RODO w praktyce
RODO jest aktem unijnym odnoszącym się do tego, w jaki sposób poprawnie i zgodnie z prawem przetwarzać dane osobowe, w tym dane pracowników.
Z tego artykułu dowiesz się
- jakie przepisy regulują zasady przetwarzania danych osobowych,
- co oznacza wdrożenie RODO — jakie niezbędne działania powinien podjąć administrator danych w celu uzyskania zgodności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
- jakie są uprawnienia osób wynikające z RODO i jak spełniać żądania tych osób w celu realizacji praw,
- jakie wskazówki dotyczące korzystania z praw wynikających z RODO przygotował UODO.
Przepisy dotyczące rozporządzenia o ochronie danych
Przepisy dotyczące przetwarzania danych to przede wszystkim samo (obszerne, bo liczące 99 artykułów i 173 motywy preambuły) RODO (obowiązujące na terenie unii europejskiej) plus polska ustawa o ochronie danych osobowych, kilkadziesiąt ustaw „towarzyszących” regulujących zasady ochrony danych w danych branżach, o których pisaliśmy w artykule "Nowelizacja aktów prawnych w związku z wdrożeniem RODO".
Przedsiębiorcy powinni również stosować się do wytycznych regulatora, którym w Polsce jest Urząd Ochrony Danych Osobowych (UODO), Grupy Roboczej, czy Europejskiej Rady Ochrony Danych Osobowych (EROD).
Oprócz samego RODO i ustawy o ochronie danych osobowych trzeba mieć również świadomość wprowadzenia przez ustawodawcę szeregu nowych przepisów regulujących zasady przetwarzania danych.
Dla przypomnienia - RODO to rozporządzenie chroniące dane dotyczące osoby fizycznej. Osoba fizyczna z kolei, na gruncie definicji przywołanej w treści RODO to taka, którą można bezpośrednio lub pośrednio zidentyfikować. Nie tylko na podstawie tzw. danych zwykłych, jak np. imię i nazwisko, ale też szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną jej cechę. Takimi danymi są np. dane ujawniające pochodzenie rasowe lub etniczne, dotyczące poglądów politycznych, przekonań religijnych lub światopoglądowych, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne, dane dotyczące zdrowia czy orientacji seksualnej. Ochrona danych osobowych to obszar niezwykle ważny, mający kluczowe znaczenia dla prywatności i praw ludzi.
Sprawdź nasz artykuł: Dzień hasła – zasady tworzenia i zarządzania hasłami
Wdrożenie RODO
Należy mieć na uwadze, że wdrożenie RODO to nie jednorazowe działanie polegające na opracowaniu procedur, spełnieniu obowiązków informacyjnych czy przeprowadzenie szkoleń. Do zagadnienia należy podejść z szerszej perspektywy, tak, aby zapewnić stosowanie przepisów o ochronie danych osobowych w sposób ciągły i stale monitorowany.
Naruszenie przepisów o ochronie danych osobowych może bowiem skutkować dotkliwymi karami finansowymi, które coraz bardziej zaczynają wpisywać się w codzienność administratorów.
Zastosowanie RODO w praktyce możliwe jest oczywiście tylko wtedy, jeżeli przedsiębiorca danych posiada określoną świadomość dotyczącą powagi zagadnienia i przekazuje ją swoim pracownikom i współpracownikom. Kwestie edukacji dotyczące zatem takich zagadnień jak: naruszenia ochrony danych osobowych, prawa osób, których dane są przetwarzane, zapewnienie realizacji tych praw (w tym prawa do usunięcia danych), zastosowanie zabezpieczeń fizycznych, organizacyjnych i IT, przekazywanie danych innym podmiotom to tylko wierzchołek góry lodowej związanej z ochroną danych osobowych.
