Nowe zasady ochrony danych osobowych (RODO)

Nowe zasady ochrony danych osobowych (RODO)

Z dniem 25 maja 2018 roku zaczną obowiązywać przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych dotyczące przetwarzania danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (tzw. RODO). Dlatego też podmioty przetwarzające dane osobowe są zobligowane do wykonania we własnym zakresie szeregu nowych czynności i działań, tak aby uzyskiwanie oraz przetwarzanie danych osobowych było zgodne z prawem.

Poniżej przedstawiamy główne założenia nowego prawa w zakresie ochrony danych osobowych oraz opisujemy podstawowe obowiązki administratorów i osób przetwarzających dane osobowe.

W celu wyjaśnienia wskazujemy, że (definicje):

Administratorem danych osobowych jest podmiot, który decyduje o celach i sposobach przetwarzania danych. Innymi słowy, decyduje o tym, po co (cele) i jak (sposoby) wykorzystać dane osobowe.

Dane osobowe zaś to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (imię, nazwisko, email, nr telefonu, adres zamieszkania, data urodzenia, itp.).

Dane osobowe można przetwarzać wyłącznie wtedy, gdy istnieje tzw. podstawa prawna przetwarzania danych osobowych. W przypadku przedsiębiorców, typowymi podstawami przetwarzania danych zwykłych (takich jak: imię, nazwisko, adres, telefon, itp.) są:

  1. wyraźna zgoda osoby, której dane osobowe dotyczą,
  2. fakt, iż przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby,
  3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
  4. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Odnosząc się obowiązków administratorów danych osobowych w zakresie ich przetwarzania należy wskazać, iż:

Administratorzy danych osobowych zobowiązani będą do samodzielnej oceny ryzyka i dostosowania do niego odpowiednich środków ochronnych

Administrator będzie zobowiązany do samodzielnego wdrażania i aktualizowania odpowiednich środków technicznych i organizacyjnych w celu przetwarzania danych osobowych zgodnie z prawem i zobligowany będzie w razie kontroli takie działania wykazać.  Zastosowanie odpowiednich środków leży w gestii administratorów danych osobowych. Nowe przepisy, a w szczególności RODO nie wskazuje, jakie to mają być środki a jedynie podaje przykładowe rozwiązania w tym zakresie takie jak pseudonimizacja, szyfrowanie czy minimalizacja danych. Dodać należy, iż w myśl RODO mają być przetwarzane wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.

Administratorzy danych osobowych zobowiązani będą do stosowania rozbudowanych obowiązków informacyjnych wobec osób, których dane są przetwarzane.

RODO nakazuje, aby przy gromadzeniu danych przekazywać osobie, której dane dotyczą, szereg informacji takich jak:

  1. tożsamość administratora danych i jego dane kontaktowe,
  2. cel przetwarzania danych osobowych,
  3. kategorie przetwarzanych danych osobowych,
  4. informacje o odbiorcach danych osobowych,
  5. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
  6. informacje czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
  7. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu (profilowanie to szczególny rodzaj przetwarzania danych osobowych, który odbywa się w sposób automatyczny i ma na celu ocenę osoby fizycznej lub przewidywanie jej zachowania),
  8. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim,
  9. informacje o przysługującym prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  10. informacje o prawie do cofnięcia zgody w dowolnym momencie, jeżeli przetwarzanie odbywa się na podstawie zgody,
  11. informacje o prawie wniesienia skargi do organu nadzorczego,
  12. jeżeli dochodzi do tzw. zautomatyzowanego podejmowania decyzji lub profilowania – należy poinformować o tym fakcie oraz podać istotne informacje o zasadach automatycznego podejmowania decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Administrator danych osobowych ma obowiązek prowadzenia rejestru

Administrator będzie miał obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada.

Rejestr czynności nie jest obligatoryjny w przypadku przedsiębiorców zatrudniających mniej niż 250 osób, chyba że:

  1. przetwarzanie może naruszać prawa lub wolności osób, których dane dotyczą,
  2. przetwarzanie obejmuje szczególne kategorie danych lub dane dotyczące wyroków skazujących,
  3. przetwarzanie nie ma charakteru sporadycznego.

W rejestrze zamieszcza się między innymi takie informacje jak:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów,
  • cele przetwarzania,
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
  • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego,
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.
Administrator danych osobowych zobligowany będzie do zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – ma obowiązek zgłoszenia organowi nadzorczemu stwierdzenia naruszenia ochrony danych osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Administrator danych osobowych ma obowiązek zawiadomić osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych

W pewnych szczególnych przypadkach administrator danych osobowych jest zobowiązany do poinformowania o zauważonym naruszeniu danych osobowych również osobę, których dane dotyczą, gdy istnieje wysokie ryzyko, że zaistniały „wyciek danych osobowych” doprowadzi do naruszenia praw i wolności osoby, której dane dotyczą. Przykładowo, chodzi o sytuacje uzyskania nieuprawionego dostępu do loginów i haseł klientów systemu danych osobowych.

Administrator danych osobowych ma obowiązek dokonać oceny skutków planowanych operacji przetwarzania danych dla ochrony danych osobowych

Ocena skutków dla ochrony danych to proces mający opisać przetwarzanie, ocenić niezbędność i proporcjonalność przetwarzania oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych (oceniając ryzyko i ustalając środki mające mu zaradzić). Ocena skutków dla ochrony danych to narzędzia istotne dla celów rozliczalności, ponieważ pomagają administratorom nie tylko w przestrzeganiu wymogów RODO, ale również w wykazaniu, że podjęto odpowiednie środki w celu zapewnienia zgodności z rozporządzeniem. Innymi słowy, ocena skutków dla ochrony danych to proces służący zapewnieniu i wykazaniu zgodności przetwarzania danych z RODO.

Ocena skutków dla ochrony danych osobowych jest obowiązkowa, jeżeli dany rodzaj przetwarzania danych, w szczególności z użyciem nowych technologii, ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

W przepisach RODO wskazano trzy przypadki, gdy przeprowadzenie oceny skutków dla ochrony danych osobowych będzie wymagane – a więc w przypadku:

  1. systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,
  2. przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących, lub
  3. systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Obowiązek przeprowadzenia uprzednich konsultacji z organem nadzorczym

Jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator danych nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym. Uprzednie konsultacje są więc rodzajem postępowania administracyjnego, które należy wszcząć w oparciu o wynik oceny skutków dla ochrony danych.

W wyniku przeprowadzonego postępowania, organ nadzorczy może wydać zalecenia, które ich adresat powinien wdrożyć.

Obowiązek wyznaczenia inspektora ochrony danych

W pewnych przypadkach na gruncie RODO wyznaczenie Inspektora Ochrony Danych będzie obowiązkowe. Dzieje się tak w przypadku:

  1. gdy dane są przetwarzane przez podmioty z sektora publicznego,
  2. gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  3. gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących.
Dodatkowe prawa dla osób fizycznych, których dane osobowe są przetwarzane

Niezależnie od powyższego RODO przyznaje szereg praw osobom fizycznych dotyczących przetwarzania ich danych osobowych. Do takich praw należy w szczególności zaliczyć:

Prawo do bycia zapomnianym, czyli prawo do żądania usunięcia wszelkich danych dotyczących danej osoby. Prawo to składa się z dwóch uprawnień:

  1. możliwości żądania przez osobę, której dane dotyczą, usunięcia jej danych osobowych przez administratora danych,
  2. możliwości żądania, aby administrator danych poinformował innych administratorów danych, którym upublicznił dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych lub ich kopie.

Prawo do bycia zapomnianym można wykonać, jeżeli spełniona jest choć jedna z następujących przesłanek:

a. jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,

b. jeżeli osoba, której dane dotyczą, wycofała zgodę na przetwarzanie danych osobowych i nie istnieje inna podstawa przetwarzania danych,

c. jeżeli osoba, której dane dotyczą, zgłosiła sprzeciw wobec przetwarzania swoich danych w związku ze swoją szczególną sytuacją albo wobec przetwarzania danych dla celów marketingowych,

d. jeżeli dane osobowe były przetwarzane „niezgodnie z prawem”,

e. jeżeli dane osobowe „muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator”,

f. jeżeli dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dziecku.

W przypadku wykonania prawa do bycia zapomnianym, administrator danych powinien zaprzestać przetwarzania danych osobowych i usunąć dane, chyba że zachodzą szczególne przypadki ograniczające prawo do bycia zapomnianym. Wśród nich na szczególną uwagę zasługują:

(i) istnienie przepisu prawa, który nakazuje przetwarzanie danych osobowych,

(ii) sytuacja, w której przetwarzanie danych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

Prawo do przenoszenia danych osobowych do innego administratora danych. Jest to prawo do:

  1. otrzymania przez osobę, której dane dotyczą, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, danych osobowych jej dotyczących, które dostarczyła administratorowi,
  2. prawo przesłania przez osobę, której dane dotyczą, danych osobowych jej dotyczących, które dostarczyła administratorowi, innemu administratorowi, bez przeszkód ze strony administratora danych.

Prawo do przenoszenia danych może być wykonane wyłącznie wtedy, gdy:

(i) przetwarzanie danych odbywa się na podstawie zgody lub w celu wykonania umowy oraz

(ii) przetwarzanie danych odbywa się w sposób zautomatyzowany.

Prawo do niepodlegania profilowaniu

Profilowanie to szczególny rodzaj przetwarzania danych osobowych, który:

  1. odbywa się w sposób automatyczny,
  2. ma na celu ocenę osoby fizycznej lub przewidywanie jej zachowania.

Profilowanie zawsze wymaga poinformowania o tym osób, które są profilowane i wyrażenia przez nie zgody na profilowanie.

Kary za naruszenie przepisów RODO

Należy wskazać, iż za nie przestrzeganie przepisów RODO przewidziane są kary finansowe. W zależności od rodzaju naruszenia, kara pieniężna będzie mogła zostać nałożona w wysokości do 10.000.000 EUR lub w szczególnych przypadkach nawet do 20.000.000 EUR, a w przypadku przedsiębiorstw – w wysokości do 2 % lub nawet do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Nowe regulaminy sklepów internetowych i nie tylko

W związku z wejściem w życie nowych przepisów o ochronie danych osobowych na administratorów danych osobowych nałożone zostaną nowe obowiązki w zakresie prawidłowości przetwarzania danych osobowych. W związku z tym należy dokonać zmian w regulaminie sklepu internetowego, przygotować nowe formularze zgód w ramach przekazywania danych osobowych a ponadto należy przygotować tzw. ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Powyższe działania są niezbędne w celu przetwarzania danych osobowych zgodnie z prawem według nowych zasad.

 

Opracowali: radca prawny Marta Marczak i adwokat Marcin Hołówka

Foto dzięki uprzejmości: solargaria / freedigitalphotos.net