Kancelaria Adwokatów i Radców Prawnych
DĄBEK&KUSIK
Publikacje
RODO, jak przetwarzać dane osobowe po 25 maja 2018 roku czyli nowe obowiązki przedsiębiorców i innych administratorów danych
Kancelarie
Adwokatów i Radców Prawnych
DĄBEK & KUSIK
obsługa prawna firm i osób fizycznych
Lublin Hrubieszów Zamość Chełm Warszawa
Strona główna | O nas | Publikacje | Usługi | Kontakt
copyright by Magdalena Kusik-Balicka © 2017
22-500 Hrubieszów, ul. Rynek 36
adwokatka Magdalena Kusik–Balicka
radczyni prawna Małgorzata Dąbek
Kontakt z nami
Jesteśmy tutaj
Od dnia 25 maja 2018 roku przedsiębiorcy (zwani dalej administratorami) i inni administratorzy danych osobowych zobowiązani są do stosowania nowych zasad w zakresie ochrony danych osób fizycznych uregulowanych w Rozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – zwane dalej RODO). W związku z tym w każdej firmie należy dokonać weryfikacji dotychczas stosowanych środków technicznych i organizacyjnych celem dostosowania do zmienionych przepisów. Działania te mogą uchronić nas przed poważnymi konsekwencjami w postaci wysokich kar przewidzianych za naruszenie przepisów RODO ( najwyższa przewidziana sankcja to 20 000 000 EURO).
Przepisy RODO weszły w życie w maju 2016 roku, jednakże w związku z koniecznością wprowadzenia przez państwa członkowskie przepisów krajowych, zastosowanie mają od dnia 25 maja 2018 roku ( Polska do chwili obecnej nie uchwaliła stosownych przepisów i nie zanosi się, żeby do dnia 25 maja 2018 roku było to możliwe).
W ocenie ustawodawcy europejskiego, dotychczasowe zasady ochrony danych osób fizycznych, wobec rozwojem technologii informatycznej i powszechności dostępu do internetu, stały się niewystarczające.
Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych nakładała na podmioty przetwarzające dane osobowe obowiązek prowadzenia określonej dokumentacji oraz wprowadzania określonych zabezpieczeń, w tym zgłaszania zbiorów danych do Głównego Inspektora Ochrony Danych Osobowych ( od 25 maja 2018 roku nazwa tego organu będzie miała brzmienie Prezes Urzędu Ochrony Danych).
RODO, nie przewiduje obowiązku zgłaszania zbiorów danych, jednak nakłada na administratorów określone obowiązki w zakresie: dokumentacji, informacji i zabezpieczeń. W związku z tym, prowadzona dotychczas w firmach dokumentacja w zakresie ochrony danych osobowych będzie musiała zostać zmodyfikowana. Stosownie do treści art. 30 ust 5. RODO: Obowiązki, o których mowa w ust. 1 i 2 [prowadzenia rejestru czynności przetwarzania danych osobowych], nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10. Analiza treści tego przepisu sugeruje, że nie każdy przedsiębiorca musi prowadzić dokumentację w postaci rejestru czynności przetwarzania danych osobowych, jednak jest to wniosek złudny. Faktycznie podmioty małe ( zatrudniające poniżej 250 osób) mogą zrezygnować z rejestru o ile: przetwarzanie, którego dokonują, nie powoduje ryzyka naruszenia praw lub wolności osób, których dane dotyczą, ma charakter sporadyczny oraz nie obejmuje szczególnych kategorii danych osobowych ( art. 9 ust. 1RODO lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa art. 10 RODO). Jednakże w realiach współczesnego obiegu informacji udowodnienie ( a obowiązek dowodowy spoczywa na administratorze – zasada rozliczalności), iż przetwarzanie nie powoduje ryzyka naruszenia praw lub wolności osób, których dane dotyczą, będzie niezwykle trudne. W związku z tym bezpieczniejsze dla przedsiębiorcy jest prowadzenie dokumentacji, która pozwala na zminimalizowanie ryzyka naruszenia przepisów.
Zmianą, którą niewątpliwie należy postrzegać pozytywnie, jest to, iż RODO pozwala na indywidualne dostosowanie środków ( technicznych i organizacyjnych), do potrzeb administratora, z uwzględnieniem wstępującego u niego poziomu ryzyka naruszenia danych. Jest to niewątpliwie uelastycznienia zasad, przy czym każdy administrator jest zobligowany: uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia.
PODSUMOWUJĄC od 25 maja 2018 roku ADMINISTRATOR danych ( niektóre grupy podmiotów mogą zostać zwolnione np. w związku z tajemnicą zawodową):
1. musi prowadzi rejestr czynności przetwarzania danych osobowych w formie pisemnej, w tym elektronicznej, chyba, że spełni warunki wyłączające,
2. ma możliwość samodzielnego decydowania, jakie środki techniczne i organizacyjne wdrożyć, celem wywiązania się z obowiązku właściwego zabezpieczania danych osobowych ( np. poprzez polityki ochrony danych, ocena ryzyka, konsultacje ryzyka wysokiego, przeglądy, upoważnienia do przetwarzania danych),
3. ma nowe obowiązki informacyjne oraz musi wykazać, iż wykonał obowiązki informacyjne,
4. jeżeli nie ma innej podstawy prawnej musi posiadać zgodę, a przy danych wrażliwych wyraźną zgodę osoby fizycznej której dane dotyczą – nie ma obowiązku, żeby ta zgoda była na piśmie, ale z uwagi na wartość dowodową oraz zasadę rozliczności w wielu przypadkach winna być zalecana,
5. musi szybciej udzielić odpowiedzi na zapytanie dotyczące danych osobowych - 1 miesiąc, przy czym czas ten można przedłużyć o kolejne 2 miesiące z uwagi na skomplikowany charakter sprawy-musi jednak poinformować o przełożeniu i jego przyczynie,
6. ponosi odpowiedzialność odszkodowawczą ( za szkodę majątkową i niemajątkową ) oraz odpowiedzialność solidarną z innymi podmiotami, którym powierzył przetwarzanie danych,
7. jest ograniczony w działaniach z zakresu profilowania i automatycznych zgód – np. niedopuszczalne domyśle zaznaczenia ,
8. podejmuje działania w celu zapewnienia, by każda osoba, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora,
9. dokumentuje wszelkie przypadki naruszenia ochrony danych osobowych (art. 33 ust. 5 RODO) ,
10. w przypadku naruszenia danych, bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
11. wyznacza Inspektora Ochrony Danych Osobowych, o ile przepisy RODO tak stanowią ( art. 37 RODO) ,
12. nadto, jest zobowiązany:
a) do wydania, osobie której dane przetwarza jednej kopii danych podlegających przetwarzaniu,
b) sprostowania i uzupełnienia danych osobowych, ograniczenia przetwarzania, usunięcia danych ( „prawo do zapomnienia”), chyba, że zachodzą przypadki określone w RODO, w których dalsze przetwarzanie danych jest niezbędne) i równocześnie poinformowania o tym osobę, której dane dotyczą,
c) poinformowania o prawie sprzeciwu, co do przetwarzania danych, prawie do odwołania do sądu oraz o naruszeniu, jeżeli mogło spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Przestrzeganie zasad RODO z pewnością wiążę się z komplikacjami dla przedsiębiorcy, nie mniej jednak, jest w stanie ułatwić wykazywanie, iż brak jest podstaw do przypisania odpowiedzialności.
adwokat Magdalena Kusik-Balicka