Udostępnianie danych osobowych bez zgody - dowiedz się więcej
Edukacja powinna również dotyczyć negatywnych konsekwencji, jakie mogą wyniknąć z niestosowania się do obowiązujących przepisów o ochronie danych osobowych, a także jak powinien wyglądać kontakt z przedstawicielami urzędu ochrony danych osobowych, itd.
Zapewnienie zgodności przetwarzania danych z RODO wymaga na pewno nie lada wysiłku, ale nie jest niemożliwe.
Przydatnym elementem w budowaniu zgodności może być powołanie w organizacji Inspektora Ochrony Danych. Doświadczony inspektor ochrony danych nie tylko wesprze organizację we wdrożeniu systemu ochrony danych osobowych, ale pomoże Twojej organizacji (Twoim pracownikom) zrozumieć RODO i zapewnić ciągłość procesu.
Należy bowiem pamiętać, że przestrzeganie przepisów RODO to nie wolna wola administratora, ale obowiązek. O roli Inspektora Ochrony Danych osobowych, jego odpowiedzialności i koniecznych kompetencjach możesz przeczytać tutaj.
Celem regulacji RODO jest zapewnienie, by przetwarzane dane były "bezpieczne". Zarówno ocena poziomu zagrożeń, jak i wybór odpowiednich środków bezpieczeństwa spoczywa bezpośrednio na administratorze danych. W procesie ochrony danych kluczową rolę odgrywa bowiem analiza ryzyka obowiązkowa dla każdego, kto przetwarza dane.
Kilka słów o prawach osób — jak realizować je w praktyce zgodnie z RODO
Jednym z podstawowych obowiązków, jakie RODO wprowadza, jest prawo do informacji. Przekazywane osobie informacje dotyczą tego kto, w jakim celu, przez jaki czas i na jakiej podstawie będzie przetwarzał dane osobowe. Jest to tzw. obowiązek informacyjny.
Obowiązek informacyjny można zrealizować za pomocą tzw. klauzuli informacyjnej, która powinna być napisana językiem przystępnym.
W systemie ochrony danych osobowych jest to kwestia niezwykle ważna. Przedsiębiorcy muszą dbać o to, by w swojej organizacji ten obszar właściwie zabezpieczyć. Urząd ochrony danych osobowych nakłada bowiem kary za brak lub niewłaściwe wywiązanie się z tego obowiązku. Do prezesa UODO wpływają również skargi od osób fizycznych dotyczące tego zagadnienia.
Prawa osób zostały opisane w art. 15-21 RODO, a są to:
- Prawo dostępu do danych — prawo to zostało uregulowane w artykule 15 RODO – osoby, których dane dotyczą, mają możliwość uzyskania od administratora danych informacji o zakresie i sposobach zarządzania danymi osobowymi. Podmiot danych może żądać od administratora uzyskania dostępu do swoich danych oraz – jeśli zajdzie taka potrzeba – uzyskania ich kopii. Kopia ta powinna zostać wydana bezpłatnie za pierwszym razem, przy kolejnych prośbach może zostać nałożona na wnioskującego rozsądna opłata, wynikająca np. z kosztów administracyjnych.
- Prawo do sprostowania danych (opisane w artykule 16 RODO) dotyczy prawa do poprawiania danych osoby, której one dotyczą. Jeśli są one nieprawidłowe lub niekompletne osoba może żądać od administratora ich sprostowania.
- Prawo do bycia zapomnianym — dane osoby fizycznej muszą być usunięte przez administratora, jeżeli taka osoba sobie tego zażyczy i zaistnieją przesłanki na to pozwalające. Osoby, których dane są przetwarzane, mają prawo do ich usunięcia – zwane również „prawem do bycia zapomnianym”, opisane w artykule 17 RODO. W przypadku wystąpienia pewnych okoliczności osoba może żądać od administratora usunięcia niektórych danych na swój temat bądź ich całości.
