9 zasad RODO - nowe podejście do ochrony danych osobowych
Rozporządzenie o ochronie danych osobowych (RODO) zacznie obowiązywać od 25 maja tego roku. Wprowadzi szereg zmian do już istniejących przepisów, ale również nowe rozwiązania mające na celu zwiększenie ochrony danych osobowych.
Unijne rozporządzenie o ochronie danych osobowych ma na celu ujednolicić zróżnicowane zasady dotyczące przetwarzania danych między poszczególnymi państwami członkowskimi. Przygotowywana ustawa o ochronie danych osobowych będzie regulowała kwestie, w których RODO pozostawiło swobodę państwom członkowskim.
Rozporządzenie nie mówi wprost, w jaki sposób należy stosować przepisy i jak je wdrożyć. RODO daje administratorom danych osobowych dużą swobodę w działaniu. Samodzielność ma swoje dobre i złe strony. Administratorzy danych osobowych sami decydują o doborze odpowiednich zabezpieczeń i działaniu z danymi osobowymi. Wiąże się to jednak z ryzykiem naruszenia danych i co za tym idzie ogromnymi stratami wizerunkowymi i finansowymi.
Sprawdź, co się zmieni i na co zwrócić szczególną uwagę.
9 najważniejszych zasad RODO
1. Wyznaczenie inspektora ochrony danych (art. 37-39 RODO)
Inspektor ochrony danych będzie odpowiednikiem obecnego administratora bezpieczeństwa informacji. W obecnym porządku prawnym nie ma obowiązku powoływania ABI. Od 25 maja, niektóre podmioty będą zmuszone zatrudnić osobę pełniącą funkcję IOD. Rozporządzenie o ochronie danych osobowych w art. 37 jasno precyzuje sytuacje, kiedy administrator danych osobowych będzie musiał wyznaczyć inspektora. Kandydat na to stanowisko będzie musiał wykazać, że posiada wiedzę specjalistyczną w zakresie ochrony danych oraz doświadczenie w tej dziedzinie. Inspektor Ochrony Danych może być pracownikiem podmiotu przetwarzającego dane lub wykonywać zadania na podstawie umowy outsourcingowej.
2. Obowiązek informacyjny (art. 12-14 RODO)
Unijne rozporządzenie rozszerza katalog informacji, jakie administratorzy danych osobowych będą musieli udostępnić osobom, których dane pobierają i przetwarzają. Rozporządzenie nakazuje, aby obowiązek został przedstawiony w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Ważne, żeby został napisany jasnym i prostym językiem, szczególnie jeśli informacje kierowane są do dziecka.
Osoba, której dane dotyczą będzie miała prawo uzyskać informacje na temat przetwarzania jej danych. Administrator danych będzie zobowiązany, bez zbędnej zwłoki, najpóźniej w ciągu miesiąca, odpowiedzieć wnioskodawcy.
3. Nowe prawa obywateli (art. 15-21 RODO)
Rozporządzenie o ochronie danych osobowych przyznaje osobom, których dane są przetwarzane rozszerzone uprawnienia. Wiąże się to z dodatkowymi zadaniami nałożonymi na administratorów danych osobowych.
Prawa osób, których dane dotyczą:
- prawo dostępu przysługujące osobie, której dane dotyczą,
- prawo do sprostowania danych,
- prawo do usunięcia danych („prawo do bycia zapomnianym”),
- prawo do ograniczenia przetwarzania,
- prawo do przenoszenia danych,
- prawo do sprzeciwu.
Na szczególną uwagę zasługuje prawo do bycia zapomnianym, które nakłada na administratora obowiązek skasowania danych osobowych w całości z jego systemu. W przypadku Internetu, oznacza to, że usunięte muszą zostać również wszelkie linki, kopie i repliki danych, nawet jeśli są one w posiadaniu innych podmiotów przetwarzających te dane w jego imieniu.
4. Rejestrowanie czynności przetwarzania (art. 30 RODO)
Administrator danych osobowych będzie miał obowiązek prowadzić rejestr czynności przetwarzania. Natomiast w przypadku procesorów, będzie istniała konieczność prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu ADO.
