PORADNIK ADMINISTRATORA DANYCH OSOBOWYCH
Jak dostosować działalność gospodarczą do wymogów z Rozporządzenia o ochronie danych osobowych.
Przeanalizuj z nami stan swojego wdrożenia i dowiedz się co trzeba zrobić.
- Uwagi wstępne.
- Podstawy prawne zmian.
- Ogólne zasady przetwarzania danych osobowych w przedsiębiorstwie według RODO.
- Dane osobowe według RODO.
- W jaki sposób dane są przetwarzane?
- Czy wykorzystujesz tzw. „dane szczególnej kategorii”?
- Podstawa przetwarzania danych osobowych.
- Zasady pozyskania zgody na przetwarzanie danych osobowych według RODO.
- Czy wiesz jakie informacje i w jakiej formie powinieneś przekazać klientowi o jego danych osobowych?
- Udostępnianie danych osobie, której dotyczą (wyciąg ze zbioru danych).
- Uprawnienia korekcyjne – czy jesteś przygotowany do ich realizacji?.
- Problematyka profilowania. Jak zrobić to zgodnie z prawem?.
- Czy przetwarzasz dane osobowe osób poniżej 13 roku życia?.
- Analiza ryzyka naruszenia danych. Jak to zrobić?.
- Jakie zabezpieczenia ochrony danych osobowych zastosować?.
- Rejestr operacji na danych osobowych. Istota, cel, sposób realizacji.
- Raportowanie incydentów naruszeń danych osobowych do organu nadzoru.
- Umowa o powierzenie danych osobowych według RODO.
- Ochrona danych osobowych na etapie projektowania rozwiązań biznesowych.
- RODO a Prawo Pracy.
- Czy musisz powołać Inspektora Ochrony Danych Osobowych? A jeżeli powołałeś już Administratora Bezpieczeństwa Informacji?.
- Podsumowanie: wdrożenie RODO krok po kroku.
- Kodeksy postepowań z danymi osobowymi.
- Certyfikacja– odznaka poprawności działania z danymi osobowymi.
- Organ nadzorczy i jego uprawnienia.
- Kontrola u administratora danych lub podmiotu przetwarzającego.
- Odpowiedzialność odszkodowawcza w związku z naruszeniem praw o ochronie danych osobowych.
- Administracyjne kary pieniężne.
- Skorzystaj z naszych usług.
1. UWAGI WSTĘPNE
Niniejsze opracowanie zostało przygotowane z myślą o wprowadzeniu przedsiębiorców do zagadnień związanych z wejściem w życie Rozporządzenia Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwane dalej „RODO”). Z uwagi na opracowanie zawiera główne uwagi i wytyczne do procesu aktualizacji procedur względem dotychczas obowiązujących zasad przetwarzania danych osobowych wynikających m.in. z Ustawy z dnia 29 sierpnia 1997 r. o Ochronie Danych Osobowych (Dz.U. 1997 nr 133 poz. 883) oraz aktów wykonawczych.
Kolorem niebieskim zaznaczone zostały porównania z obecnym stanem – ustawą o ochronie danych osobowych.
Z uwag w kolorze zielonym dowiesz się co możesz zrobić, aby spełnić wymogi z RODO.
Na początku kilka uwag dla lepszego zrozumienia celu nowych regulacji.
2. PODSTAWY PRAWNE ZMIAN
Na zapewnienie spełnienia wymagań z Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE2 (RODO) administratorzy danych i podmioty przetwarzające mają czas do 25 maja 2018 r.
RODO stosowane jest wprost w polskim porządku prawnym i dotyczyć będzie każdego przedsiębiorcy oferującego swoje produkty lub usługi osobom fizycznym w całej Unii Europejskiej lub przetwarzające ich dane osobowe w jakimkolwiek innym celu. Polska jednak ma możliwość doprecyzowania kilku zagadnień w odrębnej ustawie. Niniejsze opracowanie zawiera także opis wstępnych wymogów z projektowanej ustawy o ochronie danych osobowych.
Celem RODO jest ochrona praw i wolności ludzi oraz jednolite stosowanie zasad ochrony danych osobowych w całej Unii Europejskiej. Z punktu widzenia dotychczasowych regulacji, RODO nie zmienia w sposób istotny podstaw prawnych czy ogólnych zasad przetwarzania danych osobowych. Zmiana dotyczy natomiast szczególnych obowiązków Administratorów wynikających ze zwiększenia ich samodzielności w przetwarzaniu danych ale i wynikającej z tego tytułu odpowiedzialności, w przypadku stwierdzenia naruszeń.
Głównym argumentem mającym przekonać przedsiębiorców do przetwarzania danych zgodnie z prawem jest wprowadzenie możliwości nakładania wysokich kar na nierzetelnych Administratorów, w wysokości nawet do 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa. I to przede wszystkim ten ostatni argument przemawia do wyobraźni wśród klientów, z którymi współpracuje Kancelaria i stanowi jednocześnie główny impuls do zweryfikowania posiadanych procedur i dokumentacji.
Wartą odnotowania na wstępie kwestią jest również to, iż samo Rozporządzenie (RODO) nie podaje konkretnych rozwiązań czy też minimalnych standardów technicznych, których wprowadzenie potwierdzi należyte zabezpieczenie danych czy też ogólnie – przestrzeganie obowiązujących norm. Aktualnie brakuje również jednoznacznych „wytycznych” jak w praktyce postanowienia RODO będą egzekwowane przez organy administracji publicznej. W tym zakresie każdy przedsiębiorca – Administrator, będzie musiał we własnym zakresie wprowadzić rozwiązania adekwatne do posiadanych struktur organizacyjnych oraz sposobu pozyskiwania i przetwarzania danych osobowych. Stąd też tak istotnym elementem jest przeprowadzenie wstępnej analizy stosowanych rozwiązań i zabezpieczeń w przedsiębiorstwie, a następnie dopasowanie ich do wymogów stawianych przez Rozporządzenie i zawartych w nim wytycznych.
3. OGÓLNE ZASADY PRZETWARZANIA DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE WEDŁUG RODO.
Zgodnie z aktualnym brzmienie Rozporządzenia, dane osobowe muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i przejrzyście,
- zbierane i przechowywane w konkretnych prawnie uzasadnionych celach,
- ograniczone do potrzebnego ze względu na cel minimum,
- uaktualniane jeżeli stały się nieprawidłowe,
Co uległo zmianie?
Zasady są podobne do tych obecnie obowiązujących, z tą różnicą, że według RODO to na administratorze danych ciąży wyraźny obowiązek wykazania, że przetwarza dane zgodnie z prawem (ciężar dowodu).
Na co zwrócić uwagę?