Przesłanki usunięcia danych to między innymi: brak podstawy prawnej (np. cofnięcie zgody na ich wykorzystanie); zebrane dane nie są już potrzebne do celów, w których zostały one zgromadzone; dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego; wniesienie sprzeciwu przez osobę, której dane dotyczą; dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator. W praktyce zawsze należy dokonać oceny, czy rzeczywiście istnieje możliwość spełnienia tego prawa w całości.
Istnieją również sytuacje, które sprawiają, że osoby nie mogą skorzystać z prawa do usunięcia danych osobowych. Mowa tu o przypadkach, kiedy przetwarzanie jest niezbędne: w celu korzystania z prawa do wolności wypowiedzi i informacji; do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator lub do wykonywania zadania realizowanego w interesie publicznym, lub w ramach sprawowania władzy publicznej powierzonej administratorowi; w celu profilaktyki zdrowotnej (np. medycyna pracy, czy zapewnienie opieki zdrowotnej); do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych; do ustalenia, dochodzenia lub obrony roszczeń.
- Prawo do ograniczenia działań na danych RODO przewiduje także możliwość wniesienia o ograniczenie przetwarzania danych. Okoliczności, w jakich podmiot danych może z tego prawa skorzystać, wymienione są w art. 18 RODO.
- Prawo do przenoszenia danych — w artykule 20 RODO wprowadzone zostało kolejne prawo podmiotów danych – prawo do ich przenoszenia pomiędzy różnymi administratorami. Jeśli prośba taka zostanie wystosowana, przedsiębiorca ma obowiązek przekazać osobie komplet zgromadzonych danych na jej temat w formie, która będzie możliwa do odczytania. Podmiot danych może później bez przeszkód przekazać te informacje innemu administratorowi.
- Prawo do sprzeciwu oraz do niepodleganiu decyzji opartych na zautomatyzowanym przetwarzaniu. Na podstawie artykułu 21 RODO, podmioty danych mają prawo nie zgodzić się na to, aby ich dane były wykorzystywane do celów „podejmowania decyzji opartych na zautomatyzowanym przetwarzaniu” – np. profilowania, które powoduje skutek prawny dla osoby.
Administrator w takim przypadku nie może przetwarzać danych, pod warunkiem, że nie będą istniały inne ważne podstawy prawne, które mu na to pozwolą.
Wyjątek stanowi sytuacja, kiedy to przeprowadzenie profilowania jest wymagane w celu prawidłowego zawarcia bądź wykonania umowy – wtedy podmiot danych nie ma prawa do sprzeciwu wobec takiego przetwarzania.
Warto, by w systemie ochrony danych osobowych znalazła sie się procedura czy instrukcja szczegółowo opisująca zasady realizacji praw w organizacji.
Żądanie usunięcia danych osobowych
10 wskazówek przygotowanych przez Urząd Ochrony Danych Osobowych dotyczących korzystania z przysługujących osobie fizycznej praw
Rozporządzenie RODO zaczęło obowiązywać od 25 maja 2018 roku. Pół roku po jego wprowadzeniu, UODO przygotował przydatne dla każdego rady, jak w praktyce korzystać z praw zagwarantowanych przez rozporządzenie.
Masz prawo wiedzieć, co będzie się działo z podanymi danymi
Powinieneś zostać poinformowany o tym kto, na jakiej podstawie prawnej oraz w jakim celu przetwarza Twoje dane. Firma lub instytucja dysponująca Twoimi danymi ma także obowiązek poinformować Cię o prawach zagwarantowanych przez RODO. Masz prawo m.in. do: dostępu do danych, możliwości ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu lub do bycia poinformowanym o zautomatyzowanym podejmowaniu decyzji, np. profilowaniu. Administrator musi określić, w jakim okresie czasu będzie przetwarzał Twoje dane oraz podać kontakt do Inspektora Ochrony Danych.
Masz prawo do wycofania zgody w dowolnym momencie
Udzielenie zgody powinno być tak samo łatwe, jak jej cofnięcie. W każdej chwili masz prawo do wycofania zgody bez poniesienia żadnych negatywnych konsekwencji.
