Nowa jakość ochrony danych osobowych

Unijne rozporządzenie o ochronie danych osobowych (RODO) ma na celu ujednolicić zróżnicowane zasady dotyczące przetwarzania danych między poszczególnymi państwami członkowskimi. RODO to największa reforma w ochronie danych osobowych od prawie 20 lat. Ilość zmian oraz nowych obowiązków, jakie RODO nakłada na administratorów danych osobowych, wymaga całościowej zmiany w podejściu do ochrony danych osobowych w organizacji. Tylko w taki sposób, zapewnią sobie gotowość, aby funkcjonować w nowej rzeczywistości prawnej.

1.Wyznaczenie inspektora ochrony danych osobowych(IODO) (art. 37-39 RODO)

Inspektor ochrony danych (IOD) czyli odpowiednik  administratora bezpieczeństwa informacji (ABI).  Od 25 maja, niektóre podmioty mają obowiązek zatrudnić osobę pełniącą funkcję IOD. Rozporządzenie o ochronie danych osobowych w art. 37 jasno precyzuje sytuacje, kiedy administrator danych osobowych będzie musiał wyznaczyć inspektora. Kandydat na to stanowisko będzie musiał wykazać, że posiada wiedzę specjalistyczną w zakresie ochrony danych oraz doświadczenie w tej dziedzinie. IOD może być pracownikiem podmiotu przetwarzającego dane lub wykonywać zadania na podstawie umowy outsourcingowej.

2.Nowe prawa obywateli (art. 15-21 RODO)

Rozporządzenie o ochronie danych osobowych przyznaje osobom, których dane są przetwarzane rozszerzone uprawnienia. Wiąże się to z dodatkowymi zadaniami nałożonymi na ADO: Prawa osób, których dane dotyczą:

  • prawo dostępu przysługujące osobie, której dane dotyczą,
  • prawo do sprostowania danych,
  • prawo do usunięcia danych („prawo do bycia zapomnianym”),
  • prawo do ograniczenia przetwarzania,
  • prawo do przenoszenia danych,
  • prawo do sprzeciwu.

Na szczególną uwagę zasługuje prawo do bycia zapomnianym, które nakłada na ADO obowiązek usunięcia danych osobowych w całości z jego systemu. W przypadku Internetu, oznacza to, że usunięte muszą zostać również wszelkie linki, kopie i repliki danych, nawet jeśli są one w posiadaniu innych podmiotów przetwarzających te dane w jego imieniu.

3. Obowiązek informacyjny (art. 12-14 RODO)

Unijne rozporządzenie rozszerza katalog informacji, jakie ADO będą musieli udostępnić osobom, których dane pobierają i przetwarzają. Rozporządzenie nakazuje, aby obowiązek został przedstawiony w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Ważne, żeby został napisany jasnym i prostym językiem, szczególnie jeśli informacje kierowane są do dziecka.
Osoba, której dane dotyczą będzie miała prawo uzyskać informacje na temat przetwarzania jej danych. ADO będzie zobowiązany, bez zbędnej zwłoki, najpóźniej w ciągu miesiąca, odpowiedzieć wnioskodawcy.

4. Rejestrowanie czynności przetwarzania (art. 30 RODO)

Każdy administrator (ADO) oraz – gdy ma to zastosowanie – przedstawiciel administratora (IODO) będą zobowiązaniu prowadzić rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje: Nowy obowiązek będzie spoczywał na większości administratorów danych osobowych i podmiotów przetwarzających dane.

Takie rejestry muszą prowadzić podmioty które:

  • zatrudniają powyżej 250 pracowników,
  • przetwarzają szczególne kategorie danych (dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy  polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne,   biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby) – tzw. dane wrażliwe
  • przetwarzają dane w sposób, który narusza lub może naruszać prawa i wolności osób, których dane dotyczą,
  • przetwarzają dane w sposób ciągły, czyli nie mają charakteru sporadycznego,
  • przetwarzają wyroki skazujące lub informacje o naruszeniu przepisów prawa.

5. Zgoda (art. 7 RODO)

Jeżeli przetwarzanie danych odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych Rozporządzenie nakazuje, iż zgoda musi być wyrażona konkretnemu podmiotowi. Oświadczenie zgody musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii. Ważne, aby było przygotowane w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

6. Obowiązkowa Ocena Skutków dla Ochrony Danych Osobowych (art. 35 RODO)

Kolejnym, nowym obowiązkiem spoczywającym na administratorze danych osobowych, które nakłada rozporządzenie o ochronie danych osobowych, jest przeprowadzenie oceny skutków dla ochrony danych (DPIA). RODO wymaga, aby przedsiębiorcy przetwarzający dane osobowe, przeprowadzili analizy wpływu działań na danych osobowych na ryzyko naruszenia praw osób, których dotyczą. Przeprowadzenie oceny będzie konieczne w dwóch przypadkach: stwierdzenia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych oraz kiedy zadecyduje o tym organ nadzorczy (Prezes Urzędu Ochrony Danych Osobowych).

7. Ograniczone profilowanie (art. 22 RODO)

Rozporządzenie reguluje zasady dotyczące zautomatyzowanego podejmowania decyzji. Głównie chodzi o profilowanie, które wg art. 4 pkt. 4 RODO oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych. Polega to na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej. Wykorzystywane w szczególności do analizy lub prognozy efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
Rozporządzenie o ochronie danych osobowych uwzględnia możliwość profilowania w 3 przypadkach:

  • jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem,
  • wynika z przepisów prawa,
  • osoba, której dane dotyczą wyraziła na to zgodę.

8. Zgłoszenie naruszeń (art. 33 RODO)

Obowiązkiem administratorów danych jest zgłaszanie w ciągu 72 godzin od wykrycia do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Może także wystąpić konieczność zawiadomienia konkretnej osoby, bez zbędnej zwłoki, o przypadku wystąpienia dużego ryzyka naruszenia jej praw lub swobód. Administrator danych samodzielnie będzie musiał ocenić, czy naruszenie powinno zostać zgłoszone.

9. Kary za niewłaściwe przetwarzanie danych osobowych (art. 83 RODO)

Naruszenie przepisów o ochronie danych osobowych to straty wizerunkowe, ale również finansowe. Obecne przepisy umożliwiają nałożenie na przedsiębiorców jednorazowej grzywny nieprzekraczającej 50 tys. zł. RODO przewiduje kary nawet do 20 milionów euro bądź 4 proc. obrotu światowego w związku z wyciekiem bądź incydentem związanym z danymi osobowymi. Kary pieniężne w każdym przypadku mają być odstraszające, proporcjonalne i skuteczne. Będą zależały od charakteru, wagi i czasu trwania naruszenia oraz innych czynników takich jak np. próba zminimalizowania ryzyka.