Nowy obowiązek będzie spoczywał na większości administratorów danych osobowych i podmiotów przetwarzających dane. Rejestry przetwarzanych danych osobowych będą musiały prowadzić podmioty które:
- zatrudniają powyżej 250 pracowników,
- przetwarzają szczególne kategorie danych (dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby),
- przetwarzają dane w sposób, który narusza lub może naruszać prawa i wolności osób, których dane dotyczą,
- przetwarzają dane w sposób ciągły, czyli nie mają charakteru sporadycznego,
- przetwarzają wyroki skazujące lub informacje o naruszeniu przepisów prawa.
5. Zgoda (art. 7 RODO)
Administrator danych osobowych musi wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie danych osobowych. Rozporządzenie nakazuje, iż zgoda musi być wyrażona konkretnemu podmiotowi. Oświadczenie zgody musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii. Ważne, aby było przygotowane w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Osoba, której dane dotyczą, musi mieć zapewnione prawo do wycofania zgody w tak samo łatwy sposób, jak doszło do jej wyrażenia.
6. Ocena skutków dla ochrony danych (art. 35 RODO)
Kolejnym, nowym obowiązkiem spoczywającym na administratorze danych osobowych, które nakłada rozporządzenie o ochronie danych osobowych, jest przeprowadzenie oceny skutków dla ochrony danych (DPIA). RODO wymaga, aby przedsiębiorcy przetwarzający dane osobowe, przeprowadzili analizy wpływu działań na danych osobowych na ryzyko naruszenia praw osób, których dotyczą. Przeprowadzenie oceny będzie konieczne w dwóch przypadkach: stwierdzenia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych oraz kiedy zadecyduje o tym organ nadzorczy (Prezes Urzędu Ochrony Danych Osobowych – obecnie GIODO).
7. Ograniczone profilowanie (art. 22 RODO)
Rozporządzenie reguluje zasady dotyczące zautomatyzowanego podejmowania decyzji chroniąc osoby których przetwarzane dane dotyczą. Głównie chodzi o profilowanie, które wg art. 4 pkt. 4 RODO oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych. Polega to na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej. Wykorzystywane w szczególności do analizy lub prognozy efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Rozporządzenie o ochronie danych osobowych uwzględnia możliwość profilowania w 3 przypadkach:
- jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem,
- wynika z przepisów prawa,
- osoba, której dane dotyczą wyraziła na to zgodę.
8. Zgłoszenie naruszeń (art. 33 RODO)
Administrator danych będzie miał obowiązek zgłosić naruszenie ochrony danych osobowych do właściwego organu nadzorczego. Rozporządzenie o ochronie danych osobowych przewiduje na to 72 godziny od stwierdzenia naruszenia. Obowiązek nie powstaje w przypadku, kiedy istnieje małe prawdopodobieństwo, że incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. W przeciwnym razie, ADO będzie musiał powiadomić nie tylko organ nadzorczy, ale również wszystkie osoby, których dane dotyczą. Administrator danych samodzielnie będzie musiał ocenić, czy naruszenie powinno zostać zgłoszone.
9. Kary za niewłaściwe przetwarzanie danych osobowych (art. 83 RODO)
Naruszenie przepisów o ochronie danych osobowych to straty wizerunkowe, ale również finansowe. Obecne przepisy umożliwiają nałożenie na przedsiębiorców jednorazowej grzywny nieprzekraczającej 50 tys. zł. Rozporządzenie o ochronie danych osobowych przewiduje kary nawet do 20 milionów euro bądź 4 proc. obrotu światowego w związku z wyciekiem bądź incydentem związanym z danymi osobowymi. Kary pieniężne w każdym przypadku mają być odstraszające, proporcjonalne i skuteczne. Będą zależały od charakteru, wagi i czasu trwania naruszenia oraz innych czynników takich jak np. próba zminimalizowania ryzyka.
RODO to największa reforma w ochronie danych osobowych od prawie 20 lat. Ilość zmian oraz nowych obowiązków, jakie RODO nakłada na administratorów danych osobowych, wymaga całościowej zmiany w podejściu do ochrony danych osobowych w organizacji. Tylko w taki sposób, zapewnią sobie gotowość, aby funkcjonować w nowej rzeczywistości prawnej.
Przetwarzanie danych osobowych
Artykuł 5 ustawy wyznacza pewne konkretne zasady przetwarzania danych osobowych, każdemu kto operuje takimi danymi polecamy zapoznać się z jego treścią:
Artykuł 5 – Zasady dotyczące przetwarzania danych osobowych
- Dane osobowe muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
- Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
(39) Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Należy podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe. Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.
Sprawdź również: