RODO

Te zasady trzeba znać

Od 25 maja br. unijne rozporządzenie o ochronie danych osobowych (RODO) będzie stosowane we wszystkich państwach Unii Europejskiej. Nowa regulacja ma wzmocnić ochronę obywateli, w szczególności w starciu z największymi korporacjami internetowymi. Nie oznacza to jednak, że zmiany nie dotkną również mniejszych przedsiębiorców. Warto się na nie przygotować.

Rozporządzenia unijne, w przeciwieństwie do dyrektyw, nie wymagają implementacji do krajowego porządku prawnego i są stosowane bezpośrednio w państwach członkowskich UE. W praktyce oznacza to, że od 25 maja polscy przedsiębiorcy powinni kierować się przede wszystkim przepisami RODO[1], a nie ustawą o ochronie danych osobowych[2]. Z kolei wszystkie podmioty sektora publicznego od tej daty będą zobowiązane do posiadania inspektora ochrony danych i udzielania mu wsparcia w zakresie wykonywania jego zadań. Zmian jest wiele, a oto najważniejsze z nich.

Nowe zasady przetwarzania danych osobowych

RODO wprowadza katalog zasad, którymi powinny się kierować wszystkie podmioty przetwarzające dane osobowe. Na uwagę zasługuje w szczególności zasada minimalizacji danych, zgodnie z którą dopuszczalne jest gromadzenie tylko danych niezbędnych do realizacji określonego celu. Na przykład przedsiębiorca prowadzący wypożyczalnię samochodów może gromadzić takie dane osobowe, jak imię, nazwisko czy numer karty kredytowej, ale nie powinien już przetwarzać danych związanych z sytuacją finansową klienta. Realizacja tej zasady wymaga dokładnego przemyślenia, jakie dane są nam niezbędne do osiągnięcia konkretnego celu, i uprzedniego poinformowania klienta o celu i zakresie przetwarzanych danych.

Z realizacją tej zasady związany jest również ustanowiony w RODO obowiązek uwzględniania ochrony danych osobowych w fazie projektowania nowej usługi lub produktu (ang. privacy by design), a także obowiązek domyślnej ochrony danych (ang. privacy by default), zgodnie z którym np. twórcy aplikacji mobilnych będą zobowiązani do wprowadzenia w domyślnych ustawieniach możliwie najwęższego zakresu gromadzenia danych osobowych wymaganych do jej prawidłowego działania.

RODO – zasady przetwarzania danych osobowych (art. 5):

  • zgodność z prawem, rzetelność i przejrzystość
  • ograniczenie celu
  • minimalizacja danych
  • prawidłowość
  • ograniczenie przechowywania
  • integralność i poufność
  • rozliczalność administratora z przestrzegania przepisów.

 

Rozbudowany katalog praw obywateli

Jednym z motywów przyjęcia unijnego rozporządzenia jest coraz powszechniejsze przetwarzanie danych osobowych w różnych obszarach naszego życia i związana z tym potrzeba zapewnienia adekwatnej ochrony obywatelom UE. Z tego powodu RODO ustanawia szeroki katalog praw osoby, której dane dotyczą (rozdział III), obejmujący m.in. prawo do przenoszenia danych czy „prawo do bycia zapomnianym”. Zgodnie z tym ostatnim, po raz pierwszy w wyinterpretowanym przez Trybunał Sprawiedliwości UE głośnym wyroku Google Spain v AEPD and Mario Costeja González (2014), osoba, której dane dotyczą, ma prawo żądać od administratora niezwłocznego usunięcia dotyczących jej danych osobowych. W konsekwencji ustanowienia „prawa do bycia zapomnianym” obywatele UE mogą żądać np. usunięcia z wyszukiwarek internetowych odnośników prowadzących do stron zawierających ich dane osobowe. Takie rozwiązanie wdrożył m.in. Google.