Należy umieć wykazać, że powyższe zasady są spełnione, co wiąże się z koniecznością posiadania dokumentacji związanej z operacjami przetwarzania danych, jak również stosowanymi zabezpieczeniami
4. DANE OSOBOWE WEDŁUG RODO
Dane osobowe to informacje, dzięki którym można zidentyfikować daną osobę fizyczną. Najczęściej to zbiór cech, nie pojedyncza cecha (choć nie zawsze, bo np. numer PESEL sam w sobie jest daną osobową). Do danych osobowych należy zaliczyć:
– imię i nazwisko,
– numer identyfikacyjny,
– dane o lokalizacji,
– identyfikator internetowy (adresy IP, identyfikatory plików cookie)
– jeden lub kilka czynników określających łącznie: fizyczność, fizjologię, genetykę, psychikę, płaszczyznę ekonomiczną, kulturową lub społeczną osoby fizycznej.
Co uległo zmianie?
W porównaniu do obecnej ustawy zakres danych osobowych poszerzył się wprost o dane o lokalizacji i identyfikator internetowy. Jednocześnie powyższy katalog ma charakter „otwarty”, a co za tym idzie danymi osobowymi mogą być inne dane umożliwiające identyfikację określonej osoby fizycznej. Zgodnie bowiem z pkt 26 Preambuły RODO:
„Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.”
Na co zwrócić uwagę?
W praktycznym ujęciu wprowadzona regulacja nie zmienia istotnie sposobu definiowania danych osobowych, a jednie stanowi doprecyzowanie zasad wynikających z aktualnej Ustawy o ochronie danych osobowych.
5. W JAKI SPOSÓB DANE SĄ PRZETWARZANE?
„Przetwarzanie” oznacza wszelkie operację lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, tj.: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Rodzajów przetwarzania danych osobowych jest zatem bardzo dużo. W ramach przygotowywania procedur zabezpieczających omawiane dane, pomyśl z jakimi masz do czynienia w swojej działalności. Czy przetwarzasz je za pomocą:
- systemów informatycznych, czy w sposób
- niezautomatyzowany (np. segregator z umowami z klientami).
To będzie punkt wyjściowy do analizy jak je chronić. Konkretne formy przetwarzania niosą bowiem określone ryzyko naruszenia praw i wolności osoby, której dotyczą te dane osobowe.
6. CZY WYKORZYSTUJESZ TZW. „DANE SZCZEGÓLNEJ KATEGORII”?
Przepisy prawa chronią w sposób szczególny niektóre dane osobowe. RODO zachowuje podział danych osobowych zwykłych i tych chronionych szczególnie.
Do danych szczególnej kategorii należą:
- pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- przynależność do związków zawodowych,
- przekonania religijne lub światopoglądowe,
- dane dotyczące seksualności lub orientacji seksualnej,
- dane biometryczne,
- dane dotyczące zdrowia,
- dane genetyczne.
Co uległo zmianie?
W RODO pojawia się nowa definicja danych genetycznych i biometrycznych (identyfikacja np. przez czytniki linii papilarnych lub obrazu siatkówki oka).
RODO usuwa wymóg zgody na piśmie dla przetwarzania takich danych, a wymaga tylko wyraźnej zgody (może być elektroniczna).
Przy przetwarzaniu danych szczególnej kategorii na dużą skalę RODO wprowadza obowiązek powołania Inspektora Ochrony Danych oraz przeprowadzenia tzw. oceny skutków dla ochrony danych.
Ponadto według RODO informacje o skazaniach, mandatach karnych, innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym nie są traktowane jako dane szczególnej kategorii. Pamiętaj jednak, że od pracowników możesz żądać potwierdzeń niekaralności tylko gdy istnieje podstawa prawna do tego (np. na danym stanowisku potrzebna jest taka cecha i wynika to z przepisów prawa).
Na co zwrócić uwagę?
Prawidłowa analiza rodzajów przetwarzanych danych osobowych pozwoli na prawidłową ocenę ryzyka i zagrożeń, a w konsekwencji umożliwi wdrożenie odpowiednich procedur – w tym stosownej dokumentacji w ramach prowadzonej działalności.
7. PODSTAWA PRZETWARZANIA DANYCH OSOBOWYCH.
Zgodnie z RODO, przetwarzanie jest zgodne z prawem gdy:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w konkretnym celu;
- jest niezbędne do:
- wykonania umowy lub spełnienia żądań osoby, której dane dotyczą;
- wypełnienia obowiązku prawnego ciążącego na administratorze;
- ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
Co uległo zmianie?
W porównaniu do obecnej ustawy, RODO uelastycznia warunki uzyskania zgody oraz rozszerza przesłanki uzasadnionego interesu administratora do wielu jego interesów gospodarczych (np. zapobieganie oszustwom, marketing bezpośredni, przesyłanie danych w ramach grupy kapitałowej, zapewnienia bezpieczeństwa sieci informatycznej), czyni jednak ograniczenie w postaci nadrzędności interesu podmiotu danych osobowych.
Co należy zrobić?
Przeanalizuj jakie dane przetwarzasz na podstawie jakich przesłanek z pkt 1 i 2 a)-e).
Nazwij jakie konkretnie dane musisz zebrać wykonując umowę na rzecz klienta, opisz w jaki sposób zbierasz zgody i czy wykorzystujesz dane dla swoich celów, np. marketingu bezpośredniego.
Ustalenie powyższego pozwoli w sposób precyzyjny dopasować i wdrożyć stosowne procedury zbierania, a następnie przechowywania pozyskanych oświadczeń – jednego z głównych elementów pozwalających na późniejsze
operowanie na danych osobowych zgodnie z prawem. Należy mieć również na względzie, że RODO nie wyklucza zastosowania innych przepisów obowiązujących w polskim porządku prawnym, regulujących poszczególne kwestie związane z prowadzeniem działalności gospodarczej. W przypadku wspomnianego prowadzenia marketingu bezpośredniego należy mieć na uwadze chociażby art. 172 Prawa telekomunikacyjnego, zgodnie z którym na działania marketingowe świadczone przez urządzenia telekomunikacyjne musi zostać pozyskana zgoda i to niezależnie od postanowień RODO. W świetle powyższego zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Brak dochowania wspomnianemu obowiązkowi może skutkować nałożeniem stosownej kary (do 3% przychodu).
8. ZASADY POZYSKANIA ZGODY NA PRZETWARZANIE DANYCH OSOBOWYCH WEDŁUG RODO
Według RODO, aby prawidłowo uzyskać zgodę na przetwarzanie danych osobowych klienta należy spełnić konkretne obowiązki informacyjne względem niego. Tym samym należy:
- W oświadczeniu klienta zawrzeć konkretny cel, dla którego potrzebne jest przetwarzanie jego danych osobowych.
- Jeżeli klient akceptuje także inne zgody, zgoda na przetwarzanie danych osobowych musi być wyodrębniona i nie może łączyć się z innymi zgodami czy oświadczeniami.
- Oświadczenie musi być jasne i napisane prostym językiem.
- Należy poinformować klienta o jego uprawnieniach dotyczących wyrażania zgody, tj. o możliwości cofnięcia zgody itp. (o uprawnieniach klienta w dalszej części opracowania).
- Zgoda musi być dobrowolna, co oznacza, że nie można jej uzależniać od wykonania umowy (dane osobowe niezbędne do wykonania umowy administrator może zbierać bez zgody, mowa więc o innych dodatkowych danych), jak również klient z zasady musi mieć możliwość wybrania negatywnej opcji.
Co uległo zmianie?
W porównaniu do obecnej ustawy RODO przewiduje, że zgodę na przetwarzanie danych osobowych można uzyskać nie tylko w formie pisemnej, ale i elektronicznej (pod warunkiem formy tekstowej, np. na stronie internetowej przez kliknięcie, w komunikacji elektronicznej).
Co należy zrobić?
Przeanalizuj proces uzyskiwania zgód od klientów:
- Czy treść oświadczenia jest zgodna z RODO (m.in. w/w cechami)?
- W jaki sposób pozyskujesz zgody, w jakiej formie i gdzie je przechowujesz?
(WAŻNE !) Pamiętaj także, że to na Administratorze ciąży obowiązek udowodnienia, że uzyskał i procesuje zgody legalnie, warto w tym celu wprowadzić rejestr zgód i wzbogacić tabelę w funkcje odzwierciedlające uprawnienia klientów (żądanie usunięcia, ograniczenie przetwarzania, dostęp do danych itd.), informację komu i w jaki sposób udostępniono te dane. Zmiana w zakresie pozyskiwania zgód z praktycznego punktu widzenia ma istotne znaczenie dla wszelkich podmiotów zbierających dane klientów (lub potencjalnych klientów) w ramach formularzy stosowanych na stronach internetowych. Wobec wejścia w życie zasad RODO, za konieczne należy uznać zatem weryfikację dotychczas stosowanych wzorów pod kątem właśnie spełniania wszystkich obowiązków informacyjnych wobec odbiorcy końcowego. Konsekwencją niezachowania w/w obowiązków może być uznanie, że Administrator przetwarza dane osobowe
Problematyka zgód pozyskanych przed wejściem w życie RODO.
Warte odnotowania jest również okoliczność, że dotychczas pozyskane przez Administratora zgody pozostają w mocy, o ile spełniony został obowiązek informacyjny o prawie wglądu i możliwości wycofania zgody w każdym momencie. Powyższe stanowisko zostało zresztą potwierdzone przez GIODO w ramach publikowanych wytycznych (vide: www.giodo.gov.pl).
Poleca się także wyposażenie takiej bazy w możliwość sporządzenia szybkiego elektronicznego wyciągu z danych określonej osoby (w razie zapytania klienta lub organu nadzoru o dane osobowe). Z doświadczenia Kancelarii wynika bowiem, że klienci mają bardzo duży problem z późniejszym odtworzeniem uzyskanych zgód, które bardzo często są rozproszone w dokumentacji znajdującej się w różnych działach czy u różnych osób, a nawet zostały zarchiwizowane. Stąd też wprowadzenie rejestru – w zależności od skali i rodzaju prowadzonej działalności gospodarczej, może być rozwiązaniem istotnie usprawniającym przetwarzanie danych osobowych zgodnie z prawem oraz generowanie wyciągów.
Niezależnie od powyższego należy wprowadzić także przejrzyste polityki kto i w jaki sposób zbiera dane do rejestru, dba o jego kompletność (z zastrzeżeniem, że może być to osoba, która ma takie szerokie uprawnienia do zapoznawania się z danymi osobowymi, np. powołany Inspektor Ochrony Danych).
9. CZY WIESZ JAKIE INFORMACJE I W JAKIEJ FORMIE POWINIENEŚ PRZEKAZAĆ KLIENTOWI O JEGO DANYCH OSOBOWYCH?
RODO nakłada na administratorów danych obowiązek informowania osoby, od której zbierają dane o szeregu okolicznościach dotyczących danych osobowych, m.in. dane administratora oraz inspektora danych osobowych, cel przetwarzania, informacje o odbiorcach danych, o przekazaniu do państwa trzeciego – poza Unię Europejską, okres przechowywania danych, informacje o uprawnieniach osoby w zakresie danych osobowych, prawie wniesienia skargi do organu nadzoru, o profilowaniu.
Zakres informacji uzależniony jest od tego, czy zebrane dane pochodzą od osoby, której dotyczą, czy z innego źródła). Jeżeli dane nie pochodzą od osoby, której dotyczą, obowiązek informacyjny jest szerszy. Należy w tym przypadku zachować terminy informacyjne.
Informacji udziela się na piśmie, elektronicznie lub ustnie (tu po sprawdzeniu tożsamości), wg żądania tej osoby. Informacje są udzielane bez pobierania opłat.
Co uległo zmianie?
Szczegółowy zakres obowiązków informacyjnych został zawarty w art. 13 i 14 RODO. Tak szerokich obowiązków informacyjnych obecna ustawa o ochronie danych osobowych nie przewiduje (treść art. 13 regulującego obowiązek informacyjny w przypadku zbierania danych od osoby, której dane dotyczą, znajduje się na końcu niniejszego punktu).
Co należy zrobić?
Powstała konieczność przejrzenia dostępnych źródeł (dokumentacja do umów, oświadczenia, strona internetowa itp.) czy wymagane informacje są już zawarte, czy trzeba je uzupełnić. Takie informacje mogą być ostatecznie zawarte w różnej formie (w zależności od ich rodzaju i charakteru zawieranej umowy z klientem): na stronie internetowej (np. dane administratora), w regulaminie usług elektronicznych, w oświadczeniach o wyrażeniu zgody na przetwarzanie, w informacjach do umowy wysyłanych do klienta itd. W tym zakresie postanowienia art. 13 i 14 RODO można traktować jako wyraźne wytyczne określające treść klauzul jakie winny znaleźć się w stosownej dokumentacji czy oświadczeniach.
Pamiętaj, że to ty jako administrator danych musisz udowodnić, że spełniłeś stosowny obowiązek informacyjny !
Artykuł 13
Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą
1 Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania; 4.5.2016 L 119/40 Dziennik Urzędowy Unii Europejskiej PL
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
2 Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
3 Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2. 4.Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.
10. UDOSTĘPNIANIE DANYCH OSOBIE, KTÓREJ DOTYCZĄ (WYCIĄG ZE ZBIORU DANYCH).
Każda osoba, której dane są przetwarzane ma prawo dostępu do nich oraz uzyskania ich kopii.
Co uległo zmianie?
W porównaniu do obecnej ustawy zakres dostępowy jest szerszy, przewidziano także jako nowość możliwość uzyskania bezpłatnej kopii danych przetwarzanych.
Co należy zrobić?
(WAŻNE!) Dla sprawnego realizowania takiego obowiązku ważne jest prowadzenie rejestru danych osobowych z podziałem na określone funkcje, w tym możliwości wygenerowania wyciągu z takich danych dotyczących określonej osoby. Dla stworzenia takiego rejestru można posiłkować się kategoriami z Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych. Należy przy tym pamiętać, żeby przekazując dane zweryfikować tożsamość osoby żądającej.
W praktyce prawo do otrzymania bezpłatnej kopii przetwarzanych danych łączy się z kolejnym wyraźnym prawem tj. do „przenoszenia danych”. W praktyce prawo do przenoszenia może powodować istotne problemy natury technicznej, na które przedsiębiorca powinien być przygotowany. Chodzi przede wszystkim o konieczność udostępniania takich danych w ustrukturyzowanym oraz powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych oraz możliwość przekazywania tych danych innemu administratorowi. Należy zatem wdrożyć system
umożliwiający szybką i bezpłatną realizację uprawnień wynikających z udostępniania przetwarzanych danych.
W tym momencie należy zwrócić uwagę również na okoliczność, iż prawo uzyskiwania informacji czy „wyciągów” otwiera drogę również do pozostałych uprawnień tzw. „korekcyjnych” – sprzeciwu, sprostowania, usunięcia, ograniczenia przetwarzania.
11. UPRAWNIENIA KOREKCYJNE – CZY JESTEŚ PRZYGOTOWANY DO ICH REALIZACJI?
Co uległo zmianie?
RODO przewiduje kilka uprawnień osób, których dane osobowe dotyczą celem wpływania na nie (obok uprawnienia dostępu i informacyjnego), tj.
- Prawo do sprostowania danych (poprawienia nieprawidłowych i uzupełnienia niekompletnych);
- Prawo do usunięcia danych – w tym cofnięcie zgody oraz prawo do bycia zapomnianym (to uprawnienie zostało wprowadzone jako nowe i może być realizowane w przypadku upublicznienia danych – więcej o nim w osobnym artykule na stronie Kancelarii);
- Prawo do sprzeciwu wobec przetwarzania danych (należy wykazać szczególną sytuację; dotyczy to szczególnie marketingu bezpośredniego i profilowania);
- Prawo do ograniczenia przetwarzania (oznacza zawężenie przetwarzania do przechowywania, w porównaniu do obecnej ustawy RODO przewidziało zamknięty katalog sytuacji, w których można tego żądać);
- Prawo do przenoszenia danych (jest to nowe uprawnienie wg RODO, które zakłada żądanie osoby przesłania jej danych do innego administratora bez pośrednictwa tej osoby).
(WAŻNE!) Administrator danych ma obowiązek powiadomić osobę żądającą o podjętych działaniach w terminie do miesiąca, przy czym powinien zachować formę powiadomienia taką jak forma żądania (np. elektroniczna). Należy także pamiętać, że realizacja w/w uprawnień wiąże się często z powiadomieniem podmiotów przetwarzających dane na zlecenie administratora czy usunięcie danych z miejsc upublicznienia. Administrator wykonuje to na swój koszt.
Co należy zrobić?
Warto wobec tego przygotować firmowe wzory pism dotyczące realizacji takich uprawnień.
Dla realizacji tego obowiązku należy wyposażyć tworzony/posiadany rejestr danych osobowych w określone funkcjonalności. Ponadto, należy poinformować osobę, od której zbierane są dane o dostępnych uprawnieniach. Administrator przy tym musi pomagać takiej osobie w realizowaniu uprawnień, czyli zachować jasność przekazu i terminowość wykonania żądań.
Przy okazji przygotowywania się na realizację ww. uprawnień należy wziąć pod uwagę czy administrator danych ma odpowiednie i przeszkolone zasoby ludzkie do wykonywania takich zadań.
12. PROBLEMATYKA PROFILOWANIA. JAK ZROBIĆ TO ZGODNIE Z PRAWEM?
Profilowanie jest procesem zautomatyzowanego przetwarzania danych, w którym zapada decyzja wywołująca wobec osoby skutki określone skutki, mówiąc prościej jest to zbieranie danych o osobie na podstawie jej zachowań do prognozy jej dalszych zachowań lub poglądów (w szczególności w ramach działalności w Internecie).
RODO przewidziało jednak szereg odstępstw od zakazu profilowania (profilowanie jest konieczne do realizacji umowy, ma podstawy w przepisach prawa i osoba wyraziła na nie zgodę
Co uległo zmianie?
Dotychczas proces profilowania był uregulowany szczątkowo.
Co należy zrobić?
Na administratorze ciąży obowiązek wskazania podmiotowi, że wykorzystuje profilowanie, jakie są jego konsekwencje i czy dzieje się to automatycznie, a w przypadku przetwarzania danych szczególnej kategorii należy przekazać także informacje o znaczeniu i przewidywanych konsekwencjach dla osoby, której dane te dotyczą. Osoba, której dotyczy profilowanie może także swobodnie wyrazić sprzeciw na tę czynność.
Z profilowaniem mamy do czynienia najczęściej w celu przygotowania zindywidualizowanej oferty handlowej w branży e-commerce.
Administrator danych musi zatem zadbać o wykonanie obowiązków informacyjnych (być może odpowiednie będzie uzupełnienie polityki Cookies) oraz pozwolić wyrazić zgodę / sprzeciw na profilowanie (osobne okienko do zaznaczenia zgody lub jej braku, umieszczenie tego w regulaminie i uzależnienie od tego realizacji sprzedaży jest niedozwolone).
13. CZY PRZETWARZASZ DANE OSOBOWE OSÓB PONIŻEJ 13 ROKU ŻYCIA?
Jeżeli świadczysz usługi/sprzedajesz produkty na odległość (drogą elektroniczną) i kierujesz swoją ofertę bezpośrednio do osób poniżej 13 roku życia, nowością wg RODO jest uzależnianie możliwości przetwarzania takich danych od zgody wyrażonej lub zaaprobowanej przez osobę sprawującą władzę rodzicielską lub opiekę nad dzieckiem.
Co uległo zmianie?
Aktualnie obowiązujące przepisy nie zawierają wymogów odnośnie do przetwarzania danych osobowych dzieci.
Co należy zrobić?
Pomyśl zatem jak możesz sprostać temu wymogowi, wykorzystując dostępną technologię. Twoim celem jest zweryfikowanie, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała. Dla przeprowadzenia wiarygodnej weryfikacji potrzebne będzie zebranie danych także rodzica. Warto także pamiętać, że dla dzieci powyżej 13 roku życia oświadczenie o zgodzie powinno być napisane językiem dla nich zrozumiałym. Regulaminy usług i sklepów internetowych powinny być uzupełnione o warunki korzystania dzieci.
14. ANALIZA RYZYKA NARUSZENIA DANYCH. JAK TO ZROBIĆ?
RODO wprowadza obowiązek szacowania ryzyka przetwarzania danych oraz oceny skutków ich przetwarzania (potencjalnych szkód). Ryzyko to należy ocenić pod względem prawdopodobieństwa. Stanowi to indywidualne podejście do każdego przedsiębiorcy, który sam powinien ocenić co będzie najlepsze dla spełnienia zasad ochrony danych osobowych w jego działalności (jest to największa nowość RODO, gdyż wcześniejsza ustawa narzucała rozwiązanie jednolite dla wszystkich przedsiębiorców i danych branż).
Takim ryzykiem może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie, nieuprawniony dostęp do danych. Celem dokonania analizy ryzyka jest dobranie odpowiednich (wynikających z tego ryzyka) środków technicznych i organizacyjnych chroniących dane. Mówimy tu o przystosowaniu dokumentacji, wdrożenia procesu biznesowego i faktycznych technicznych rozwiązań zabezpieczających.
Jako skutki naruszeń ochrony danych osobowych można przykładowo wymienić:
- konsekwencją wystąpienia zagrożenia jest naruszenie przepisów karnych lub przepisów innej kategorii,
- wystąpienie zagrożenia spowoduje straty finansowe w wysokości X,
- wystąpienie zagrożenia ma negatywny wpływ na wizerunek podmiotu dopuszczającego się naruszenia.
Co należy zrobić?
Celem administratora jest dokonanie analizy i przygotowanie protokołu z szacowania ryzyka. Dokument ten powinien być regularnie przeglądany i aktualizowany (ocena ryzyka jest płynnym i ciągłym procesem).
Jeżeli administrator stwierdzi, że pomimo zastosowania metod zabezpieczających istnieje duże ryzyko naruszenia danych, przed ich przetwarzaniem powinien skonsultować się z organem nadzorczym.
15. JAKIE ZABEZPIECZENIA OCHRONY DANYCH OSOBOWYCH ZASTOSOWAĆ?
Zastosowanie konkretnego rodzaju zabezpieczeń ochrony danych osobowych zależy od kilku czynników: rezultatów oceny ryzyka w przedsiębiorstwie, charakteru działalności i rodzaju przetwarzanych danych, środków osobowych i finansowych jakie możemy na ten cel przeznaczyć.
Każdy administrator musi zatem przemyśleć czym się posłużyć, aby zachować zgodność z RODO. W niniejszym opracowaniu podajemy kilka rozwiązań do wykorzystania.
- Stosowanie pseudonimizacji danych osobowych (szyfrowanie kluczem, tokenizacja, skracanie).
- Regulowanie dostępu do danych pracowników przez:
- Wprowadzanie haseł do komputerów oraz wymuszanie ich zmiany raz w miesiącu,
- Skanowanie ze wspólnego skanera do określonego osobistego folderu,
- Wykonywanie ksera na wspólnym urządzeniu po wprowadzeniu kodu/karty z chip; drukowanie dokumentów z danymi bezpiecznym profilem poprzez podejście do drukarki i wpisanie kodu ustalonego przy wybraniu w komputerze opcji drukowania oraz niepozostawianie dokumentów wydrukowanych w drukarce,
- Niszczenie niepotrzebnych dokumentów z danymi w niszczarkach, niezostawianie ich na biurku,
- Wyposażenie pracowników w zamykane na klucz szafy z dokumentami i osobiste,
- Uregulowanie dostępów do zasobów ze wspólnego serwera wg nadanych upoważnień (prowadzenie rejestru upoważnień z zasobami, do których pracownik ma dostęp,
- Szkolenie pracowników z zachowania reguł ochrony danych osobowych.
- Wysyłanie plików z danymi osobowymi (np. formularze rejestracyjnych, czy zmiany danych) poprzez szyfrowanie hasłem i dostarczanie hasła inną drogą, np. SMS.
- Przekazywanie korespondencji (z danymi) do wysłania innym pracownikom
- Wykorzystywanie specjalnie przystosowanego do tego oprogramowania (na rynku jest kilka propozycji), umożliwiające np. analizowanie i powiadamianie o próbach ataku na system informatyczny.
- Dbałość o podpisanie przez pracowników oświadczenia o zachowaniu tajemnicy (jeżeli stanowisko tego wymaga wg przepisów).
- Uregulowanie zasad przypominania hasła i loginu do internetowych kont (np. zakupowych), dla realizacji operacji finansowych wymagać autoryzacji kodu SMS.
- Prowadzenie szkoleń pracowników z ochrony danych osobowych – szkolenia online do przeczytania z wymaganym wysłaniem e-maila zwrotnego o zapoznaniu się lub szkoleń stacjonarnych, np. przez Inspektora ochrony danych osobowych powołanego w przedsiębiorstwie.
- Zadbanie o realizowanie obowiązków o zabezpieczeniu danych osobowych u kontrahentów, którzy na zlecenie administratora przetwarzają dane.
- Tworzenie back-upów danych (kopii zapasowych).
- Archiwizowanie dokumentów w miejscu do tego przeznaczonym (szafy metalowe zamykane na klucz) z wyznaczeniem dostępu określonych osób.
- Przeanalizowanie jaki dostawca usług zapewnia dostęp do poczty elektronicznej czy zewnętrznych serwerów (w jakim stopniu ma dostęp do danych, szczególnie przy hostingu współdzielonym).
- Sprawdzenie tożsamości klienta przez wgląd do dowodu osobistego, nie kserowanie go.
- Administrator powinien zadbać o szyfrowanie, np. przy użyciu protokołu SSL, danych przesyłanych przez sieć publiczną
- Dostęp do danych i operacje przetwarzania powinny być logowane, co oznacza, że administrator powinien mieć możliwość sporządzenia wyciągu z tego kto (jaki numer IP, kto konkretnie) je przeglądał.
- Dokumentacja sporządzona w celu opisania procesów ochrony danych osobowych w organizacji powinna być cyklicznie oceniana i aktualizowana do sytuacji biznesowe.
- Administrator może zbierać tylko te dane, które ze względu na cel przetwarzania są niezbędne (minimalizacja danych).
- Jednym ze sposobów udowodnienia, że administrator spełnia wymogi RODO jest przejście procesu certyfikacji (o czym poniżej).
- Ograniczenie liczby prób nieudanych logowań do systemu informatycznego.
16. REJESTR OPERACJI NA DANYCH OSOBOWYCH. ISTOTA, CEL, SPOSÓB REALIZACJI.
W rejestrze tym zamieszcza się wszystkie następujące informacje:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa
- Administratorzy rejestr czynności przetwarzania, a podmioty przetwarzające rejestr kategorii przetwarzania.
Co uległo zmianie?
W porównaniu do obecnej ustawy zakres danych umieszczanych w rejestrze jest szerszy. Z prowadzenia rejestru zostali zwolnieni administratorzy zatrudniający poniżej 250 osób (z wyjątkiem administratorów generujących duże ryzyko naruszeń, częstego przetwarzania i przetwarzania danych szczególnej kategorii).
Rejestr można prowadzić wyłącznie w wersji elektronicznej.
Co należy zrobić?
Opisać sposób prowadzenia rejestru w dokumentacji, wyznaczyć osobę odpowiedzialną za prowadzenie rejestru. Z uwagi na zindywidualizowany charakter rejestru, zależny od konkretnego przypadku wdrożona dokumentacja wraz z charaketrystyką procedur winny być przygotowane w sposób odpowiadający charakterystyce danego przedsiębiorstwa.
17. RAPORTOWANIE INCYDENTÓW NARUSZEŃ DANYCH OSOBOWYCH DO ORGANU NADZORU
Według RODO administratorzy nie mają już obowiązku zgłaszania zbioru danych osobowych organowi nadzoru. W zamian za to, obowiązkiem administratora zgodnie z treścią RODO jest prowadzenie dokumentacji wszystkich naruszeń ochrony danych osobowych wraz z okolicznościami, skutków tych naruszeń oraz podjętych działań zaradczych.
Co uległo zmianie?
Zgłaszanie zbioru danych zostało w RODO zastąpione 2 odrębnymi obowiązkami notyfikacyjnymi:
- Powiadomienie organu nadzoru o naruszeniu danych osobowych (chyba, że nie będzie ono skutkowało naruszeniem praw i wolności),
- Powiadomienie osób, których dotyczy naruszenie (jeżeli naruszenie może powodować duże prawdopodobieństwo ingerencji w prawa i wolności
Co należy zrobić?
Należy zatem stworzyć rejestr (np. tabelę) uwzględniającą ww. opisy i wyznaczyć osobę odpowiedzialną za jej prowadzenie. W dokumentacji dot. ochrony danych osobowych powinna znaleźć się informacja o zasadach prowadzenia rejestru naruszeń.
Zastanów się czy jesteś w stanie wykryć incydenty naruszeń w przedsiębiorstwie, należy również wyczulić pracowników na obowiązek raportowania naruszeń.
W przedsiębiorstwie należy także wyznaczyć proces powiadamiania i wyznaczyć osobę odpowiedzialną za to (można zlecić to np. prawnikowi). Warto przygotować wzory pism na tę okoliczność.
18. UMOWA O POWIERZENIE DANYCH OSOBOWYCH WEDŁUG RODO
Zgodnie z RODO to przetwarzający dane został obciążony bezpośrednio obowiązkami: prowadzenia dokumentacji przetwarzania, współpracy z organem nadzoru, zapewnienia bezpieczeństwa przetwarzania, zgłaszania naruszeń, wyznaczania inspektora ochrony danych osobowych.
Zgodnie z art. 28 pkt 1 RODO:
„1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.”
Co uległo zmianie?
W porównaniu do obecnej ustawy RODO wymaga większej szczegółowości w umowach o powierzenie danych osobowych. W tym kontekście RODO można uznać raczej za uaktualnienie i uszczegółowienie dotychczasowych postanowień i regulacji niż istotną zmianę zasad powierzania przetwarzania danych osobowych podmiotom trzecim.
Co należy zmienić?
Jeżeli jesteś podmiotem przetwarzającym dane na zlecenie administratora (np. podwykonawcą, administratorem serwera itd), zadbaj o realizację tych obowiązków, gdyż na Tobie bezpośrednio spoczywa odpowiedzialność i możliwość nałożenia kar przez organ nadzoru. Jeżeli z kolei powierzasz przetwarzanie danych kolejnemu kontrahentowi, to wymagana jest zgoda pisemna administratora. Podmiot przetwarzający jest związany poleceniami administratora w zakresie przetwarzania powierzonych mu danych osobowych.
Przeanalizuj umowę o powierzeniu danych (przy usługach outsource`owanych), które posiadasz i sprawdź czy zobowiązujesz kontrahenta do odpowiednich zabezpieczeń przed naruszeniami danych osobowych, czy zawarłeś obowiązki informacyjne,
Umowa o powierzeniu danych powinna być zawarta na piśmie. Powinna określać:
- przedmiot i czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj danych osobowych,
- kategorie osób, których dane dotyczą,
- obowiązki i prawa administratora, a także
- obowiązki podmiotu przetwarzającego.
Warto jednocześnie odnotować, iż zgodnie z art. 28 pkt 10 RODO:
„Bez uszczerbku dla art. 82, 83 i 84, jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.”
19. OCHRONA DANYCH OSOBOWYCH NA ETAPIE PROJEKTOWANIA ROZWIĄZAŃ BIZNESOWYCH.
RODO wymaga, aby ochrona danych osobowych była brana pod uwagę już na etapie wdrażania jakiegokolwiek nowego rozwiązania w przedsiębiorstwie. Osoba, która ma wiedzę na temat danych osobowych (lub np. prawnik z zewnątrz) była zaangażowana w nowy projekt i oceniła go przez pryzmat możliwych naruszeń danych osobowych.
Administrator musi także zakładać ochronę danych jako domyślne ustawienie każdego programu czy projektu.
Co uległo zmianie?
W dotychczasowych przepisach powyższe zasady były tylko pożądaną praktyką, ustawa o nich nie wspominała.
20. RODO A PRAWO PRACY
RODO przewidziało możliwość zmian w prawie pracy każdego państwa pod względem zapewniania zgodności z RODO.
Co uległo zmianie?
Zmieni się zakres danych, które może żądać pracodawca. Nie będzie mógł wymagać imion rodziców Znikną z niego imiona rodziców oraz miejsce zamieszkania (zastąpi je adres do korespondencji), dodane natomiast zostaną dane takie jak: adres e-mail lub numer telefonu.
Zakazane wprost jest przetwarzanie danych wrażliwych (np. nałogów, stan zdrowia, seksualność).
Co należy zmienić?
W procesie rekrutacyjnym, jak również w późniejszym przetwarzaniu danych pracowników należy m.in. wziąć pod uwagę:
- a) zgodę zawieraną w CV kandydatów do pracy dotyczy procesu rekrutacyjnego na konkretne stanowisko pracy (chyba, że kandydat wyrazi zgodę na późniejsze wykorzystanie CV),
- b) CV kandydata przechowujemy tylko przez czas potrzebny do zakończenia procesu rekrutacyjnego na dane stanowisko,
- c) kontakt z byłym pracodawcą w celu uzyskania rekomendacji o kandydacie jest zakazany (to kandydat może dostarczyć wymagane opinie).
Administrator powinien przyjrzeć się procesowi rekrutacyjnemu oraz zaktualizować kwestionariusze osobowe podpisywane przez pracowników do umów o pracę lub same te umowy.
21. CZY MUSISZ POWOŁAĆ INSPEKTORA OCHRONY DANYCH OSOBOWYCH? A JEŻELI POWOŁAŁEŚ JUŻ ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI?
W RODO dotychczasowych administratorów danych osobowych (ABI) zastępują inspektorzy ochrony danych osobowych (IODO).
Powołanie IODO jest obowiązkowe w przypadku przetwarzania danych na dużą skalę, o dużym ryzyku naruszeń, jak i danych wrażliwych w dużym zakresie. Można powołać jednego IODO dla grupy przedsiębiorców, np. grupy kapitałowej. Funkcję IODO można również outsource`ować (np. prawnikowi).
O powołaniu IODO należy poinformować organ nadzoru i opublikować (np. na stronie internetowej) dane kontaktowe IODO.
Jeżeli powołałeś ABI – osoba taka, o ile na dzień 24 maja 2018 r. pełni tę funkcję staje się automatycznie inspektorem ochrony danych do dnia 1 września 2018 r. W tym zakresie może zaistnieć konieczność zmian umów o pracę.
22. PODSUMOWANIE: WDROŻENIE RODO KROK PO KROKU
Proces dostosowania do RODO można przeprowadzić w 3 etapach, zgodnie z wytycznymi i wskazówkami z niniejszego opracowania (sprawdza się do niezależnie od skali działalności, choć u małych przedsiębiorców proces będzie krótszy i nie wszystkie dokumenty tak rozbudowane):
- ANALIZA LUKI
Pierwszym etapem jest wykonanie analizy stanu obecnego w przedsiębiorstwie. Należy odpowiedzieć na pytania zaznaczone na czerwono w niniejszym opracowaniu. Wtedy będziemy wiedzieli ile czasu może zająć nam wdrożenie i zaplanować jego koszt, jak im zarezerwować zasoby ludzkie.
—————————————————————————————————————
- WDROŻENIE ZMIAN
Analiza ryzyka
Dokumenty do sprawdzenia (jeżeli istnieją) lub do stworzenia z uwzględnieniem skali działalności i wytycznych RODO, w tym:
- instrukcja zarządzania systemem informatycznym,
- polityka bezpieczeństwa informacji,
- umowa powierzenia przetwarzania danych i inne umowy, na mocy których kontrahent otrzymuje dostęp do danych,
- regulamin ochrony danych osobowych,
- polityka prywatności i polityka Cookies,
- upoważnienia dla pracowników,
- rejestr upoważnień, rejestr incydentów, rejestr rodzajów danych osobowych i lista osób z funkcjonalnościami,
- oświadczenia zgód na przetwarzanie,
- wzór protokołów audytowych z przeglądów,
- wzór obowiązków informacyjnych.
Należy również sprawdzić stronę internetową i proces zakupowy, jeżeli administrator prowadzi sprzedaż online. Uzupełnienia wymaga regulamin świadczenia usług drogą elektroniczną.
(WAŻNE) Dokumenty, aby spełniały swoją rolę, czyli kreowały pożądaną organizację w przedsiębiorstwie muszą być dostosowane do konkretnego podmiotu gospodarczego. Przy ewentualnej kontroli organu nadzoru sprawdzana będzie nie tylko dokumentacja, ale prawidłowość działania procesów i faktyczne bezpieczeństwo danych osobowych.
Analiza powinna objąć także proces rekrutacji i kwestionariusze do umowy o pracę.
Proszę zwrócić uwagę, że dokumenty lub ich zmiany powinny zostać formalnie przyjęte (uchwała organu zarządzającego lub podpis właściciela). Dokumenty te wraz z historią zmian i potwierdzeniem przyjęcia warto trzymać w jednym miejscu na wypadek kontroli lub wezwania organu nadzoru. Koniecznie trzeba także zapoznać z nowymi regulacjami pracowników (można wysłać e-mail z prośbą o zapoznanie się pracowników i odesłanie oświadczeń o zapoznaniu się).
Powołanie Inspektora Ochrony Danych Osobowych (IODO) jeżeli jest potrzebny.
Dostosowanie procesów biznesowych do nowych regulacji (planując nowe projekty brać pod uwagę zabezpieczenie danych osobowych).
—————————————————————————————————————
III. AUDYT POWDROŻENIOWY
Po wdrożeniu dla oceny jego skutków należy przeprowadzić audyt procesów. Pozwoli to nam wychwycić nieprawidłowości i dopracować zasady ochrony danych osobowych w naszym przedsiębiorstwie.
Po lekturze opracowania do tego momentu możemy stwierdzić co mamy, a czego nam brakuje do wdrożenia RODO.
W następnej części opracowania znajduje się kilka praktycznych informacji dotyczących ochrony danych osobowych w nowej regulacji, m.in. dotyczących kar za naruszenia, czy otrzymania certyfikatu dla podmiotu przestrzegającego przepis
23. KODEKSY POSTEPOWAŃ Z DANYMI OSOBOWYMI
RODO przewiduje, że możliwość wypracowania i zatwierdzenia przez organ nadzoru kodeksów dobrych praktyk działania z danymi osobowymi.
Wg projektowanej ustawy organ nadzoru udostępni na swojej stronie internetowej dobre praktyki przetwarzania danych osobowych, czyli rekomendowane środki techniczne i organizacyjne stosowane w celu zabezpieczenia.
Projekt dobrych praktyk będzie konsultowany z przedstawicielami danej branży.
Aktualnie nie udostępniono jeszcze żadnego kodeksu dobrych praktyk.
24. CERTYFIKACJA – ODZNAKA POPRAWNOŚCI DZIAŁANIA Z DANYMI OSOBOWYMI
Polska zgodnie z zaleceniem RODO ustanowi mechanizm certyfikacji oraz znaków jakości w zakresie ochrony danych osobowych mających świadczyć o zgodności z RODO operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające.
