Poradnik RODO 2018

Poradnik administratora danych osobowych

Spis tre艣ci:

Jak dostosowa膰 dzia艂alno艣膰 gospodarcz膮 do wymog贸w z Rozporz膮dzenia o ochronie danych osobowych.

Przeanalizuj z nami stan swojego wdro偶enia i dowiedz si臋 co trzeba zrobi膰.

 


 

  1. Uwagi wst臋pne.
  2. Podstawy prawne zmian.
  3. Og贸lne zasady przetwarzania danych osobowych w przedsi臋biorstwie wed艂ug RODO.
  4. Dane osobowe wed艂ug RODO.
  5. W jaki spos贸b dane s膮 przetwarzane?
  6. Czy wykorzystujesz tzw. 鈥瀌ane szczeg贸lnej kategorii鈥?
  7. Podstawa przetwarzania danych osobowych.
  8. Zasady pozyskania zgody na przetwarzanie danych osobowych wed艂ug RODO.
  9. Czy wiesz jakie informacje i w jakiej formie powiniene艣 przekaza膰 klientowi o jego danych osobowych? 
  10. Udost臋pnianie danych osobie, kt贸rej dotycz膮 (wyci膮g ze zbioru danych).
  11. Uprawnienia korekcyjne – czy jeste艣 przygotowany do ich realizacji?.
  12. Problematyka profilowania. Jak zrobi膰 to zgodnie z prawem?.
  13. Czy przetwarzasz dane osobowe os贸b poni偶ej 13 roku 偶ycia?.
  14. Analiza ryzyka naruszenia danych. Jak to zrobi膰?.
  15. Jakie zabezpieczenia ochrony danych osobowych zastosowa膰?.
  16. Rejestr operacji na danych osobowych. Istota, cel, spos贸b realizacji.
  17. Raportowanie incydent贸w narusze艅 danych osobowych do organu nadzoru.
  18. Umowa o powierzenie danych osobowych wed艂ug RODO.
  19. Ochrona danych osobowych na etapie projektowania rozwi膮za艅 biznesowych.
  20. RODO a Prawo Pracy.
  21. Czy musisz powo艂a膰 Inspektora Ochrony Danych Osobowych? A je偶eli powo艂a艂e艣 ju偶 Administratora Bezpiecze艅stwa Informacji?.
  22. Podsumowanie: wdro偶enie RODO krok po kroku.
  23. Kodeksy postepowa艅 z danymi osobowymi.
  24. Certyfikacja鈥 odznaka poprawno艣ci dzia艂ania z danymi osobowymi.
  25. Organ nadzorczy i jego uprawnienia.
  26. Kontrola u administratora danych lub podmiotu przetwarzaj膮cego.
  27. Odpowiedzialno艣膰 odszkodowawcza w zwi膮zku z naruszeniem praw o ochronie danych osobowych.
  28. Administracyjne kary pieni臋偶ne.
  29. Skorzystaj z naszych us艂ug.

 


 

1. Uwagi wst臋pne

Niniejsze opracowanie zosta艂o przygotowane z my艣l膮 o wprowadzeniu przedsi臋biorc贸w do zagadnie艅 zwi膮zanych z wej艣ciem w 偶ycie Rozporz膮dzenia Rozporz膮dzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os贸b fizycznych w zwi膮zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep艂ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og贸lne rozporz膮dzenie o ochronie danych 鈥 zwane dalej 鈥RODO鈥). Z uwagi na opracowanie zawiera g艂贸wne uwagi i wytyczne do procesu aktualizacji procedur wzgl臋dem dotychczas obowi膮zuj膮cych zasad przetwarzania danych osobowych wynikaj膮cych m.in. z Ustawy z dnia 29 sierpnia 1997 r. o Ochronie Danych Osobowych (Dz.U. 1997 nr 133 poz. 883) oraz akt贸w wykonawczych.

Kolorem niebieskim zaznaczone zosta艂y por贸wnania z obecnym stanem 鈥 ustaw膮 o ochronie danych osobowych.

Z uwag w kolorze zielonym dowiesz si臋 co mo偶esz zrobi膰, aby spe艂ni膰 wymogi z RODO.

Na pocz膮tku kilka uwag dla lepszego zrozumienia celu nowych regulacji.

 

 

2. Podstawy prawne zmian

Na zapewnienie spe艂nienia wymaga艅 z Rozporz膮dzenia Parlamentu Europejskiego i Rady w sprawie ochrony os贸b fizycznych w zwi膮zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep艂ywu takich danych oraz uchylenia dyrektywy 95/46/WE2 (RODO) administratorzy danych i podmioty przetwarzaj膮ce maj膮 czas do 25 maja 2018 r.

RODO stosowane jest wprost w polskim porz膮dku prawnym i dotyczy膰 b臋dzie ka偶dego przedsi臋biorcy oferuj膮cego swoje produkty lub us艂ugi osobom fizycznym w ca艂ej Unii Europejskiej lub przetwarzaj膮ce ich dane osobowe w jakimkolwiek innym celu. Polska jednak ma mo偶liwo艣膰 doprecyzowania kilku zagadnie艅 w odr臋bnej ustawie. Niniejsze opracowanie zawiera tak偶e opis wst臋pnych wymog贸w z projektowanej ustawy o ochronie danych osobowych.

Celem RODO jest ochrona praw i wolno艣ci ludzi oraz jednolite stosowanie zasad ochrony danych osobowych w ca艂ej Unii Europejskiej. Z punktu widzenia dotychczasowych regulacji, RODO nie zmienia w spos贸b istotny podstaw prawnych czy og贸lnych zasad przetwarzania danych osobowych. Zmiana dotyczy natomiast szczeg贸lnych obowi膮zk贸w Administrator贸w wynikaj膮cych ze zwi臋kszenia ich samodzielno艣ci w przetwarzaniu danych ale i wynikaj膮cej z tego tytu艂u odpowiedzialno艣ci, w przypadku stwierdzenia narusze艅.

G艂贸wnym argumentem maj膮cym przekona膰 przedsi臋biorc贸w do przetwarzania danych zgodnie z prawem jest wprowadzenie mo偶liwo艣ci nak艂adania wysokich kar na nierzetelnych Administrator贸w, w wysoko艣ci nawet do 20 milion贸w euro lub do 4% warto艣ci rocznego 艣wiatowego obrotu przedsi臋biorstwa. I to przede wszystkim ten ostatni argument przemawia do wyobra藕ni w艣r贸d klient贸w, z kt贸rymi wsp贸艂pracuje Kancelaria i stanowi jednocze艣nie g艂贸wny impuls do zweryfikowania posiadanych procedur i dokumentacji.

 

 

Wart膮 odnotowania na wst臋pie kwesti膮 jest r贸wnie偶 to, i偶 samo Rozporz膮dzenie (RODO) nie podaje konkretnych rozwi膮za艅 czy te偶 minimalnych standard贸w technicznych, kt贸rych wprowadzenie potwierdzi nale偶yte zabezpieczenie danych czy te偶 og贸lnie 鈥 przestrzeganie obowi膮zuj膮cych norm. Aktualnie brakuje r贸wnie偶 jednoznacznych 鈥瀢ytycznych鈥 jak w praktyce postanowienia RODO b臋d膮 egzekwowane przez organy administracji publicznej. W tym zakresie ka偶dy przedsi臋biorca 鈥 Administrator, b臋dzie musia艂 we w艂asnym zakresie wprowadzi膰 rozwi膮zania adekwatne do posiadanych struktur organizacyjnych oraz sposobu pozyskiwania i przetwarzania danych osobowych. St膮d te偶 tak istotnym elementem jest przeprowadzenie wst臋pnej analizy stosowanych rozwi膮za艅 i zabezpiecze艅 w przedsi臋biorstwie, a nast臋pnie dopasowanie ich do wymog贸w stawianych przez Rozporz膮dzenie i zawartych w nim wytycznych.

 

 

3. Og贸lne zasady przetwarzania danych osobowych w przedsi臋biorstwie wed艂ug RODO.

Zgodnie z aktualnym brzmienie Rozporz膮dzenia, dane osobowe musz膮 by膰:

  1. przetwarzane zgodnie z prawem, rzetelnie i przejrzy艣cie,
  2. zbierane i przechowywane w konkretnych prawnie uzasadnionych celach,
  3. ograniczone do potrzebnego ze wzgl臋du na cel minimum,
  4. uaktualniane je偶eli sta艂y si臋 nieprawid艂owe,

Co uleg艂o zmianie?

Zasady s膮 podobne do tych obecnie obowi膮zuj膮cych, z t膮 r贸偶nic膮, 偶e wed艂ug RODO to na administratorze danych ci膮偶y wyra藕ny obowi膮zek wykazania, 偶e przetwarza dane zgodnie z prawem (ci臋偶ar dowodu).

Na co zwr贸ci膰 uwag臋?

Nale偶y umie膰 wykaza膰, 偶e powy偶sze zasady s膮 spe艂nione, co wi膮偶e si臋 z konieczno艣ci膮 posiadania dokumentacji zwi膮zanej z operacjami przetwarzania danych, jak r贸wnie偶 stosowanymi zabezpieczeniami

 

 

4. Dane osobowe wed艂ug RODO

Dane osobowe to informacje, dzi臋ki kt贸rym mo偶na zidentyfikowa膰 dan膮 osob臋 fizyczn膮. Najcz臋艣ciej to zbi贸r cech, nie pojedyncza cecha (cho膰 nie zawsze, bo np. numer PESEL sam w sobie jest dan膮 osobow膮). Do danych osobowych nale偶y zaliczy膰:

鈥     imi臋 i nazwisko,

鈥     numer identyfikacyjny,

鈥     dane o lokalizacji,

鈥     identyfikator internetowy (adresy IP, identyfikatory plik贸w cookie)

鈥     jeden lub kilka czynnik贸w okre艣laj膮cych 艂膮cznie: fizyczno艣膰, fizjologi臋, genetyk臋, psychik臋, p艂aszczyzn臋 ekonomiczn膮, kulturow膮 lub spo艂eczn膮 osoby fizycznej.

Co uleg艂o zmianie?

W por贸wnaniu do obecnej ustawy zakres danych osobowych poszerzy艂 si臋 wprost o dane o lokalizacji i identyfikator internetowy. Jednocze艣nie powy偶szy katalog ma charakter 鈥瀘twarty鈥, a co za tym idzie danymi osobowymi mog膮 by膰 inne dane umo偶liwiaj膮ce identyfikacj臋 okre艣lonej osoby fizycznej. Zgodnie bowiem z pkt 26 Preambu艂y RODO:

鈥濧by stwierdzi膰, czy dana osoba fizyczna jest mo偶liwa do zidentyfikowania, nale偶y wzi膮膰 pod uwag臋 wszelkie rozs膮dnie prawdopodobne sposoby (w tym wyodr臋bnienie wpis贸w dotycz膮cych tej samej osoby), w stosunku do kt贸rych istnieje uzasadnione prawdopodobie艅stwo, i偶 zostan膮 wykorzystane przez administratora lub inn膮 osob臋 w celu bezpo艣redniego lub po艣redniego zidentyfikowania osoby fizycznej. Aby stwierdzi膰, czy dany spos贸b mo偶e by膰 z uzasadnionym prawdopodobie艅stwem wykorzystany do zidentyfikowania danej osoby, nale偶y wzi膮膰 pod uwag臋 wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzgl臋dni膰 technologi臋 dost臋pn膮 w momencie przetwarzania danych, jak i post臋p technologiczny.鈥

Na co zwr贸ci膰 uwag臋?

 

W praktycznym uj臋ciu wprowadzona regulacja nie zmienia istotnie sposobu definiowania danych osobowych, a jednie stanowi doprecyzowanie zasad wynikaj膮cych z aktualnej Ustawy o ochronie danych osobowych.

 

 

5. W jaki spos贸b dane s膮 przetwarzane?

鈥濸rzetwarzanie鈥 oznacza wszelkie operacj臋 lub zestaw operacji wykonywanych na danych osobowych w spos贸b zautomatyzowany lub niezautomatyzowany, tj.: zbieranie, utrwalanie, organizowanie, porz膮dkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przegl膮danie, wykorzystywanie, ujawnianie poprzez przes艂anie, rozpowszechnianie lub innego rodzaju udost臋pnianie, dopasowywanie lub 艂膮czenie, ograniczanie, usuwanie lub niszczenie.

Rodzaj贸w przetwarzania danych osobowych jest zatem bardzo du偶o. W ramach przygotowywania procedur zabezpieczaj膮cych omawiane dane, pomy艣l z jakimi masz do czynienia w swojej dzia艂alno艣ci. Czy przetwarzasz je za pomoc膮:

  1. system贸w informatycznych, czy w spos贸b
  2. niezautomatyzowany (np. segregator z umowami z klientami).

To b臋dzie punkt wyj艣ciowy do analizy jak je chroni膰. Konkretne formy przetwarzania nios膮 bowiem okre艣lone ryzyko naruszenia praw i wolno艣ci osoby, kt贸rej dotycz膮 te dane osobowe.

 

 

6. Czy wykorzystujesz tzw. 鈥瀌ane szczeg贸lnej kategorii鈥?

Przepisy prawa chroni膮 w spos贸b szczeg贸lny niekt贸re dane osobowe. RODO zachowuje podzia艂 danych osobowych zwyk艂ych i tych chronionych szczeg贸lnie.

Do danych szczeg贸lnej kategorii nale偶膮:

  • pochodzenie rasowe lub etniczne,
  • pogl膮dy polityczne,
  • przynale偶no艣膰 do zwi膮zk贸w zawodowych,
  • przekonania religijne lub 艣wiatopogl膮dowe,
  • dane dotycz膮ce seksualno艣ci lub orientacji seksualnej,
  • dane biometryczne,
  • dane dotycz膮ce zdrowia,
  • dane genetyczne.

Co uleg艂o zmianie?

W RODO pojawia si臋 nowa definicja danych genetycznych i biometrycznych (identyfikacja np. przez czytniki linii papilarnych lub obrazu siatk贸wki oka).

RODO usuwa wym贸g zgody na pi艣mie dla przetwarzania takich danych, a wymaga tylko wyra藕nej zgody (mo偶e by膰 elektroniczna).

Przy przetwarzaniu danych szczeg贸lnej kategorii na du偶膮 skal臋 RODO wprowadza obowi膮zek powo艂ania Inspektora Ochrony Danych oraz przeprowadzenia tzw. oceny skutk贸w dla ochrony danych.

Ponadto wed艂ug RODO informacje o skazaniach, mandatach karnych, innych orzeczeniach wydanych w post臋powaniu s膮dowym lub administracyjnym nie s膮 traktowane jako dane szczeg贸lnej kategorii. Pami臋taj jednak, 偶e od pracownik贸w mo偶esz 偶膮da膰 potwierdze艅 niekaralno艣ci tylko gdy istnieje podstawa prawna do tego (np. na danym stanowisku potrzebna jest taka cecha i wynika to z przepis贸w prawa).

Na co zwr贸ci膰 uwag臋?

Prawid艂owa analiza rodzaj贸w przetwarzanych danych osobowych pozwoli na prawid艂ow膮 ocen臋 ryzyka i zagro偶e艅, a w konsekwencji umo偶liwi wdro偶enie odpowiednich procedur – w tym stosownej dokumentacji w ramach prowadzonej dzia艂alno艣ci.

 

 

7. Podstawa przetwarzania danych osobowych.

Zgodnie z RODO, przetwarzanie jest zgodne z prawem gdy:

  1. osoba, kt贸rej dane dotycz膮 wyrazi艂a zgod臋 na przetwarzanie swoich danych osobowych w konkretnym celu;
  2. jest niezb臋dne do:
  3. wykonania umowy lub spe艂nienia 偶膮da艅 osoby, kt贸rej dane dotycz膮;
  4. wype艂nienia obowi膮zku prawnego ci膮偶膮cego na administratorze;
  5. ochrony 偶ywotnych interes贸w osoby, kt贸rej dane dotycz膮, lub innej osoby fizycznej;
  6. wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania w艂adzy publicznej powierzonej administratorowi;
  7. cel贸w wynikaj膮cych z prawnie uzasadnionych interes贸w realizowanych przez administratora lub przez stron臋 trzeci膮.

Co uleg艂o zmianie?

W por贸wnaniu do obecnej ustawy, RODO uelastycznia warunki uzyskania zgody oraz rozszerza przes艂anki uzasadnionego interesu administratora do wielu jego interes贸w gospodarczych (np. zapobieganie oszustwom, marketing bezpo艣redni, przesy艂anie danych w ramach grupy kapita艂owej, zapewnienia bezpiecze艅stwa sieci informatycznej), czyni jednak ograniczenie w postaci nadrz臋dno艣ci interesu podmiotu danych osobowych.

Co nale偶y zrobi膰?

Przeanalizuj jakie dane przetwarzasz na podstawie jakich przes艂anek z pkt 1 i 2 a)-e).

Nazwij jakie konkretnie dane musisz zebra膰 wykonuj膮c umow臋 na rzecz klienta, opisz w jaki spos贸b zbierasz zgody i czy wykorzystujesz dane dla swoich cel贸w, np. marketingu bezpo艣redniego.

Ustalenie powy偶szego pozwoli w spos贸b precyzyjny dopasowa膰 i wdro偶y膰 stosowne procedury zbierania, a nast臋pnie przechowywania pozyskanych o艣wiadcze艅 – jednego z g艂贸wnych element贸w pozwalaj膮cych na p贸藕niejsze

 

operowanie na danych osobowych zgodnie z prawem. Nale偶y mie膰 r贸wnie偶 na wzgl臋dzie, 偶e RODO nie wyklucza zastosowania innych przepis贸w obowi膮zuj膮cych w polskim porz膮dku prawnym, reguluj膮cych poszczeg贸lne kwestie zwi膮zane z prowadzeniem dzia艂alno艣ci gospodarczej. W przypadku wspomnianego prowadzenia marketingu bezpo艣redniego nale偶y mie膰 na uwadze chocia偶by art. 172 Prawa telekomunikacyjnego, zgodnie z kt贸rym na dzia艂ania marketingowe 艣wiadczone przez urz膮dzenia telekomunikacyjne musi zosta膰 pozyskana zgoda i to niezale偶nie od postanowie艅 RODO. W 艣wietle powy偶szego zakazane jest u偶ywanie telekomunikacyjnych urz膮dze艅 ko艅cowych i automatycznych system贸w wywo艂uj膮cych dla cel贸w marketingu bezpo艣redniego, chyba 偶e abonent lub u偶ytkownik ko艅cowy uprzednio wyrazi艂 na to zgod臋. Brak dochowania wspomnianemu obowi膮zkowi mo偶e skutkowa膰 na艂o偶eniem stosownej kary (do 3% przychodu).

 

8. Zasady pozyskania zgody na przetwarzanie danych osobowych wed艂ug RODO

Wed艂ug RODO, aby prawid艂owo uzyska膰 zgod臋 na przetwarzanie danych osobowych klienta nale偶y spe艂ni膰 konkretne obowi膮zki informacyjne wzgl臋dem niego. Tym samym nale偶y:

  1. W o艣wiadczeniu klienta zawrze膰 konkretny cel, dla kt贸rego potrzebne jest przetwarzanie jego danych osobowych.
  2. Je偶eli klient akceptuje tak偶e inne zgody, zgoda na przetwarzanie danych osobowych musi by膰 wyodr臋bniona i nie mo偶e 艂膮czy膰 si臋 z innymi zgodami czy o艣wiadczeniami.
  3. O艣wiadczenie musi by膰 jasne i napisane prostym j臋zykiem.
  4. Nale偶y poinformowa膰 klienta o jego uprawnieniach dotycz膮cych wyra偶ania zgody, tj. o mo偶liwo艣ci cofni臋cia zgody itp. (o uprawnieniach klienta w dalszej cz臋艣ci opracowania).
  5. Zgoda musi by膰 dobrowolna, co oznacza, 偶e nie mo偶na jej uzale偶nia膰 od wykonania umowy (dane osobowe niezb臋dne do wykonania umowy administrator mo偶e zbiera膰 bez zgody, mowa wi臋c o innych dodatkowych danych), jak r贸wnie偶 klient z zasady musi mie膰 mo偶liwo艣膰 wybrania negatywnej opcji.

Co uleg艂o zmianie?

W por贸wnaniu do obecnej ustawy RODO przewiduje, 偶e zgod臋 na przetwarzanie danych osobowych mo偶na uzyska膰 nie tylko w formie pisemnej, ale i elektronicznej (pod warunkiem formy tekstowej, np. na stronie internetowej przez klikni臋cie, w komunikacji elektronicznej).

Co nale偶y zrobi膰?

Przeanalizuj proces uzyskiwania zg贸d od klient贸w:

  • Czy tre艣膰 o艣wiadczenia jest zgodna z RODO (m.in. w/w cechami)?
  • W jaki spos贸b pozyskujesz zgody, w jakiej formie i gdzie je przechowujesz?

(WA呕NE !) Pami臋taj tak偶e, 偶e to na Administratorze ci膮偶y obowi膮zek udowodnienia, 偶e uzyska艂 i procesuje zgody legalnie, warto w tym celu wprowadzi膰 rejestr zg贸d i wzbogaci膰 tabel臋 w funkcje odzwierciedlaj膮ce uprawnienia klient贸w (偶膮danie usuni臋cia, ograniczenie przetwarzania, dost臋p do danych itd.), informacj臋 komu i w jaki spos贸b udost臋pniono te dane. Zmiana w zakresie pozyskiwania zg贸d z praktycznego punktu widzenia ma istotne znaczenie dla wszelkich podmiot贸w zbieraj膮cych dane klient贸w (lub potencjalnych klient贸w) w ramach formularzy stosowanych na stronach internetowych. Wobec wej艣cia w 偶ycie zasad RODO, za konieczne nale偶y uzna膰 zatem weryfikacj臋 dotychczas stosowanych wzor贸w pod k膮tem w艂a艣nie spe艂niania wszystkich obowi膮zk贸w informacyjnych wobec odbiorcy ko艅cowego. Konsekwencj膮 niezachowania w/w obowi膮zk贸w mo偶e by膰 uznanie, 偶e Administrator przetwarza dane  osobowe

Problematyka zg贸d pozyskanych przed wej艣ciem w 偶ycie RODO.

Warte odnotowania jest r贸wnie偶 okoliczno艣膰, 偶e dotychczas pozyskane przez Administratora zgody pozostaj膮 w mocy, o ile spe艂niony zosta艂 obowi膮zek informacyjny o prawie wgl膮du i mo偶liwo艣ci wycofania zgody w ka偶dym momencie. Powy偶sze stanowisko zosta艂o zreszt膮 potwierdzone przez GIODO w ramach publikowanych wytycznych (vide: www.giodo.gov.pl).

Poleca si臋 tak偶e wyposa偶enie takiej bazy w mo偶liwo艣膰 sporz膮dzenia szybkiego elektronicznego wyci膮gu z danych okre艣lonej osoby (w razie zapytania klienta lub organu nadzoru o dane osobowe). Z do艣wiadczenia Kancelarii wynika bowiem, 偶e klienci maj膮 bardzo du偶y problem z p贸藕niejszym odtworzeniem uzyskanych zg贸d, kt贸re bardzo cz臋sto s膮 rozproszone w dokumentacji znajduj膮cej si臋 w r贸偶nych dzia艂ach czy u r贸偶nych os贸b, a nawet zosta艂y zarchiwizowane. St膮d te偶 wprowadzenie rejestru 鈥 w zale偶no艣ci od skali i rodzaju prowadzonej dzia艂alno艣ci gospodarczej, mo偶e by膰 rozwi膮zaniem istotnie usprawniaj膮cym przetwarzanie danych osobowych zgodnie z prawem oraz generowanie wyci膮g贸w.

Niezale偶nie od powy偶szego nale偶y wprowadzi膰 tak偶e przejrzyste polityki kto i w jaki spos贸b zbiera dane do rejestru, dba o jego kompletno艣膰 (z zastrze偶eniem, 偶e mo偶e by膰 to osoba, kt贸ra ma takie szerokie uprawnienia do zapoznawania si臋 z danymi osobowymi, np. powo艂any Inspektor Ochrony Danych).

 

 

9. Czy wiesz jakie informacje i w jakiej formie powiniene艣 przekaza膰 klientowi o jego danych osobowych?

RODO nak艂ada na administrator贸w danych obowi膮zek informowania osoby, od kt贸rej zbieraj膮 dane o szeregu okoliczno艣ciach dotycz膮cych danych osobowych, m.in. dane administratora oraz inspektora danych osobowych, cel przetwarzania, informacje o odbiorcach danych, o przekazaniu do pa艅stwa trzeciego 鈥 poza Uni臋 Europejsk膮, okres przechowywania danych, informacje o uprawnieniach osoby w zakresie danych osobowych, prawie wniesienia skargi do organu nadzoru, o profilowaniu.

Zakres informacji uzale偶niony jest od tego, czy zebrane dane pochodz膮 od osoby, kt贸rej dotycz膮, czy z innego 藕r贸d艂a). Je偶eli dane nie pochodz膮 od osoby, kt贸rej dotycz膮, obowi膮zek informacyjny jest szerszy. Nale偶y w tym przypadku zachowa膰 terminy informacyjne.

Informacji udziela si臋 na pi艣mie, elektronicznie lub ustnie (tu po sprawdzeniu to偶samo艣ci), wg 偶膮dania tej osoby. Informacje s膮 udzielane bez pobierania op艂at.

Co uleg艂o zmianie?

Szczeg贸艂owy zakres obowi膮zk贸w informacyjnych zosta艂 zawarty w art. 13 i 14 RODO. Tak szerokich obowi膮zk贸w informacyjnych obecna ustawa o ochronie danych osobowych nie przewiduje (tre艣膰 art. 13 reguluj膮cego obowi膮zek informacyjny w przypadku zbierania danych od osoby, kt贸rej dane dotycz膮, znajduje si臋 na ko艅cu niniejszego punktu).

Co nale偶y zrobi膰?

Powsta艂a konieczno艣膰 przejrzenia dost臋pnych 藕r贸de艂 (dokumentacja do um贸w, o艣wiadczenia, strona internetowa itp.) czy wymagane informacje s膮 ju偶 zawarte, czy trzeba je uzupe艂ni膰. Takie informacje mog膮 by膰 ostatecznie zawarte w r贸偶nej formie (w zale偶no艣ci od ich rodzaju i charakteru zawieranej umowy z klientem): na stronie internetowej (np. dane administratora), w regulaminie us艂ug elektronicznych, w o艣wiadczeniach o wyra偶eniu zgody na przetwarzanie, w informacjach do umowy wysy艂anych do klienta itd. W tym zakresie postanowienia art. 13 i 14 RODO mo偶na traktowa膰 jako wyra藕ne wytyczne okre艣laj膮ce tre艣膰 klauzul jakie winny znale藕膰 si臋 w stosownej dokumentacji czy o艣wiadczeniach.

Pami臋taj, 偶e to ty jako administrator danych musisz udowodni膰, 偶e spe艂ni艂e艣 stosowny obowi膮zek informacyjny !

Artyku艂 13

Informacje podawane w przypadku zbierania danych od osoby, kt贸rej dane dotycz膮

1 Je偶eli dane osobowe osoby, kt贸rej dane dotycz膮, zbierane s膮 od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie nast臋puj膮ce informacje:

a) swoj膮 to偶samo艣膰 i dane kontaktowe oraz, gdy ma to zastosowanie, to偶samo艣膰 i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie 鈥 dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstaw臋 prawn膮 przetwarzania; 4.5.2016 L 119/40 Dziennik Urz臋dowy Unii Europejskiej PL
d) je偶eli przetwarzanie odbywa si臋 na podstawie art. 6 ust. 1 lit. 鈥 prawnie uzasadnione interesy realizowane przez administratora lub przez stron臋 trzeci膮;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorc贸w, je偶eli istniej膮;
f) gdy ma to zastosowanie 鈥 informacje o zamiarze przekazania danych osobowych do pa艅stwa trzeciego lub organizacji mi臋dzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisj臋 odpowiedniego stopnia ochrony lub w przypadku przekazania, o kt贸rym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiank臋 o odpowiednich lub w艂a艣ciwych zabezpieczeniach oraz o mo偶liwo艣ciach uzyskania kopii danych lub o miejscu udost臋pnienia danych.

2 Poza informacjami, o kt贸rych mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, kt贸rej dane dotycz膮, nast臋puj膮ce inne informacje niezb臋dne do zapewnienia rzetelno艣ci i przejrzysto艣ci przetwarzania:

a) okres, przez kt贸ry dane osobowe b臋d膮 przechowywane, a gdy nie jest to mo偶liwe, kryteria ustalania tego okresu;
b) informacje o prawie do 偶膮dania od administratora dost臋pu do danych osobowych dotycz膮cych osoby, kt贸rej dane dotycz膮, ich sprostowania, usuni臋cia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a tak偶e o prawie do przenoszenia danych;
c) je偶eli przetwarzanie odbywa si臋 na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) 鈥 informacje o prawie do cofni臋cia zgody w dowolnym momencie bez wp艂ywu na zgodno艣膰 z prawem przetwarzania, kt贸rego dokonano na podstawie zgody przed jej cofni臋ciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informacj臋, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, kt贸rej dane dotycz膮, jest zobowi膮zana do ich podania i jakie s膮 ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o kt贸rym mowa w art. 22 ust. 1 i 4, oraz 鈥 przynajmniej w tych przypadkach 鈥 istotne informacje o zasadach ich podejmowania, a tak偶e o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, kt贸rej dane dotycz膮.

3 Je偶eli administrator planuje dalej przetwarza膰 dane osobowe w celu innym ni偶 cel, w kt贸rym dane osobowe zosta艂y zebrane, przed takim dalszym przetwarzaniem informuje on osob臋, kt贸rej dane dotycz膮, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o kt贸rych mowa w ust. 2. 4.Ust. 1, 2 i 3 nie maj膮 zastosowania, gdy 鈥 i w zakresie, w jakim 鈥 osoba, kt贸rej dane dotycz膮, dysponuje ju偶 tymi informacjami.

 

 

10. Udost臋pnianie danych osobie, kt贸rej dotycz膮 (wyci膮g ze zbioru danych).

Ka偶da osoba, kt贸rej dane s膮 przetwarzane ma prawo dost臋pu do nich oraz uzyskania ich kopii.

Co uleg艂o zmianie?

W por贸wnaniu do obecnej ustawy zakres dost臋powy jest szerszy, przewidziano tak偶e jako nowo艣膰 mo偶liwo艣膰 uzyskania bezp艂atnej kopii danych przetwarzanych.

Co nale偶y zrobi膰?

(WA呕NE!) Dla sprawnego realizowania takiego obowi膮zku wa偶ne jest prowadzenie rejestru danych osobowych z podzia艂em na okre艣lone funkcje, w tym mo偶liwo艣ci wygenerowania wyci膮gu z takich danych dotycz膮cych okre艣lonej osoby. Dla stworzenia takiego rejestru mo偶na posi艂kowa膰 si臋 kategoriami z Rozporz膮dzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpiecze艅stwa informacji rejestru zbior贸w danych. Nale偶y przy tym pami臋ta膰, 偶eby przekazuj膮c dane zweryfikowa膰 to偶samo艣膰 osoby 偶膮daj膮cej.

W praktyce prawo do otrzymania bezp艂atnej kopii przetwarzanych danych 艂膮czy si臋 z kolejnym wyra藕nym prawem tj. do 鈥瀙rzenoszenia danych鈥. W praktyce prawo do przenoszenia mo偶e powodowa膰 istotne problemy natury technicznej, na kt贸re przedsi臋biorca powinien by膰 przygotowany. Chodzi przede wszystkim o konieczno艣膰 udost臋pniania takich danych w ustrukturyzowanym oraz powszechnie u偶ywanym formacie nadaj膮cym si臋 do odczytu maszynowego danych osobowych oraz mo偶liwo艣膰 przekazywania tych danych innemu administratorowi. Nale偶y zatem wdro偶y膰 system

 

umo偶liwiaj膮cy szybk膮 i bezp艂atn膮 realizacj臋 uprawnie艅 wynikaj膮cych z udost臋pniania przetwarzanych danych.

W tym momencie nale偶y zwr贸ci膰 uwag臋 r贸wnie偶 na okoliczno艣膰, i偶 prawo uzyskiwania informacji czy 鈥瀢yci膮g贸w鈥 otwiera drog臋 r贸wnie偶 do pozosta艂ych uprawnie艅 tzw. 鈥瀔orekcyjnych鈥 鈥 sprzeciwu, sprostowania, usuni臋cia, ograniczenia przetwarzania.

 

 

11. Uprawnienia korekcyjne – czy jeste艣 przygotowany do ich realizacji?

Co uleg艂o zmianie?

RODO przewiduje kilka uprawnie艅 os贸b, kt贸rych dane osobowe dotycz膮 celem wp艂ywania na nie (obok uprawnienia dost臋pu i informacyjnego), tj.

  • Prawo do sprostowania danych (poprawienia nieprawid艂owych i uzupe艂nienia niekompletnych);
  • Prawo do usuni臋cia danych 鈥 w tym cofni臋cie zgody oraz prawo do bycia zapomnianym (to uprawnienie zosta艂o wprowadzone jako nowe i mo偶e by膰 realizowane w przypadku upublicznienia danych 鈥 wi臋cej o nim w osobnym artykule na stronie Kancelarii);
  • Prawo do sprzeciwu wobec przetwarzania danych (nale偶y wykaza膰 szczeg贸ln膮 sytuacj臋; dotyczy to szczeg贸lnie marketingu bezpo艣redniego i profilowania);
  • Prawo do ograniczenia przetwarzania (oznacza zaw臋偶enie przetwarzania do przechowywania, w por贸wnaniu do obecnej ustawy RODO przewidzia艂o zamkni臋ty katalog sytuacji, w kt贸rych mo偶na tego 偶膮da膰);
  • Prawo do przenoszenia danych (jest to nowe uprawnienie wg RODO, kt贸re zak艂ada 偶膮danie osoby przes艂ania jej danych do innego administratora bez po艣rednictwa tej osoby).

(WA呕NE!) Administrator danych ma obowi膮zek powiadomi膰 osob臋 偶膮daj膮c膮 o podj臋tych dzia艂aniach w terminie do miesi膮ca, przy czym powinien zachowa膰 form臋 powiadomienia tak膮 jak forma 偶膮dania (np. elektroniczna). Nale偶y tak偶e pami臋ta膰, 偶e realizacja w/w uprawnie艅 wi膮偶e si臋 cz臋sto z powiadomieniem podmiot贸w przetwarzaj膮cych dane na zlecenie administratora czy usuni臋cie danych z miejsc upublicznienia. Administrator wykonuje to na sw贸j koszt.

Co nale偶y zrobi膰?

Warto wobec tego przygotowa膰 firmowe wzory pism dotycz膮ce realizacji takich uprawnie艅.

Dla realizacji tego obowi膮zku nale偶y wyposa偶y膰 tworzony/posiadany rejestr danych osobowych w okre艣lone funkcjonalno艣ci. Ponadto, nale偶y poinformowa膰 osob臋, od kt贸rej zbierane s膮 dane o dost臋pnych uprawnieniach. Administrator przy tym musi pomaga膰 takiej osobie w realizowaniu uprawnie艅, czyli zachowa膰 jasno艣膰 przekazu i terminowo艣膰 wykonania 偶膮da艅.

Przy okazji przygotowywania si臋 na realizacj臋 ww. uprawnie艅 nale偶y wzi膮膰 pod uwag臋 czy administrator danych ma odpowiednie i przeszkolone zasoby ludzkie do wykonywania takich zada艅.

 

 

 

12. Problematyka profilowania. Jak zrobi膰 to zgodnie z prawem?

Profilowanie jest procesem zautomatyzowanego przetwarzania danych, w kt贸rym zapada decyzja wywo艂uj膮ca wobec osoby skutki okre艣lone skutki, m贸wi膮c pro艣ciej jest to zbieranie danych o osobie na podstawie jej zachowa艅 do prognozy jej dalszych zachowa艅 lub pogl膮d贸w (w szczeg贸lno艣ci w ramach dzia艂alno艣ci w Internecie).

RODO przewidzia艂o jednak szereg odst臋pstw od zakazu profilowania (profilowanie jest konieczne do realizacji umowy, ma podstawy w przepisach prawa i osoba wyrazi艂a na nie zgod臋

 

Co uleg艂o zmianie?

Dotychczas proces profilowania by艂 uregulowany szcz膮tkowo.

Co nale偶y zrobi膰?

Na administratorze ci膮偶y obowi膮zek wskazania podmiotowi, 偶e wykorzystuje profilowanie, jakie s膮 jego konsekwencje i czy dzieje si臋 to automatycznie, a w przypadku przetwarzania danych szczeg贸lnej kategorii nale偶y przekaza膰 tak偶e informacje o znaczeniu i przewidywanych konsekwencjach dla osoby, kt贸rej dane te dotycz膮. Osoba, kt贸rej dotyczy profilowanie mo偶e tak偶e swobodnie wyrazi膰 sprzeciw na t臋 czynno艣膰.

Z profilowaniem mamy do czynienia najcz臋艣ciej w celu przygotowania zindywidualizowanej oferty handlowej w bran偶y e-commerce.

Administrator danych musi zatem zadba膰 o wykonanie obowi膮zk贸w informacyjnych (by膰 mo偶e odpowiednie b臋dzie uzupe艂nienie polityki Cookies) oraz pozwoli膰 wyrazi膰 zgod臋 / sprzeciw na profilowanie (osobne okienko do zaznaczenia zgody lub jej braku, umieszczenie tego w regulaminie i uzale偶nienie od tego realizacji sprzeda偶y jest niedozwolone).

 

 

13. Czy przetwarzasz dane osobowe os贸b poni偶ej 13 roku 偶ycia?

Je偶eli 艣wiadczysz us艂ugi/sprzedajesz produkty na odleg艂o艣膰 (drog膮 elektroniczn膮) i kierujesz swoj膮 ofert臋 bezpo艣rednio do os贸b poni偶ej 13 roku 偶ycia, nowo艣ci膮 wg RODO jest uzale偶nianie mo偶liwo艣ci przetwarzania takich danych od zgody wyra偶onej lub zaaprobowanej przez osob臋 sprawuj膮c膮 w艂adz臋 rodzicielsk膮 lub opiek臋 nad dzieckiem.

Co uleg艂o zmianie?

Aktualnie obowi膮zuj膮ce przepisy nie zawieraj膮 wymog贸w odno艣nie do przetwarzania danych osobowych dzieci.

Co nale偶y zrobi膰?

 

Pomy艣l zatem jak mo偶esz sprosta膰 temu wymogowi, wykorzystuj膮c dost臋pn膮 technologi臋. Twoim celem jest zweryfikowanie, czy osoba sprawuj膮ca w艂adz臋 rodzicielsk膮 lub opiek臋 nad dzieckiem wyrazi艂a zgod臋 lub j膮 zaaprobowa艂a. Dla przeprowadzenia wiarygodnej weryfikacji potrzebne b臋dzie zebranie danych tak偶e rodzica. Warto tak偶e pami臋ta膰, 偶e dla dzieci powy偶ej 13 roku 偶ycia o艣wiadczenie o zgodzie powinno by膰 napisane j臋zykiem dla nich zrozumia艂ym. Regulaminy us艂ug i sklep贸w internetowych powinny by膰 uzupe艂nione o  warunki korzystania dzieci.

 

 

14. Analiza ryzyka naruszenia danych. Jak to zrobi膰?

RODO wprowadza obowi膮zek szacowania ryzyka przetwarzania danych oraz oceny skutk贸w ich przetwarzania (potencjalnych szk贸d). Ryzyko to nale偶y oceni膰 pod wzgl臋dem prawdopodobie艅stwa. Stanowi to indywidualne podej艣cie do ka偶dego przedsi臋biorcy, kt贸ry sam powinien oceni膰 co b臋dzie najlepsze dla spe艂nienia zasad ochrony danych osobowych w jego dzia艂alno艣ci (jest to najwi臋ksza nowo艣膰 RODO, gdy偶 wcze艣niejsza ustawa narzuca艂a rozwi膮zanie jednolite dla wszystkich przedsi臋biorc贸w i danych bran偶).

Takim ryzykiem mo偶e by膰 zniszczenie, utracenie, zmodyfikowanie,  nieuprawnione ujawnienie, nieuprawniony dost臋p do danych. Celem dokonania analizy ryzyka jest dobranie odpowiednich (wynikaj膮cych z tego ryzyka) 艣rodk贸w technicznych i organizacyjnych chroni膮cych dane. M贸wimy tu o przystosowaniu dokumentacji, wdro偶enia procesu biznesowego i faktycznych technicznych rozwi膮za艅 zabezpieczaj膮cych.

Jako skutki narusze艅 ochrony danych osobowych mo偶na przyk艂adowo wymieni膰:

  • konsekwencj膮 wyst膮pienia zagro偶enia jest naruszenie przepis贸w karnych lub przepis贸w innej kategorii,
  • wyst膮pienie zagro偶enia spowoduje straty finansowe w wysoko艣ci X,
  • wyst膮pienie zagro偶enia ma negatywny wp艂yw na wizerunek podmiotu dopuszczaj膮cego si臋 naruszenia.

Co nale偶y zrobi膰?

Celem administratora jest dokonanie analizy i przygotowanie protoko艂u z szacowania ryzyka. Dokument ten powinien by膰 regularnie przegl膮dany i aktualizowany (ocena ryzyka jest p艂ynnym i ci膮g艂ym procesem).

Je偶eli administrator stwierdzi, 偶e pomimo zastosowania metod zabezpieczaj膮cych istnieje du偶e ryzyko naruszenia danych, przed ich przetwarzaniem powinien skonsultowa膰 si臋 z organem nadzorczym.

 

 

15. Jakie zabezpieczenia ochrony danych osobowych zastosowa膰?

Zastosowanie konkretnego rodzaju zabezpiecze艅 ochrony danych osobowych zale偶y od kilku czynnik贸w: rezultat贸w oceny ryzyka w przedsi臋biorstwie, charakteru dzia艂alno艣ci i rodzaju przetwarzanych danych, 艣rodk贸w osobowych i finansowych jakie mo偶emy na ten cel przeznaczy膰.

Ka偶dy administrator musi zatem przemy艣le膰 czym si臋 pos艂u偶y膰, aby zachowa膰 zgodno艣膰 z RODO. W niniejszym opracowaniu podajemy kilka rozwi膮za艅 do wykorzystania.

  1. Stosowanie pseudonimizacji danych osobowych (szyfrowanie kluczem, tokenizacja, skracanie).
  2. Regulowanie dost臋pu do danych pracownik贸w przez:
  • Wprowadzanie hase艂 do komputer贸w oraz wymuszanie ich zmiany raz w miesi膮cu,
  • Skanowanie ze wsp贸lnego skanera do okre艣lonego osobistego folderu,
  • Wykonywanie ksera na wsp贸lnym urz膮dzeniu po wprowadzeniu kodu/karty z chip; drukowanie dokument贸w z danymi bezpiecznym profilem poprzez podej艣cie do drukarki i wpisanie kodu ustalonego przy wybraniu w komputerze opcji drukowania oraz niepozostawianie dokument贸w wydrukowanych w drukarce,
  • Niszczenie niepotrzebnych dokument贸w z danymi w niszczarkach, niezostawianie ich na biurku,
  • Wyposa偶enie pracownik贸w w zamykane na klucz szafy z dokumentami i osobiste,
  • Uregulowanie dost臋p贸w do zasob贸w ze wsp贸lnego serwera wg nadanych upowa偶nie艅 (prowadzenie rejestru upowa偶nie艅 z zasobami, do kt贸rych pracownik ma dost臋p,
  • Szkolenie pracownik贸w z zachowania regu艂 ochrony danych osobowych.
  1. Wysy艂anie plik贸w z danymi osobowymi (np. formularze rejestracyjnych, czy zmiany danych) poprzez szyfrowanie has艂em i dostarczanie has艂a inn膮 drog膮, np. SMS.
  2. Przekazywanie korespondencji (z danymi) do wys艂ania innym pracownikom
  3. Wykorzystywanie specjalnie przystosowanego do tego oprogramowania (na rynku jest kilka propozycji), umo偶liwiaj膮ce np. analizowanie i powiadamianie o pr贸bach ataku na system informatyczny.
  4. Dba艂o艣膰 o podpisanie przez pracownik贸w o艣wiadczenia o zachowaniu tajemnicy (je偶eli stanowisko tego wymaga wg przepis贸w).
  5. Uregulowanie zasad przypominania has艂a i loginu do internetowych kont (np. zakupowych), dla realizacji operacji finansowych wymaga膰 autoryzacji kodu SMS.
  6. Prowadzenie szkole艅 pracownik贸w z ochrony danych osobowych 鈥 szkolenia online do przeczytania z wymaganym wys艂aniem e-maila zwrotnego o zapoznaniu si臋 lub szkole艅 stacjonarnych, np. przez Inspektora ochrony danych osobowych powo艂anego w przedsi臋biorstwie.
  7. Zadbanie o realizowanie obowi膮zk贸w o zabezpieczeniu danych osobowych u kontrahent贸w, kt贸rzy na zlecenie administratora przetwarzaj膮 dane.
  8. Tworzenie back-up贸w danych (kopii zapasowych).
  9. Archiwizowanie dokument贸w w miejscu do tego przeznaczonym (szafy metalowe zamykane na klucz) z wyznaczeniem dost臋pu okre艣lonych os贸b.
  10. Przeanalizowanie jaki dostawca us艂ug zapewnia dost臋p do poczty elektronicznej czy zewn臋trznych serwer贸w (w jakim stopniu ma dost臋p do danych, szczeg贸lnie przy hostingu wsp贸艂dzielonym).
  11. Sprawdzenie to偶samo艣ci klienta przez wgl膮d do dowodu osobistego, nie kserowanie go.
  12. Administrator powinien zadba膰 o szyfrowanie, np. przy u偶yciu protoko艂u SSL, danych przesy艂anych przez sie膰 publiczn膮
  13. Dost臋p do danych i operacje przetwarzania powinny by膰 logowane, co oznacza, 偶e administrator powinien mie膰 mo偶liwo艣膰 sporz膮dzenia wyci膮gu z tego kto (jaki numer IP, kto konkretnie) je przegl膮da艂.
  14. Dokumentacja sporz膮dzona w celu opisania proces贸w ochrony danych osobowych w organizacji powinna by膰 cyklicznie oceniana i aktualizowana do sytuacji biznesowe.
  15. Administrator mo偶e zbiera膰 tylko te dane, kt贸re ze wzgl臋du na cel przetwarzania s膮 niezb臋dne (minimalizacja danych).
  16. Jednym ze sposob贸w udowodnienia, 偶e administrator spe艂nia wymogi RODO jest przej艣cie procesu certyfikacji (o czym poni偶ej).
  17. Ograniczenie liczby pr贸b nieudanych logowa艅 do systemu informatycznego.

 

 

16. Rejestr operacji na danych osobowych. Istota, cel, spos贸b realizacji.

W rejestrze tym zamieszcza si臋 wszystkie nast臋puj膮ce informacje:

  1. imi臋 i nazwisko lub nazw臋 oraz dane kontaktowe administratora oraz wszelkich wsp贸艂administrator贸w, a tak偶e gdy ma to zastosowanie 鈥 przedstawiciela administratora oraz inspektora ochrony danych;
  2. cele przetwarzania;
  3. opis kategorii os贸b, kt贸rych dane dotycz膮, oraz kategorii danych osobowych;
  4. kategorie odbiorc贸w, kt贸rym dane osobowe zosta艂y lub zostan膮 ujawnione,
  5. gdy ma to zastosowanie, przekazania danych osobowych do pa艅stwa trzeciego lub organizacji mi臋dzynarodowej,
  6. je偶eli jest to mo偶liwe, planowane terminy usuni臋cia poszczeg贸lnych kategorii danych,
  7. je偶eli jest to mo偶liwe, og贸lny opis technicznych i organizacyjnych 艣rodk贸w bezpiecze艅stwa
  8. Administratorzy rejestr czynno艣ci przetwarzania, a podmioty przetwarzaj膮ce rejestr kategorii przetwarzania.

Co uleg艂o zmianie?

W por贸wnaniu do obecnej ustawy zakres danych umieszczanych w rejestrze jest szerszy. Z prowadzenia rejestru zostali zwolnieni administratorzy zatrudniaj膮cy poni偶ej 250 os贸b (z wyj膮tkiem  administrator贸w generuj膮cych du偶e ryzyko narusze艅, cz臋stego przetwarzania i przetwarzania danych szczeg贸lnej kategorii).

Rejestr mo偶na prowadzi膰 wy艂膮cznie w wersji elektronicznej.

Co nale偶y zrobi膰?

Opisa膰 spos贸b prowadzenia rejestru w dokumentacji, wyznaczy膰 osob臋 odpowiedzialn膮 za prowadzenie rejestru. Z uwagi na zindywidualizowany charakter rejestru, zale偶ny od konkretnego przypadku wdro偶ona dokumentacja wraz z charaketrystyk膮 procedur winny by膰 przygotowane w spos贸b odpowiadaj膮cy charakterystyce danego przedsi臋biorstwa.

 

 

17. Raportowanie incydent贸w narusze艅 danych osobowych do organu nadzoru

Wed艂ug RODO administratorzy nie maj膮 ju偶 obowi膮zku zg艂aszania zbioru danych osobowych organowi nadzoru. W zamian za to, obowi膮zkiem administratora zgodnie z tre艣ci膮 RODO jest prowadzenie dokumentacji wszystkich narusze艅 ochrony danych osobowych wraz z okoliczno艣ciami, skutk贸w tych narusze艅 oraz podj臋tych dzia艂a艅 zaradczych.

Co uleg艂o zmianie?

Zg艂aszanie zbioru danych zosta艂o w RODO zast膮pione 2 odr臋bnymi obowi膮zkami notyfikacyjnymi:

  1. Powiadomienie organu nadzoru o naruszeniu danych osobowych (chyba, 偶e nie b臋dzie ono skutkowa艂o naruszeniem praw i wolno艣ci),
  2. Powiadomienie os贸b, kt贸rych dotyczy naruszenie (je偶eli naruszenie mo偶e powodowa膰 du偶e prawdopodobie艅stwo ingerencji w prawa i wolno艣ci

Co nale偶y zrobi膰?

Nale偶y zatem stworzy膰 rejestr (np. tabel臋) uwzgl臋dniaj膮c膮 ww. opisy i wyznaczy膰 osob臋 odpowiedzialn膮 za jej prowadzenie. W dokumentacji dot. ochrony danych osobowych powinna znale藕膰 si臋 informacja o zasadach prowadzenia rejestru narusze艅.

Zastan贸w si臋 czy jeste艣 w stanie wykry膰 incydenty narusze艅 w przedsi臋biorstwie, nale偶y r贸wnie偶 wyczuli膰 pracownik贸w na obowi膮zek raportowania narusze艅.

W przedsi臋biorstwie nale偶y tak偶e wyznaczy膰 proces powiadamiania i wyznaczy膰 osob臋 odpowiedzialn膮 za to (mo偶na zleci膰 to np. prawnikowi). Warto przygotowa膰 wzory pism na t臋 okoliczno艣膰.

 

 

18. Umowa o powierzenie danych osobowych wed艂ug RODO

Zgodnie z RODO to przetwarzaj膮cy dane zosta艂 obci膮偶ony bezpo艣rednio obowi膮zkami: prowadzenia dokumentacji przetwarzania, wsp贸艂pracy z organem nadzoru, zapewnienia bezpiecze艅stwa przetwarzania, zg艂aszania narusze艅, wyznaczania inspektora ochrony danych osobowych.

Zgodnie z art. 28 pkt 1 RODO:

鈥1. Je偶eli przetwarzanie ma by膰 dokonywane w imieniu administratora, korzysta on wy艂膮cznie z us艂ug takich podmiot贸w przetwarzaj膮cych, kt贸re zapewniaj膮 wystarczaj膮ce gwarancje wdro偶enia odpowiednich 艣rodk贸w technicznych i organizacyjnych, by przetwarzanie spe艂nia艂o wymogi niniejszego rozporz膮dzenia i chroni艂o prawa os贸b, kt贸rych dane dotycz膮.鈥

Co uleg艂o zmianie?

W por贸wnaniu do obecnej ustawy RODO wymaga wi臋kszej szczeg贸艂owo艣ci w umowach o powierzenie danych osobowych. W tym kontek艣cie RODO mo偶na uzna膰 raczej za uaktualnienie i uszczeg贸艂owienie dotychczasowych postanowie艅 i regulacji ni偶 istotn膮 zmian臋 zasad powierzania przetwarzania danych osobowych podmiotom trzecim.

Co nale偶y zmieni膰?

Je偶eli jeste艣 podmiotem przetwarzaj膮cym dane na zlecenie administratora (np. podwykonawc膮, administratorem serwera itd), zadbaj o realizacj臋 tych obowi膮zk贸w, gdy偶 na Tobie bezpo艣rednio spoczywa odpowiedzialno艣膰 i mo偶liwo艣膰 na艂o偶enia kar przez organ nadzoru. Je偶eli z kolei powierzasz przetwarzanie danych kolejnemu kontrahentowi, to wymagana jest zgoda pisemna administratora. Podmiot przetwarzaj膮cy jest zwi膮zany poleceniami administratora w zakresie przetwarzania powierzonych mu danych osobowych.

Przeanalizuj umow臋 o powierzeniu danych (przy us艂ugach outsource`owanych), kt贸re posiadasz i sprawd藕 czy zobowi膮zujesz kontrahenta do odpowiednich zabezpiecze艅 przed naruszeniami danych osobowych, czy zawar艂e艣 obowi膮zki informacyjne,

Umowa o powierzeniu danych powinna by膰 zawarta na pi艣mie. Powinna okre艣la膰:

  • przedmiot i czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych,
  • kategorie os贸b, kt贸rych dane dotycz膮,
  • obowi膮zki i prawa administratora, a tak偶e
  • obowi膮zki podmiotu przetwarzaj膮cego.

Warto jednocze艣nie odnotowa膰, i偶 zgodnie z art. 28 pkt 10 RODO:

鈥濨ez uszczerbku dla art. 82, 83 i 84, je偶eli podmiot przetwarzaj膮cy naruszy niniejsze rozporz膮dzenie przy okre艣laniu cel贸w i sposob贸w przetwarzania, uznaje si臋 go za administratora w odniesieniu do tego przetwarzania.鈥

 

 

 

19. Ochrona danych osobowych na etapie projektowania rozwi膮za艅 biznesowych.

RODO wymaga, aby ochrona danych osobowych by艂a brana pod uwag臋 ju偶 na etapie wdra偶ania jakiegokolwiek nowego rozwi膮zania w przedsi臋biorstwie. Osoba, kt贸ra ma wiedz臋 na temat danych osobowych (lub np. prawnik z zewn膮trz) by艂a zaanga偶owana w nowy projekt i oceni艂a go przez pryzmat mo偶liwych narusze艅 danych osobowych.

Administrator musi tak偶e zak艂ada膰 ochron臋 danych jako domy艣lne ustawienie ka偶dego programu czy projektu.

Co uleg艂o zmianie?

W dotychczasowych przepisach powy偶sze zasady by艂y tylko po偶膮dan膮 praktyk膮, ustawa o nich nie wspomina艂a.

 

 

20. RODO a Prawo Pracy

RODO przewidzia艂o mo偶liwo艣膰 zmian w prawie pracy ka偶dego pa艅stwa pod wzgl臋dem zapewniania zgodno艣ci z RODO.

Co uleg艂o zmianie?

Zmieni si臋 zakres danych, kt贸re mo偶e 偶膮da膰 pracodawca. Nie b臋dzie m贸g艂 wymaga膰 imion rodzic贸w Znikn膮 z niego imiona rodzic贸w oraz miejsce zamieszkania (zast膮pi je adres do korespondencji), dodane natomiast zostan膮 dane takie jak: adres e-mail lub numer telefonu.

Zakazane wprost jest przetwarzanie danych wra偶liwych (np. na艂og贸w, stan zdrowia, seksualno艣膰).

Co nale偶y zmieni膰?

W procesie rekrutacyjnym, jak r贸wnie偶 w p贸藕niejszym przetwarzaniu danych pracownik贸w nale偶y m.in. wzi膮膰 pod uwag臋:

  1. a) zgod臋 zawieran膮 w CV kandydat贸w do pracy dotyczy procesu rekrutacyjnego na konkretne stanowisko pracy (chyba, 偶e kandydat wyrazi zgod臋 na p贸藕niejsze wykorzystanie CV),
  2. b) CV kandydata przechowujemy tylko przez czas potrzebny do zako艅czenia procesu rekrutacyjnego na dane stanowisko,
  3. c) kontakt z by艂ym pracodawc膮 w celu uzyskania rekomendacji o kandydacie jest zakazany (to kandydat mo偶e dostarczy膰 wymagane opinie).

Administrator powinien przyjrze膰 si臋 procesowi rekrutacyjnemu oraz zaktualizowa膰 kwestionariusze osobowe podpisywane przez pracownik贸w do um贸w o prac臋 lub same te umowy.

 

 

21. Czy musisz powo艂a膰 Inspektora Ochrony Danych Osobowych? A je偶eli powo艂a艂e艣 ju偶 Administratora Bezpiecze艅stwa Informacji?

W RODO dotychczasowych administrator贸w danych osobowych (ABI) zast臋puj膮 inspektorzy ochrony danych osobowych (IODO).

Powo艂anie IODO jest obowi膮zkowe w przypadku przetwarzania danych na du偶膮 skal臋, o du偶ym ryzyku narusze艅, jak i danych wra偶liwych w du偶ym zakresie. Mo偶na powo艂a膰 jednego IODO dla grupy przedsi臋biorc贸w, np. grupy kapita艂owej. Funkcj臋 IODO mo偶na r贸wnie偶 outsource`owa膰 (np. prawnikowi).

O powo艂aniu IODO nale偶y poinformowa膰 organ nadzoru i opublikowa膰 (np. na stronie internetowej) dane kontaktowe IODO.

Je偶eli powo艂a艂e艣 ABI – osoba taka, o ile na dzie艅 24 maja 2018 r. pe艂ni t臋 funkcj臋 staje si臋 automatycznie inspektorem ochrony danych do dnia 1 wrze艣nia 2018 r. W tym zakresie mo偶e zaistnie膰 konieczno艣膰 zmian um贸w o prac臋.

 

 

22. Podsumowanie: wdro偶enie RODO krok po kroku

Proces dostosowania do RODO mo偶na przeprowadzi膰 w 3 etapach, zgodnie z wytycznymi i wskaz贸wkami z niniejszego opracowania  (sprawdza si臋 do niezale偶nie od skali dzia艂alno艣ci, cho膰 u ma艂ych przedsi臋biorc贸w proces b臋dzie kr贸tszy i nie wszystkie dokumenty tak rozbudowane):

  1. ANALIZA LUKI

Pierwszym etapem jest wykonanie analizy stanu obecnego w przedsi臋biorstwie. Nale偶y odpowiedzie膰 na pytania zaznaczone na czerwono w niniejszym opracowaniu. Wtedy b臋dziemy wiedzieli ile czasu mo偶e zaj膮膰 nam wdro偶enie i zaplanowa膰 jego koszt, jak im zarezerwowa膰 zasoby ludzkie.

—————————————————————————————————————

  1. WDRO呕ENIE ZMIAN

Analiza ryzyka

Dokumenty do sprawdzenia (je偶eli istniej膮) lub do stworzenia  z uwzgl臋dnieniem skali dzia艂alno艣ci i wytycznych RODO, w tym:

  • instrukcja zarz膮dzania systemem informatycznym,
  • polityka bezpiecze艅stwa informacji,
  • umowa powierzenia przetwarzania danych i inne umowy, na mocy kt贸rych kontrahent otrzymuje dost臋p do danych,
  • regulamin ochrony danych osobowych,
  • polityka prywatno艣ci i polityka Cookies,
  • upowa偶nienia dla pracownik贸w,
  • rejestr upowa偶nie艅, rejestr incydent贸w, rejestr rodzaj贸w danych osobowych i lista os贸b z funkcjonalno艣ciami,
  • o艣wiadczenia zg贸d na przetwarzanie,
  • wz贸r protoko艂贸w audytowych z przegl膮d贸w,
  • wz贸r obowi膮zk贸w informacyjnych.

 

Nale偶y r贸wnie偶 sprawdzi膰 stron臋 internetow膮 i proces zakupowy, je偶eli administrator prowadzi sprzeda偶 online. Uzupe艂nienia wymaga regulamin 艣wiadczenia us艂ug drog膮 elektroniczn膮.

(WA呕NE) Dokumenty, aby spe艂nia艂y swoj膮 rol臋, czyli kreowa艂y po偶膮dan膮 organizacj臋 w przedsi臋biorstwie musz膮 by膰 dostosowane do konkretnego podmiotu gospodarczego. Przy ewentualnej kontroli organu nadzoru sprawdzana b臋dzie nie tylko dokumentacja, ale prawid艂owo艣膰 dzia艂ania proces贸w i faktyczne bezpiecze艅stwo danych osobowych.

Analiza powinna obj膮膰 tak偶e proces rekrutacji i kwestionariusze do umowy o prac臋.

Prosz臋 zwr贸ci膰 uwag臋, 偶e dokumenty lub ich zmiany powinny zosta膰 formalnie przyj臋te (uchwa艂a organu zarz膮dzaj膮cego lub podpis w艂a艣ciciela). Dokumenty te wraz z histori膮 zmian i potwierdzeniem przyj臋cia warto trzyma膰 w jednym miejscu na wypadek kontroli lub wezwania organu nadzoru. Koniecznie trzeba tak偶e zapozna膰 z nowymi regulacjami pracownik贸w (mo偶na wys艂a膰 e-mail z pro艣b膮 o zapoznanie si臋 pracownik贸w i odes艂anie o艣wiadcze艅 o zapoznaniu si臋).

Powo艂anie Inspektora Ochrony Danych Osobowych (IODO) je偶eli jest potrzebny.

Dostosowanie proces贸w biznesowych do nowych regulacji (planuj膮c nowe projekty bra膰 pod uwag臋 zabezpieczenie danych osobowych).

—————————————————————————————————————

III. AUDYT POWDRO呕ENIOWY

Po wdro偶eniu dla oceny jego skutk贸w nale偶y przeprowadzi膰 audyt proces贸w. Pozwoli to nam wychwyci膰 nieprawid艂owo艣ci i dopracowa膰 zasady ochrony danych osobowych w naszym przedsi臋biorstwie.

Po lekturze opracowania do tego momentu mo偶emy stwierdzi膰 co mamy, a czego nam brakuje do wdro偶enia RODO.

 

W nast臋pnej cz臋艣ci opracowania znajduje si臋 kilka praktycznych informacji dotycz膮cych ochrony danych osobowych w nowej regulacji, m.in. dotycz膮cych kar za naruszenia, czy otrzymania certyfikatu dla podmiotu przestrzegaj膮cego przepis

 

 

23. Kodeksy postepowa艅 z danymi osobowymi

RODO przewiduje, 偶e mo偶liwo艣膰 wypracowania i zatwierdzenia przez organ nadzoru kodeks贸w dobrych praktyk dzia艂ania z danymi osobowymi.

Wg projektowanej ustawy organ nadzoru udost臋pni na swojej stronie internetowej dobre praktyki przetwarzania danych osobowych, czyli rekomendowane 艣rodki techniczne i organizacyjne stosowane w celu zabezpieczenia.

Projekt dobrych praktyk b臋dzie konsultowany z przedstawicielami danej bran偶y.

Aktualnie nie udost臋pniono jeszcze 偶adnego kodeksu dobrych praktyk.

 

 

24. Certyfikacja 鈥 odznaka poprawno艣ci dzia艂ania z danymi osobowymi

Polska zgodnie z zaleceniem RODO ustanowi mechanizm certyfikacji oraz znak贸w jako艣ci w zakresie ochrony danych osobowych maj膮cych 艣wiadczy膰 o zgodno艣ci z RODO operacji przetwarzania prowadzonych przez administrator贸w i podmioty przetwarzaj膮ce.

Mechanizmy certyfikacji i znaki jako艣ci mog膮 by膰 ustanowione do wykazania odpowiednich zabezpiecze艅 przez administrator贸w lub podmioty przetwarzaj膮ce. Takie odznaczenia s膮 maj膮 tak偶e pozytywny wp艂yw na wizerunek administratora oraz zaufanie do jego us艂ug/produkt贸w.

Organem w艂a艣ciwym do z艂o偶enia wniosku o certyfikacj臋 jest Prezes Urz臋du.

 

 

25. Organ nadzorczy i jego uprawnienia

Dotychczasowy GIODO  (Generalny Inspektor Ochrony Danych Osobowych) b臋dzie nazywa艂 si臋 Prezes em Urz臋du Ochrony Danych Osobowych.

Do Prezesa UODO mo偶na z艂o偶y膰 skarg臋 na naruszenie ochrony danych osobowych, a ju偶 w toku sprawy Prezes UODO mo偶e zobowi膮za膰  administratora do ograniczenia przetwarzania danych osobowych.

Ze skarg膮 mog膮 tak偶e wyst膮pi膰 organizacje spo艂eczne gdy przemawia za tym interes spo艂eczny lub interes osoby, kt贸rej prawa zosta艂y naruszone.

Warto 艣ledzi膰 aktualno艣ci na stronie internetowej Prezesa UODO dotycz膮ce zalece艅 wprowadzania i egzekwowania ROD.

 

 

26. Kontrola u administratora danych lub podmiotu przetwarzaj膮cego

Prezes UODO prowadzi kontrole przestrzegania RODO u administrator贸w i podmiot贸w przetwarzaj膮cych. Mo偶e to zrobi膰 zgodnie z planem kontroli lub dora藕nie na  podstawie doniesie艅 czy analiz.

Prezes Urz臋du b臋dzie uprawniony do przeprowadzania kontroli bez uprzedniego zawiadomienia o tym fakcie kontrolowanego.

W toku kontroli Prezes UODO mo偶e korzysta膰 z pomocy funkcjonariuszy innych organ贸w kontroli pa艅stwowej lub Policji.

Zasady kontroli i uprawnienia kontrolowanego s膮 podobne jak kontrole innych organ贸w, a szczeg贸艂owo opisuje to projektowana ustawa.

W przypadku kontroli aktualizuje si臋 obowi膮zek administratora do ukazania kontroluj膮cym ksi膮偶ki kontroli.

 

 

27. Odpowiedzialno艣膰 odszkodowawcza  w zwi膮zku z naruszeniem praw o ochronie danych osobowych

Ka偶da osoba, kt贸ra ponios艂a szkod臋 maj膮tkow膮 lub niemaj膮tkow膮 w wyniku naruszenia niniejszego rozporz膮dzenia, ma prawo uzyska膰 od administratora lub podmiotu przetwarzaj膮cego odszkodowanie za poniesion膮 szkod臋.

Ka偶dy administrator uczestnicz膮cy w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszaj膮cym niniejsze rozporz膮dzenie.

Administrator lub podmiot przetwarzaj膮cy zostaj膮 zwolnieni z odpowiedzialno艣ci, je偶eli udowodni膮, 偶e w 偶aden spos贸b nie ponosz膮 winy za zdarzenie, kt贸re doprowadzi艂o do powstania szkody.

Odpowiedzialno艣膰 odszkodowawcza uregulowana w RODO ma charakter autonomiczny , tzn. nie jest powi膮zana z przes艂ankami z kodeksu cywilnego. Wprowadzono tak偶e domniemanie winy administratora/podmiotu przetwarzaj膮ce

Osoba, kt贸rej prawa zosta艂y naruszone mo偶e alternatywnie z艂o偶y膰 skarg臋 do organu nadzoru lub wyst膮pi膰 do s膮du powszechnego.

 

 

28. Administracyjne kary pieni臋偶ne

Prezes UODO mo偶e w drodze decyzji na艂o偶y膰 na administratora/podmiot przetwarzaj膮cy kary pieni臋偶ne.

Wysoko艣膰 kary r贸偶nicowana jest zale偶nie od kategorii naruszenia, wskazane zosta艂y tak偶e czynniki, kt贸re Prezes UODO musi wzi膮膰 pod uwag臋 przy jej wymierzaniu.

Kar臋 uiszcza si臋 w ci膮gu 14 dni. Maksymalne pu艂apy kar w zale偶no艣ci od naruszenia to: 10 milion贸w euro lub do 2% warto艣ci rocznego 艣wiatowego obrotu przedsi臋biorstwa lub 20 milion贸w euro lub do 4% warto艣ci rocznego 艣wiatowego obrotu przedsi臋biorstwa. Obok kar pieni臋偶nych mamy jeszcze upomnienia, ostrze偶enia, decyzje nakazowe, czy zawieszenie certyfikac

 

 

29. Skorzystaj z naszych us艂ug.

W ca艂ym procesie wdro偶enia niezb臋dna mo偶e okaza膰 si臋 pomoc profesjonalist贸w 鈥 prawnika czy porada dotycz膮ca wykorzystania narz臋dzi informatycznych czy dzia艂ania zabezpiecze艅 system贸w informatycznych.

Kancelaria radcy prawnego Marcina Staniszewskiego mo偶e zaj膮膰 si臋 wdro偶eniem RODO w Twoim przedsi臋biorstwie od A do Z lub s艂u偶y膰 pomoc膮 na danym etapie.

Sporz膮dzamy kompletn膮 dokumentacj臋 i podpowiadamy jakie rozwi膮zania dla Twojej organizacji b臋d膮 najbardziej optymalne (kosztowo i pod wzgl臋dem skuteczno艣ci ochrony). Prowadzimy tak偶e szkolenia dla Inspektor贸w ochrony danych osobowych jak i dla ca艂ych firm, kt贸re chc膮 zg艂臋bi膰 tematyk臋 ochrony danych osobowych (zar贸wno stacjonarnie u klienta, jak i w formie zdalnej, np. e-learning).

Zapraszamy do wsp贸艂pracy.

Pozosta艂e artyku艂y

Zostaw komentarz