporadycznego, a poza tym często przetwarzane są dane wrażliwe.
W rejestrze czynności zamieszcza się obowiązkowo co najmniej następujące rodzaje informacji dla każdej z czynności przetwarzania (zakres minimalny wpisów w rejestrze):
imię i nazwisko lub nazwę oraz dane kontaktowe administratora,
imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (jeżeli został wyznaczony),
cele przetwarzania,
opis kategorii osób, których dane dotyczą,
zakres przetwarzanych danych osobowych dla określonej kategorii osób, których one dotyczą,
kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
informacja o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej,
planowane terminy usunięcia poszczególnych kategorii danych (jeżeli jest to możliwe),
ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych osobowych (jeżeli jest to możliwe).
Rejestr musi być prowadzony w formie pisemnej, do której RODO zalicza także formę elektroniczną. Przykładowy wzór rejestru wraz ze wskazówkami w zakresie jego wypełnienia został opublikowany przez GIODO pod adresem https://giodo.gov.pl/pl/1520281/10449. Rejestr prowadzony jest na potrzeby wewnętrzne administratora i nie ma obowiązku ujawniania rejestru ani zawartych w nim informacji osobom, których dane są przetwarzane. Oczywiście rejestr podlega jednak wglądowi przez organ nadzorczy.


7.Zgłaszanie incydentów naruszenia bezpieczeństwa

Nowością wprowadzoną przez RODO jest obowiązek zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych. Obowiązku takiego nie ma jeśli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zgłoszenia należy dokonać niezwłocznie, nie później niż w ciągu 72 godzin od naruszenia. Po upływie tego terminu należy wyjaśnić przyczynę opóźnienia. Art. 33 RODO wymienia informacje, które należy podać w zgłoszeniu.
Niezależnie od zgłoszenia naruszenia do organu nadzorczego, administrator musi też powiadomić o tym osobę, której dane są przetwarzane, jeśli tylko naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Powiadomienie musi jasnym i prostym językiem opisywać charakter naruszenia i również zawierać podany w RODO minimum informacji. Zawiadomienie nie jest wymagane w następujących przypadkach:
a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.


8.Podsumowanie

Nowe obowiązki nałożone przez RODO na administratorów w odniesieniu do danych osobowych pozyskanych po wejściu w życie RODO nie wydają się szczególnie dotkliwe ani wymagające. To wyłącznie kwestia przygotowania pewnych nowych dokumentów, wprowadzenie pewnych nowych procedur przy przetwarzaniu danych osobowych. Większe problemy praktyczne mogą być w zakresie dostosowania przetwarzania danych pozyskanych wcześniej do przepisów RODO, jak choćby obowiązek informacyjny wobec wszystkich osób, których dane były przetwarzane przed wejściem w życie RODO czy też obowiązek ponownego uzyskania zgód na przetwarzanie danych.


   

  Artykuł powstał w ramach projektu  pt.: „Wydawnictwa dla Amazonek”,  który realizowany jest dzięki dofinansowaniu z Państwowego Funduszu Rehabilitacji Osób Niepełnosprawnych
   

banner cradle

poleć znajomemu drukuj skomentuj rss
Oceń artykuł:

Autor

Monika Frontczak

Poczytaj również

  • Avatar

    2021-09-24 11:39:12

    Czy powinnam przyjmować preparat wapniowy

    Po zakończeniu radioterapii dostałam od radiologa (z DCO Wrocław) takie zalecenia: - kontynuacja hormonoterapii...
  • Avatar

    2021-09-24 11:35:09

    Czy leczenie jest prawidłowe

    W marcu zdiagnozowano u mnie: Rak zrazikowy inwazyjny typ klasyczny G1 (3+1+1), brak przewodów DCIS i cech LN, brak...
  • Avatar

    2021-09-24 11:31:27

    Interpretacja przypadku - cd.

    Kontynuacja pytania "Interpretacja przypadku - cd." z 17 maja 2012 r.   Po dłuższej przerwie po raz...