Mechanizmy certyfikacji i znaki jakości mogą być ustanowione do wykazania odpowiednich zabezpieczeń przez administratorów lub podmioty przetwarzające. Takie odznaczenia są mają także pozytywny wpływ na wizerunek administratora oraz zaufanie do jego usług/produktów.
Organem właściwym do złożenia wniosku o certyfikację jest Prezes Urzędu.
25. ORGAN NADZORCZY I JEGO UPRAWNIENIA
Dotychczasowy GIODO (Generalny Inspektor Ochrony Danych Osobowych) będzie nazywał się Prezes em Urzędu Ochrony Danych Osobowych.
Do Prezesa UODO można złożyć skargę na naruszenie ochrony danych osobowych, a już w toku sprawy Prezes UODO może zobowiązać administratora do ograniczenia przetwarzania danych osobowych.
Ze skargą mogą także wystąpić organizacje społeczne gdy przemawia za tym interes społeczny lub interes osoby, której prawa zostały naruszone.
Warto śledzić aktualności na stronie internetowej Prezesa UODO dotyczące zaleceń wprowadzania i egzekwowania ROD.
26. KONTROLA U ADMINISTRATORA DANYCH LUB PODMIOTU PRZETWARZAJĄCEGO
Prezes UODO prowadzi kontrole przestrzegania RODO u administratorów i podmiotów przetwarzających. Może to zrobić zgodnie z planem kontroli lub doraźnie na podstawie doniesień czy analiz.
Prezes Urzędu będzie uprawniony do przeprowadzania kontroli bez uprzedniego zawiadomienia o tym fakcie kontrolowanego.
W toku kontroli Prezes UODO może korzystać z pomocy funkcjonariuszy innych organów kontroli państwowej lub Policji.
Zasady kontroli i uprawnienia kontrolowanego są podobne jak kontrole innych organów, a szczegółowo opisuje to projektowana ustawa.
W przypadku kontroli aktualizuje się obowiązek administratora do ukazania kontrolującym książki kontroli.
27. ODPOWIEDZIALNOŚĆ ODSZKODOWAWCZA W ZWIĄZKU Z NARUSZENIEM PRAW O OCHRONIE DANYCH OSOBOWYCH
Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie.
Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
Odpowiedzialność odszkodowawcza uregulowana w RODO ma charakter autonomiczny , tzn. nie jest powiązana z przesłankami z kodeksu cywilnego. Wprowadzono także domniemanie winy administratora/podmiotu przetwarzające
Osoba, której prawa zostały naruszone może alternatywnie złożyć skargę do organu nadzoru lub wystąpić do sądu powszechnego.
28. ADMINISTRACYJNE KARY PIENIĘŻNE
Prezes UODO może w drodze decyzji nałożyć na administratora/podmiot przetwarzający kary pieniężne.
Wysokość kary różnicowana jest zależnie od kategorii naruszenia, wskazane zostały także czynniki, które Prezes UODO musi wziąć pod uwagę przy jej wymierzaniu.
Karę uiszcza się w ciągu 14 dni. Maksymalne pułapy kar w zależności od naruszenia to: 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa lub 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa. Obok kar pieniężnych mamy jeszcze upomnienia, ostrzeżenia, decyzje nakazowe, czy zawieszenie certyfikac
29. SKORZYSTAJ Z NASZYCH USŁUG.
W całym procesie wdrożenia niezbędna może okazać się pomoc profesjonalistów – prawnika czy porada dotycząca wykorzystania narzędzi informatycznych czy działania zabezpieczeń systemów informatycznych.
Kancelaria radcy prawnego Marcina Staniszewskiego może zająć się wdrożeniem RODO w Twoim przedsiębiorstwie od A do Z lub służyć pomocą na danym etapie.
Sporządzamy kompletną dokumentację i podpowiadamy jakie rozwiązania dla Twojej organizacji będą najbardziej optymalne (kosztowo i pod względem skuteczności ochrony). Prowadzimy także szkolenia dla Inspektorów ochrony danych osobowych jak i dla całych firm, które chcą zgłębić tematykę ochrony danych osobowych (zarówno stacjonarnie u klienta, jak i w formie zdalnej, np. e-learning).
Zapraszamy do współpracy.
Pytania i odpowiedzi
Wdrożenie RODO w przedsiębiorstwie to złożony proces, który zazwyczaj odbywa się przy udziale zewnętrznej kancelarii. Warto wskazać, że obowiązki wynikające z ochrony danych osobowych nie ograniczają się tylko do przygotowania dokumentacji wstępnej i ułożeniu procesów. Bardzo ważne jest również bieżące stosowanie procedur oraz przeprowadzanie cyklicznych szkoleń w tym zakresie.
Brzmienie przepisów dot. ochrony danych osobowych może budzić wiele wątpliwości, zwłaszcza po stronie osób, które na co dzień nie stosują prawa. Warto jednak wskazać, że dobre szkolenie RODO nie powinno ograniczać się do omówienia aspektów teoretycznych- ale powinno zawierać także element praktyczny – case study czy omówienie konkretnych orzeczeń UODO.
Przygotowanie dokumentacji RODO to jeden z podstawowych obowiązków administratora danych osobowych. Na dokumentację RODO składa się m.in. polityka prywatności, klauzule informacyjne czy umowy powierzenia przetwarzania danych osobowych. RODO nie wymaga jednak, aby administrator robił to osobiście- wręcz przeciwnie, praktyka rynkowa pokazuje, że przedsiębiorcy przy realizacji zadań z zakresu danych osobowych często korzystają ze wsparcia zewnętrznych kancelarii prawnych.
Prezes UODO ma możliwość nałożenia kar finansowych na administratorów danych lub podmioty przetwarzające. Wysokość takiej kary administracyjnej jest zróżnicowana i zależy od rodzaju naruszenia, skali, czasu trwania czy innych czynników, które Prezesa UODO musi wziąć pod uwagę podczas jej określania. Maksymalne limity kar zależą od rodzaju naruszenia i wynoszą: 10 mln euro lub do 2% rocznego obrotu przedsiębiorstwa oraz 20 mln euro lub do 4% rocznego obrotu. Oprócz kar finansowych, istnieją także inne środki egzekwowania, takie jak upomnienia, ostrzeżenia czy decyzje nakazujące.
Wdrożenie RODO w firmie niekoniecznie musi być trudne, aczkolwiek w większości przypadków jest dość czasochłonne i będzie wymagało udziału zewnętrznego specjalisty. Przede wszystkim w kontekście wdrożenia RODO warto wskazać, że w polskim systemie prawnym ten akt prawny funkcjonuje już kilka lat. Z tego względu przy wdrażaniu RODO trzeba nie tylko znać rozporządzenie, ale także (a może i przede wszystkim) orzeczenia sądów czy wytyczne UODO.