produkty

Intelektualna.pl

Powrót

Artykuł
05 08.2016
Artykuł
05.08.16

Rozporządzenie ogólne o ochronie danych – o czym trzeba wiedzieć. Cz. I.

przez Małgorzata Kurowska

24 maja 2016 roku weszło w życie rozporządzenie Parlamentu Europejskiego i Rady nr 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (tzw. ogólne rozporządzenie o ochronie danych – RODO).

Wprawdzie przepisy przewidziane rozporządzeniem będą stosowane dopiero od 25 maja 2018 roku, jednak ze względu na zakres i rozmiar zmian, zasadne jest zapoznanie się z RODO ze znacznym wyprzedzeniem i podjęcie kroków w celu dostosowania praktyk w zakresie ochrony danych osobowych w przedsiębiorstwie do nowych wymogów – dlatego poniżej wskazujemy na najważniejsze zagadnienia i obszary, jakie warto mieć na uwadze:

  1. Prawa osób, których dane dotyczą

RODO rozszerza istotnie zakres uprawnień osób, których dane osobowe podlegają przetwarzaniu. Przykładowo należy zwrócić uwagę na następujące nowości, przewidziane rozporządzeniem:

  1. Prawo do zapomnienia

Ukonstytuowane głośnym wyrokiem TSUE z dnia 13 maja 2014 roku (Gonzales p-ko Google, C-131/12) tzw. prawo do zapomnienia znalazło swój wyraz w art. 17 RODO. Przepis ten przewiduje prawo do żądania usunięcia danych przez administratora w przypadkach określonych w art. 17. Jeżeli dane te zostały już przez administratora upublicznione, jest on także zobowiązany, w miarę możliwości technologicznych i finansowych, do poinformowania pozostałych administratorów danych o wniesionym żądaniu.

  1. Prawo do wniesienia sprzeciwu w zakresie profilowania przekazu

Art. 21 RODO przyznaje osobom, których dane dotyczą, prawo sprzeciwu wobec przetwarzania danych w celu marketingu bezpośredniego. Co istotne, przepis ten przewiduje, że sprzeciw może dotyczyć także profilowania – zdefiniowanego w RODO jako zautomatyzowane przetwarzanie danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej.

  1. Zakres obowiązku informacyjnego

Obowiązek informacyjny, obecnie obciążający administratora danych na podstawie art. 24 ustawy o ochronie danych osobowych, zostanie istotnie rozszerzony: w szczególności administrator będzie zobowiązany poinformować osobę, której dane dotyczą, o danych kontaktowych swojego Inspektora Ochrony Danych (jeśli został on powołany) i o uzasadnionych interesach uzasadniających przetwarzanie danych, w przypadku gdy przetwarzanie odbywa się w oparciu o tę właśnie przesłankę. Ponadto konieczne będzie poinformowanie o prawie do wniesienia sprzeciwu, a także skargi do organu nadzorczego.

  1. Privacy by default/privacy by design

Art. 25 RODO wprowadza dwie dyrektywy ochrony danych o charakterze systemowym. Zasada privacy by design (uwzględnianie ochrony danych w fazie projektowania) oznacza obowiązek administratora danych do uwzględniania zagadnień prywatności już na etapie opracowania sposobów przetwarzania danych, a także na każdym etapie faktycznego przetwarzania. Oznacza to w szczególności, że przedsiębiorca projektując nowy produkt lub opracowując nową usługę dla odbiorców powinien zadbać o to, by przetwarzanie danych związane z tym produktem lub usługą było odpowiednio bezpieczne, rozliczalne i zgodne z zasadą minimalizacji (adekwatności). Należy uznać przy tym, że nie ma znaczenia, czy przetwarzane dane dotyczyć będą pracowników, kontrahentów lub dowolnych innych podmiotów, będących osobami fizycznymi.

Zasada privacy by default (domyślna ochrona danych) zobowiązuje natomiast administratorów danych do stosowania takich środków technicznych i organizacyjnych, które zapewnią domyślne przetwarzanie jedynie takich danych, jakie są konieczne dla konkretnego celu ich przetwarzania. W praktyce niedopuszczalne będzie zatem np. takie domyślne ustawienie urządzeń (np. smartfonów, aplikacji), które wiązałoby się ze zbieraniem dużej ilości danych, bez uzasadnienia wynikającego z określonej funkcjonalności.

  1. Inspektor Ochrony Danych

W polskim systemie prawnym już od 2004 roku funkcjonuje instytucja Administratora Bezpieczeństwa Informacji (ABI). Rozporządzenie zastąpi jednak ABI Inspektorem Ochrony Danych (IOD), o którym mowa w Sekcji 4 rozdziału IV RODO.

RODO wprowadza kategorie podmiotów, dla których powołanie Inspektora Danych Osobowych będzie obowiązkowe (podmioty publiczne, podmioty których główna działalność polega na przetwarzaniu danych wymagającym monitorowania osób); w pozostałych przypadkach powołanie IOD będzie fakultatywne – tak jak obecnie w przypadku ABI.

IOD powinien posiadać odpowiednie kwalifikacje do pełnienia swojej funkcji, w szczególności wiedzę fachową na temat prawa i praktyk z zakresu ochrony danych osobowych. Tak jak obecnie ABI, IOD będzie mógł podlegać w przedsiębiorstwie jedynie najwyższemu kierownictwu (w szczególności Zarządowi). Administrator danych będzie ponadto zobowiązany zapewnić IOD konieczne zasoby – niezbędne do wykonywania jego zadań oraz do utrzymania wiedzy fachowej. Należy przyjąć, że unijny ustawodawca odnosi się w tym wypadku nie tylko do zasobów organizacyjnych lub kadrowych, ale także finansowych.

Zgodnie z dyspozycją art. 38 ust. 1 RODO, IOD powinien być właściwe i niezwłoczne włączany przez administratora danych do wszelkich spraw związanych z ochroną danych. Powyższe obejmuje nie tylko przypadki naruszeń lub incydentów związanych z naruszeniem danych, ale także czynności związane z powołaną wyżej zasadą privacy by design. Z Inspektorem powinien zatem być konsultowany każdy projekt (produkt, umowa, wdrożenie itp.), które mają związek z danymi osobowymi, ich ochroną lub przetwarzaniem.

IOD odpowiedzialny będzie za monitorowanie przestrzegania zasad ochrony danych osobowych w przedsiębiorstwie; będzie także osobą kontaktową zarówno dla organu nadzorczego, jak i dla wszelkich osób wykonujących swoje uprawnienia w związku z przetwarzaniem danych osobowych przez administratora.

W kolejnym wpisie wskażemy na dalsze uprawnienia osób, których dotyczy przetwarzanie danych, opiszemy proces zbierania zgód na przetwarzanie danych osobowych, który już teraz powinni wdrażać Administratorzy Danych Osobowych i wyjaśnimy, jakie wymogi RODO stawia w przypadku zawierania umów podpowierzenia. Zwrócimy także uwagę na sankcje finansowe, grożące ze strony organu nadzorczego w przypadku naruszeń zasad ochrony danych osobowych.

Pełny tekst Rozporządzenia dostępny jest tu:

http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=PL

 – dostęp dnia 5/08/2016

Branża:

Dane osobowe

Powrót

Komentarze (0)
Dozwolone znaczniki: <b><i><br>