Powinieneś być informowany w zrozumiały dla Ciebie sposób
Wszystkie przekazywane Ci informacje związane z przetwarzaniem Twoich danych powinny być sformułowane w jasny, klarowny i zrozumiały dla Ciebie sposób. Ta zasada dotyczy także komunikatów pojawiających się na stronach internetowych oraz w aplikacjach. Jeśli nie rozumiesz tych informacji, zwróć się do administratora w celu dokładniejszego wyjaśnienia.
Nie zawsze masz prawo do bycia zapomnianym
Nie w każdej chwili masz prawo do bycia zapomnianym. Jest to szczególnie widoczne w przypadku, w którym dany podmiot jest zobowiązany do przetwarzania Twoich danych w celu realizacji obowiązku prawnego. Takimi podmiotami są np. szkoła, przychodnia, urząd.
Możesz żądać realizacja prawa do bycia zapomnianym w kilku przypadkach, m.in. kiedy dane stały się zbędne do realizacji określonych celów, dane były przetwarzane niezgodnie z prawem lub wycofałeś swoją zgodę.
Masz prawo do informacji w przypadku naruszenia Twoich danych
Wyciek danych, udostępnienie ich osobom nieupoważnionym oraz ich zgubienie stanowią naruszenie danych. W tym przypadku, administrator ma obowiązek poinformowania Cię o zaistniałej sytuacji. Zastosuj się do jego wskazówek, które pomogą Ci w zminimalizowaniu zagrożenia. Nierzadko sama zmiana hasła może uchronić Cię przed kradzieżą Twoich danych i wykorzystaniem ich w różnych celach.
Marketing nie może być prowadzony gdy wniesiesz sprzeciw
Jeśli Twoje dane wykorzystywane są w celach marketingowych, czyli np. do wysyłania reklam ofert, usług, a ty zrezygnowałeś z przetwarzania danych w tym celu, to dalsze ich wykorzystywanie jest niezgodne z prawem.
Chroń dzieci przed nieuczciwymi praktykami
Jeśli jesteś rodzicem lub prawnym opiekunem osoby, która nie ukończyła jeszcze 16. roku życia, to Ty podejmujesz decyzję o przetwarzaniu jej danych osobowych. Dzieci nie posiadają tak dużej wiedzy o RODO i często nie zwracają uwagi na komunikaty pojawiające się w grach, aplikacjach mobilnych, czy w mediach społecznościowcych.
Żądaj realizacji swoich praw w pierwszej kolejności od ich administratora
Jeżeli Twoje dane są przetwarzane w sposób nieprawidłowy, to swoje uwagi zgłoś najpierw do ich administratora.
Możesz się ubiegać o odszkodowanie przed sądem
Warto pamiętać, że jeśli podmiot dysponujący Twoimi danymi, wykorzystuje je w sposób niezgodny z RODO, a Ty poniosłeś z tego tytułu szkody majątkowe lub niemajątkowe, to masz prawo dochodzić swoich praw przed sądem.
Masz prawo złożyć skargę do prezesa UODO
Możesz również złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych. Powinna ona zawierać konkretne informacje, aby odnieść założony skutek.
Szczegółowe informacje na temat składania skarg znajdziesz na oficjalnej stronie UODO.
Podsumowanie
To, że przedsiębiorcy muszą dbać o przestrzeganie przepisów RODO, już oczywiście nikogo nie dziwi.
Podstawowe pytanie brzmi jak to zrobić dobrze bez narażenia na szwank codziennych działań biznesowych. Zapewnienie zgodności w tym obszarze nie jest tak trudne, jak się wydaje, pod warunkiem posiadania świadomości przez administratora danych. Musi on również wiedzieć, że ochrona danych to proces ciągły, wymagający stałego monitorowania i doskonalenia i jednorazowe działanie polegające na wdrożeniu systemu i pozostawieniu go samemu sobie, niewiele da.
Sprawdź także: