Skip to main content

RODO

Praktyczny przewodnik

25 maja 2018 roku wchodzi w życie nowe Rozporządzenie o Ochronie Danych Osobowych (EU GDPR – European Union General Data Protection Regulation) ujednolicające przepisy dotyczące ochrony danych osobowych we wszystkich 28 krajach członkowskich UE. Nakłada na administratorów danych osobowych dodatkowe obowiązki, zaś tym, których dane są przetwarzane – daje szczególne uprawnienia, które administratorzy muszą zapewnić.

W przewodniku opracowaliśmy najważniejsze informacje z nowego rozporządzenia, opisujące jak przygotować się do nowych regulacji, w tym jak zmodyfikować pod RODO wewnętrzne procedury oraz konfigurację systemów informatycznych. Wiele z nich można z powodzeniem wprowadzić do własnego programu, aby w jednym systemie, przechowującym dane osobowe, równocześnie archiwizować rejestry (m.in. zgód, czynności przetwarzania, naruszeń), których prowadzenie należy do obowiązków administratora.

praktyczny przewodnik po rodo

Kogo dotyczy RODO?

Unijna regulacja ochrony danych osobowych dotyczy wszystkich podmiotów, które w swojej działalności zajmują się ich przetwarzaniem. Zgodnie z definicją „dane osobowe” oznaczają cechy osoby fizycznej, które umożliwiają jej zidentyfikowanie, np. imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy oraz szczególne czynniki określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Przepisy RODO dotyczą więc zarówno wielkich korporacji, jak i osób prowadzących jednoosobową działalność gospodarczą – jeśli w swojej działalności mają do czynienia z przetwarzaniem danych osobowych. Samo zaś przetwarzanie rozumie się jako zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych.

Dane osobowe oznaczają cechy osoby fizycznej, które umożliwiają jej zidentyfikowanie.

Szczególna rola administratora danych osobowych

Zapisy unijnego rozporządzenia są dość uniwersalne. Delegują część uprawnień oraz obowiązków na administratorów danych osobowych, czyli osoby fizyczne lub prawne, organy publiczne jednostki lub inne podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych.

Administrator danych osobowych będzie zobowiązany:

  • wykazać, że precyzyjnie i zrozumiale określone zostały cele oraz prawidłowo oszacowany okres przetwarzania,
  • zapewnić należyte środki bezpieczeństwa chroniące dane (szacując ewentualne ryzyko),
  • prowadzić rejestr czynności przetwarzania,
  • podpisywać umowy z podmiotami przetwarzającymi dane,
  • zgłaszać naruszenia ochrony danych osobowych organowi nadzorczemu.

Administrator wybiera własne środki decyzyjne, techniczne i organizacyjne, w tym wdrożenie własnej polityki ochrony danych, aby przetwarzanie odbywało się zgodnie z przepisami. Powinien tu uwzględnić charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych.

Podmiot przetwarzający (procesor)

Podmiot przetwarzający dane osobowe w imieniu administratora (np. inna firma, która ma dostęp do danych osobowych administratora i je przetwarza) może to robić wyłącznie na podstawie umowy lub innego instrumentu prawnego.

Elementy, które muszą znaleźć się w tym dokumencie:

  • klauzula poufności osób pracujących dla podmiotu przetwarzającego,
  • deklaracja o wprowadzonych środkach bezpieczeństwa chroniących dane administratora,
  • informacja o ewentualnym podpowierzeniu danych innym podmiotom (firmom współpracującym z podmiotem przetwarzającym),
  • zapewnienie pomocy administratorowi w wywiązywaniu się z obowiązków dotyczących bezpieczeństwa danych czy zgłaszania naruszeń.

Podmiot przetwarzający jest również zobowiązany do:

  • usunięcia danych osobowych po zakończeniu świadczenia usług przetwarzania oraz, jeśli nie stoi to w sprzeczności z przepisami prawa, usunięcia także kopii zawierających dane osobowe administratora,
  • udostępniania informacji niezbędnych do przeprowadzenia audytów czy inspekcji przez administratorów i audytorów.

W celu zapewnienia należytej ochrony danych, podmiot przetwarzający może korzystać z usług innego podmiotu przetwarzającego (podpowierzenie danych), ale tylko na podstawie pisemnej zgody administratora.

W przypadku ogólnej pisemnej zgody, podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Informacje dla osoby

W relacji do osób, których dane są przetwarzane, administrator musi podjąć odpowiednie środki, aby w przejrzystej i zrozumiałej formie, bez zbędnej zwłoki (do miesiąca od żądania), udzielać informacji oraz prowadzić wszelką komunikację z daną osobą. Dopuszcza się tu formę pisemną, elektroniczną lub ustną, o ile uda się potwierdzić tożsamość osoby, której dane dotyczą. W większości przypadków informacje podawane osobie oraz prowadzona z nią komunikacja są bezpłatne. Możliwość pobierania rozsądnej opłaty manipulacyjnej za udzielanie informacji czy komunikację z osobą, dopuszczona jest wyłącznie w przypadku nieuzasadnionych bądź notorycznych żądań osoby. Administrator musi jednak pamiętać, że to na nim spoczywać będzie obowiązek wykazania braku zasadności żądania bądź jego notoryczności.

Zbierając dane od osoby administrator musi podać swoją tożsamość i dane kontaktowe. Jeżeli organizacja posiada stanowisko inspektora ochrony danych, w takiej sytuacji podaje się jego dane kontaktowe, cel, podstawę prawną oraz okres przetwarzania, a także informację o odbiorcach danych. Równocześnie należy także poinformować osobę o przysługujących jej prawach dostępu do danych, ich modyfikacji i usuwania, ograniczania przetwarzania, wnoszenia sprzeciwu, cofnięcia zgody lub wniesienia skargi do organu nadzorczego.

Obligatoryjne jest także poinformowanie czy podanie danych osobowych jest wymogiem ustawowym, umownym czy niezbędnym warunkiem zawarcia umowy oraz czy osoba jest zobowiązana do ich podania i jakie będą ewentualne konsekwencje niepodania danych. W odrębnym punkcie powinna być zawarta informacja o fakcie, zasadach i celu, a także konsekwencjach profilowania.

O wszelkich dalszych przetwarzaniach – czyli zmianie bądź innym celu przetwarzania niż ten w jakim dane były pierwotnie zbierane należy poinformować osobę, która może skorzystać z prawa odmowy.

Zgoda osoby

Jeżeli przetwarzanie danych osobowych odbywa się na podstawie zgody:

  • zgoda powinna być udzielona za pomocą działania potwierdzającego lub oświadczenia złożonego w formie pisemnej lub ustnej (nie wystarcza zatem brak sprzeciwu osoby, zabronione jest także zamieszczanie formularzy z domyślnie zaznaczonym polem z wyrażeniem zgody na przetwarzanie danych osobowych),
  • jeżeli pisemne oświadczenie osoby zawiera poza prośbą o wyrażenie zgody także inne kwestie, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii,
  • oświadczenie powinno być zredagowane w formie zrozumiałej i prostej.

Ponieważ administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w systemach informatycznych, także CRM firmy, w związku z RODO, dobrze jest przewidzieć prowadzenie wewnętrznego rejestru zgód, zawierającego zarówno ich wykaz, ale także jak najwięcej informacji szczegółowych (datę, czy też adres IP komputera, z którego wyrażono zgodę).

Należy mieć na względzie także kwestię prawa osoby do wycofania zgody, która to czynność powinna być tak samo łatwa jak jej wyrażenie.

Prawo dostępu do danych i ich prostowania

Zasadniczym celem wdrożenia zunifikowanego rozporządzenia dotyczącego ochrony danych osobowych było zwiększenie kontroli nad danymi, które osoby przekazują instytucjom. RODO precyzuje prawo dostępu do danych, a zainteresowanej osobie daje możliwość uzyskania od administratora potwierdzenia czy dany podmiot przetwarza jej dane, a jeśli tak, do otrzymania kopii samych danych, wraz z danymi o celu, okresie przechowywania i ich odbiorcach.

Administrator zobowiązany jest także do podania informacji o:

  • prawach przysługujących osobie do prostowania, usuwania, ograniczania danych, prawie do sprzeciwu, a także wniesienia skargi do organu nadzorczego,
  • zautomatyzowanym podejmowaniu decyzji, w tym o celach, zasadach i konsekwencjach profilowania.

Pierwsza kopia danych powinna zostać udostępniona zainteresowanemu bezpłatnie, a za kolejne administrator może pobierać opłatę administracyjną. Zwrócenie się do administratora drogą elektroniczną i nie określenie preferowanej formy dostarczenia kopii danych, umożliwia administratorom skorzystanie z wysyłki elektronicznej.