Profilowanie

Jedną z największych zmian, jakie wprowadza RODO, jest uregulowanie tzw. profilowania, czyli zautomatyzowanego przetwarzania danych osobowych służącego do analizy lub prognozy zachowania konkretnej osoby, oceny jej sytuacji ekonomicznej, zdrowia, zainteresowań itp. Technikę tę wykorzystuje wiele aplikacji i usług internetowych, np. systemy rekomendacji książek i filmów. RODO wprowadza obowiązek informowania o profilowaniu, jeżeli wiąże się ono z podejmowaniem decyzji względem konkretnej osoby – obowiązek ten obejmuje w szczególności zasady podejmowania decyzji w oparciu o rezultat profilowania, a także o przewidywanych konsekwencjach takiego przetwarzania. Jednocześnie art. 21 rozporządzenia ustanawia prawo każdego do sprzeciwu wobec profilowania, a art. 22 prawo do tego, by nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Jeżeli w działalności przedsiębiorstwa wykorzystujemy profilowanie, np. w celu analizy zachowania klientów i personalizacji ofert, powinniśmy zadbać o to, aby jak najszybciej wypełnić ciążący na nas obowiązek informacyjny.

Szeroki obowiązek informacyjny

RODO ustanawia rozbudowane i szczegółowe wymogi związane z realizacją obowiązku informacyjnego (art. 13 i art. 14). Przedsiębiorca zbierający dane powinien upewnić się, że w zgodzie na przetwarzanie danych podaje m.in. swoją tożsamość (wraz z danymi kontaktowymi); wyraźnie określa cel przetwarzania; określa okres, przez który dane będą przechowywane (lub, w przypadku braku możliwości określenia takiego okresu, kryteria jego ustalenia); a także informuje osobę o przysługujących jej prawach, w szczególności prawie do cofnięcia zgody w dowolnym momencie, prawa do sprostowania lub usunięcia danych, prawa do wniesienia skargi do organu nadzorczego czy prawa do niepodlegania zautomatyzowanym decyzjom.

Zgłaszanie naruszeń i kary finansowe

Ważną zmianą jest wprowadzenie wobec administratorów danych obowiązku do zgłaszania naruszeń organowi nadzorczemu (obecnie GIODO, a po uchwaleniu nowej ustawy Prezesowi Urzędu Ochrony Danych Osobowych) bez zbędnej zwłoki[3]. Art. 33 ust. 1 rozporządzenia precyzuje, że takie zgłoszenie powinno nastąpić nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. W praktyce obowiązek ten będzie dotyczył np. włamania do bazy danych czy utraty nośników z danymi. W zawiadomieniu powinniśmy opisać charakter naruszenia ochrony danych osobowych, a także oszacować liczbę osób i kategorie danych, których dotyczy naruszenie, opisać możliwe konsekwencje incydentu, a także środki, jakie podjęliśmy w celu minimalizacji ewentualnych negatywnych skutków.

Jeżeli w wyniku naruszenia wystąpiło wysokie ryzyko naruszenia praw i wolności osób fizycznych (np. włamanie się do baz zawierających dane wrażliwe, m.in. dotyczące zdrowia), będziemy dodatkowo zobowiązani do poinformowania wszystkich osób, których dane dotyczą, o zaistnieniu takiej sytuacji. Naruszenie tego obowiązku może skutkować nałożeniem administracyjnej kary pieniężnej w wysokości do 10 mln euro lub 2% wartości całkowitego rocznego światowego obrotu przedsiębiorstwa.

Zmiany dla MŚP

Dzięki RODO zniknie uciążliwy obowiązek zgłaszania zbiorów danych osobowych do rejestracji (dotychczas należało to robić u GIODO). Zamiast tego nowe rozporządzenie proponuje podejście oparte na ryzyku, co w praktyce oznacza, że administrator danych ma swobodę w doborze środków w celu zapewnienia bezpieczeństwa danych. Ponadto MŚP będą zwolnione z prowadzenia rejestru czynności przetwarzania, o ile przetwarzają dane sporadycznie (np. organizując jednorazową konferencję i zbierając dane osobowe uczestników), nie wykorzystując przy tym danych wrażliwych, a także nie powodując ryzyka naruszenia praw i wolności osób. Wreszcie – jeżeli główna działalność przedsiębiorcy nie polega na przetwarzaniu danych na dużą skalę w celu regularnego i systematycznego monitorowania osób, a także nie obejmuje danych wrażliwych, będzie on zwolniony z obowiązku wyznaczenia inspektora danych.

Wiele ze sformułowań RODO pozostawia dość duży margines interpretacyjny zarówno dla przedsiębiorców, jak i dla sądów (np. kiedy przetwarzanie przestaje być sporadyczne), dlatego dopiero pierwsze lata stosowania nowego prawa wyznaczą prawne standardy. Należy przy tym pamiętać, że zgodnie z zasadą rozliczalności, administrator danych będzie odpowiedzialny za zapewnienie, aby przetwarzanie odbywało się w zgodzie z prawem (art. 5 ust. 2). MŚP będą zatem zobowiązane m.in. do zgłaszania naruszeń organowi nadzorczemu, a także przeciwdziałania naruszeniom w przypadku wystąpienia incydentu.

Co RODO oznacza dla Twojej firmy

Nowe przepisy Komisja Europejska anonsuje na swych stronach jako korzystniejsze dla drobnych przedsiębiorców. Zaostrzone przepisy dotyczące ochrony danych, wchodzące w życie 25 maja 2018 r., dają obywatelom większą kontrolę nad ich danymi, zaś przedsiębiorcom korzyści wynikające z równych warunków działania. Zostają wprowadzone jednakowe przepisy dla wszystkich firm prowadzących działalność w UE, bez względu na to, gdzie mają siedzibę. Dowiedz się, co to oznacza dla Twojej firmy.

 

Lista zmian, jakie wprowadza RODO, jest znacznie dłuższa, dlatego warto poświęcić więcej czasu na zapoznanie się z tekstem rozporządzenia. Nowe prawo zostało pomyślane w taki sposób, aby z jednej strony wykorzystać potencjał, jaki przetwarzanie danych osobowych niesie dla unijnej gospodarki, a z drugiej, aby zapewnić poczucie bezpieczeństwa osobom, których dane dotyczą. O tym, czy unijnemu ustawodawcy udała się trudna sztuka połączenia różnych interesów, przekonamy się już niebawem.

Łukasz Szoszkiewicz

 

Dane osobowe w przedszkolach

Przedszkola, dostosowując się do RODO, muszą zmienić niektóre swoje praktyki, np. dotyczące pozyskiwania zgód na przetwarzanie danych osobowych czy sposobu informowania o przyjęciu dziecka do placówki. Przedszkola przetwarzają wiele danych osobowych, w tym wrażliwych, dotyczących najmłodszych. Rodzice niejednokrotnie przekazują tym placówkom informacje dotyczące ich dzieci, np. o alergiach, chorobach, przyjmowanych lekach, religii, a nawet orzeczenia sądowe w sprawie pieczy nad dzieckiem. Przedszkola często zbierają od opiekunów zgody np. na publikację zdjęć dzieci na stronach internetowych czy dotyczące odbioru dzieci z placówki przez dziadków bądź inne upoważnione osoby. Po 25 maja 2018 r. zgody nie mogą mieć charakteru ogólnego – należy w sposób precyzyjny formułować treść i cel takiej klauzuli. Każda zgoda musi dotyczyć jednego celu przetwarzania danych osobowych. Ponadto nie można ich zawierać w umowach. Zgoda powinna być odrębnym dokumentem. Częstą praktyką podczas rekrutacji dzieci jest upublicznianie na drzwiach wejściowych do przedszkoli listy z danymi osobowymi dzieci przyjętych do placówki. To prowadzi do udostępnienia danych osobom nieupoważnionym.
Źródło: giodo.gov.pl

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[2] Jednocześnie w Sejmie trwają prace nad nowelizacją dotychczasowej ustawy, która ma nie tylko „przepisać” przepisy RODO, ale obejmować również obszary znajdujące się poza zakresem unijnej regulacji – proces legislacyjny można śledzić tutaj.

[3] W przypadku małego prawdopodobieństwa wystąpienia negatywnych skutków dla praw i wolności osób jesteśmy zwolnieni z obowiązku zawiadamiania (art. 33 ust. 1).