Osoba, która po analizie dostrzeże błędy we własnych danych przetwarzanych przez podmiot, ma prawo żądania od administratora niezwłocznego ich sprostowania, bądź w przypadku danych niekompletnych, po przedstawieniu oświadczenia, także ich uzupełnienia.

„Prawo do bycia zapomnianym”

Jednym z najczęściej podejmowanych i komentowanych zagadnień związanych z RODO jest prawo osoby do żądania usunięcia swoich danych, powszechnie zwane „prawem do bycia zapomnianym”. Zgodnie z zapisami rozporządzenia osoba, która nie chce, aby dany podmiot w dalszym ciągu przetwarzał jej dane osobowe, może zwrócić się do administratora o usunięcie danych osobowych nie tylko z baz produkcyjnych, ale także wszystkich backupów bazy danych.

Powyższe prawo możliwe jest wówczas, gdy spełniony jest m. in. jeden z warunków:

  • dane osobowe nie są już niezbędne do realizacji celu w jakim były zbierane,
  • osoba cofnęła zgodę,
  • osoba wnosi sprzeciw,
  • dane były przetwarzane w sposób niezgodny z prawem,
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

Równocześnie to samo rozporządzenie określa, że prawo to nie przysługuje w przypadku:

  • korzystania z prawa do wolności wypowiedzi i informacji,
  • wywiązania się z prawnego obowiązku wymagającego przetwarzania, względów interesu publicznego w dziedzinie zdrowia publicznego,
  • realizacji zadań archiwistycznych i statystycznych oraz badań naukowych lub historycznych,
  • ustalenia, dochodzenia lub obrony roszczeń.

Przepis wymusza więc na administratorach przygotowanie procedur oraz narzędzi, które sprostałyby oczekiwaniom osób chcących skorzystać z tego prawa.

O ile w przypadku przechowywania danych osobowych w bazie administratora ten ma nad nimi kontrolę i może sprostać oczekiwaniom osoby, o tyle w przypadku danych upublicznionych innym podmiotom, ich usunięcie może być bardzo utrudnione.

Zapisy rozporządzenia sugerują jednak, by w takiej sytuacji, biorąc pod uwagę dostępną technologię i koszt realizacji, podjąć rozsądne działania, w tym środki techniczne, celem poinformowania administratorów przetwarzających te dane osobowe o żądaniu osoby. Usunięciu podlegać powinny zarówno łącza do danych, ich kopie i replikacje.

Prawo do przenoszenia danych

Jeżeli przetwarzanie danych osobowych odbywa się w sposób zautomatyzowany, na podstawie zgody lub umowy, to osoba, której dane dotyczą ma prawo:

  • otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące,
  • przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe,
  • jeśli jest to technicznie możliwe, żądać przesłania tych danych innemu administratorowi.

Profilowanie

Rozporządzenie RODO definiuje termin „profilowania” jako zautomatyzowanej formy przetwarzania danych osobowych, polegającej na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Osoba, której dane dotyczą ma prawo do tego, by nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, co wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Jednak i od tych przepisów jest wyjątek.

Prawo sprzeciwu nie ma zastosowania jeśli:

  • decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem,
  • jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą,
  • opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Nawet jeżeli dane osobowe mogą być przetwarzane zgodnie z prawem, gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi lub ze względu na prawnie uzasadnione interesy administratora lub strony trzeciej, każdej osobie, której dane dotyczą, powinno przysługiwać prawo sprzeciwu wobec przetwarzania danych osobowych dotyczących jej szczególnej sytuacji. Za wykazanie, że ważne, prawnie uzasadnione interesy administratora mają nadrzędny charakter wobec interesów lub podstawowych praw i wolności osoby, której dane dotyczą, powinien odpowiadać administrator.

Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw, w tym także odmówić w tym zakresie profilowania. Od tego czasu nie wolno już przetwarzać w tym celu jej danych.

Rejestr czynności przetwarzania

Zobowiązany do prowadzenia rejestru czynności przetwarzania jest administrator danych osobowych oraz procesor, który:

  • zatrudnia więcej niż 250 osób,
  • podejmuje się przetwarzania mogącego powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • przetwarza dane w sposób ciągły, a nie sporadyczny,
  • przetwarza dane wrażliwe lub dane dotyczące wyroków skazujących i naruszeń prawa.

Dokument ten, na bieżąco aktualizowany, powinien zawierać poniższe dane:

  • imię i nazwisko lub nazwę administratora,
  • dane kontaktowe administratora oraz współadministratorów,
  • dane kontaktowe inspektora ochrony danych,
  • cel przetwarzania,
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
  • kategorie odbiorców, którym dane osobowe zostaną ujawnione,
  • informację o przekazywaniu danych do państwa trzeciego wraz z dokumentacją opisującą zastosowane zabezpieczenia w tym procesie,
  • planowany termin usunięcia poszczególnych kategorii danych,
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Wspomniany rejestr prowadzić też powinien podmiot przetwarzający w imieniu administratora dane osobowe, jednak w tym przypadku katalog informacji nieco się różni i obejmuje następujące elementy:

  • nazwę i dane kontaktowe podmiotu przetwarzającego,
  • dane kontaktowe administratora danych w imieniu którego działa procesor,
  • dane kontaktowe inspektora ochrony danych, jeżeli taki został powołany,
  • kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
  • informacje o przekazaniu danych osobowych do państwa trzeciego wraz z dokumentacją opisującą zastosowane zabezpieczenia w tym procesie,
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Wspomniane rejestry muszą mieć formę pisemną, w tym formę elektroniczną, a sam dokument administrator oraz podmiot przetwarzający zobowiązani są udostępnić na żądanie organu nadzorczego.

Bezpieczeństwo przetwarzania danych

Na administratorach oraz podmiotach przetwarzających dane spoczywa również obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, w celu zapewniania należytego stopnia bezpieczeństwa przetwarzanych przez nich danych osobowych.

Przede wszystkim zaznajomieni z aktualną wiedzą techniczną oraz charakterem, zakresem i celami danych powinni oszacować ewentualne ryzyko naruszenia praw i wolności osób. Równocześnie w swoich systemach zobowiązani są do minimalizowania zagrożeń poprzez wprowadzanie: pseudonimizacji, szyfrowania, zapewniania poufności i odporności systemów na zagrożenia zewnętrzne, a w razie jakiegokolwiek incydentu fizycznego lub technicznego do szybkiego przywrócenia dostępności danych osobowych.

Szacowanie ryzyka, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, to zadania, które trzeba będzie wykazać na żądanie organu nadzorczego, stąd dla ułatwienia realizacji tych działań, rozporządzenie zaleca wdrożenie zatwierdzonego, wewnętrznego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji.

Naruszenie ochrony danych

W przypadku naruszenia ochrony danych dotyczących praw lub wolności osób fizycznych administrator zobowiązany jest do:

1) zgłoszenia tego faktu organowi nadzorczemu do 72 godzin od zaistniałego problemu. W zgłoszeniu należy:

  • opisać charakter naruszenia oraz kategorie i przybliżoną liczbę osób, których dotyczy naruszenie,
  • udostępnić dane kontaktowe do osoby, która może udzielić szczegółowych informacji,
  • opisać ewentualne konsekwencje naruszenia,
  • przedstawić zastosowane środki zaradcze stosowane w celu minimalizacji negatywnych skutków naruszenia.

Równocześnie administrator musi dokumentować naruszenia ochrony danych osobowych, w tym okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze.

2) zawiadomienia osoby (osób), której dane dotyczą, o fakcie naruszenia. Zawiadomienie takie powinno być napisane jasnym i prostym językiem oraz zawierać elementy wymienione w punkcie 1. Zawiadomienie osoby (osób) nie jest wymagane jeśli administrator podjął techniczne i organizacyjne środki ochrony, takie jak chociażby szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym czy eliminację ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, a także jeśli informowanie wymagałoby niewspółmiernie dużego wysiłku. Można także rozważyć wydanie publicznego komunikatu, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane o fakcie naruszenia.

Chociaż RODO nie wprowadza zbyt wielu nowych regulacji – to jednak unifikuje przepisy i pomaga uporządkować wewnętrzne procedury. Równocześnie skłania producentów programów, w których dane osobowe są przetwarzane, do wprowadzenia dodatkowych zabezpieczeń oraz modułów czy opcji systemu ułatwiających administratorom przestrzeganie postanowień niniejszego rozporządzenia.

Prototyp działającej aplikacji w 3 dni robocze

Porozmawiaj z ekspertem

bs4

Funkcje

Zastosowania

Branże

Kontakt

61 848 44 23

©  2023 bs4 business solutions. All rights reserved.