RODO, inaczej – GDPR, czyli unijne rozporządzenie o ochronie danych osobowych, wchodzi w życie z dniem 25 maja 2018 r. Uchwalone zostało przez Parlament Europejski i Radę Unii Europejskiej w celu wprowadzenia spójnych i jednolitych regulacji w całej Unii Europejskiej dotyczących ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.
Rozporządzenie nie zawiera konkretnych wytycznych dla podmiotów przetwarzających jak zabezpieczać dane osobowe, dlatego każdy przedsiębiorca będzie musiał dostosować je indywidualnie do swojej działalności, rodzaju danych jakie przetwarza czy ilości przetwarzanych danych.
W rozumieniu przepisów rozporządzenia przetwarzaniem jest każda czynność dotycząca danych, np. kopiowanie, zapisywanie czy przechowywanie. Chociaż rozporządzenie nie wskazuje konkretnych rozwiązań to zawiera szereg obowiązków dla administratorów danych osobowych. Ponadto, tworzy także katalog zasad przetwarzania danych, którymi administratorzy mają obowiązek kierować się w swojej działalności. Do zasad przetwarzania danych osobowych w myśl RODO należą: zgodność przetwarzania danych z prawem oraz rzetelność i przejrzystość przetwarzania, ograniczanie celu zbierania i przetwarzania danych, minimalizacja danych, prawidłowości danych, które muszą być na bieżąco aktualizowane, ograniczenia przechowywania, ochrony danych przed utratą, zniszczeniem czy uszkodzeniem, a także zasada rozliczalności, w myśl której administrator musi być w stanie wykazać, że przestrzega wszystkich ww. obowiązków.
Poza powyższymi zasadami przetwarzania danych, administrator podczas ich uzyskiwania jest obowiązany także poinformować osobę, której dane uzyskuje o swoich danych, danych kontaktowych, celu przetwarzania, okresie przechowywania, prawie wglądu do danych, prawie do usunięcia czy przeniesienia danych. Jest to wprowadzony przez rozporządzenie powszechny obowiązek informacyjny.
Co więcej, administratorzy mają obowiązek zapewnienia należytego bezpieczeństwa przetwarzania danych oraz zgłaszania naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia o takim naruszeniu także osobę, której dane dotyczą.
Ponadto, rozporządzenie nakłada kolejny obowiązek na administratorów danych – obowiązek rejestrowania czynności przetwarzania, który to zastępuje dotychczasowy obowiązek rejestracji zbiorów danych osobowych w GIODO. Ma być to rejestr (w dowolnej formie – pisemnej bądź elektronicznej) zawierający takie informacje jak: dane administratora, cel przetwarzania, kategorie osób, których dane dotyczą, kategorie odbiorców danych, planowane terminy usunięcia danych, opis podjętych środków bezpieczeństwa oraz kategorie przetworzeń i jaka konkretnie osoba przetworzeń dokonała. Obowiązek ten nie dotyczy, co do zasady, przedsiębiorców lub podmiotów zatrudniających mniej niż 250 osób.
Poza nałożeniem na administratorów danych szeregu obowiązków, rozporządzenie w znacznym stopniu chroni osoby, których dane są przetwarzane. Przepisy rozporządzenia dają takiej osobie prawo dostępu do danych – administrator ma obowiązek poinformować na żądanie osoby uprawnionej o celu przetwarzania danych, odbiorcach tych danych, okresie ich przechowywania, pawie do żądania sprostowania czy usunięcia. Rozporządzenie ustanawia także prawo do bycia zapomnianym, czyli prawo żądania usunięcia danych. Z tego prawa można jednak skorzystać tylko w konkretnych przypadkach, np. kiedy dane nie są już niezbędne do celów dla których zostały zebrane, dane są przetwarzane niezgodnie z prawem czy w przypadku cofnięcia zgody osoby, której dane są przetwarzane przy jednoczesnym braku innych podstaw do dalszego przetwarzania.
Administratorzy danych, czyli podmioty podlegające przepisom RODO powinni więc przede wszystkim dokonać analizy obecnie przetwarzanych danych, klauzul oraz mechanizmów pozyskiwania zgody na przetwarzanie a także wszelkich podstaw prawnych przetwarzania danych. Następnie konieczna może być wymiana formularzy, klauzul czy zgód na dostosowane do wymogów RODO, czyli czytelne, jasne, sformułowane prostym i zrozumiałym językiem, a także wskazujące cel zbierania i przetwarzania danych, okres ich przechowywania oraz informujące o możliwości cofnięcia zgody na przetwarzanie. Konieczna może być także weryfikacja wewnętrznych procesów przetwarzania danych pod kątem bezpieczeństwa informacji oraz dostosowanie systemów w taki sposób, aby na każde żądanie osoby której dotyczą dane można było je poprzez jedną czynność skorygować, usunąć całkowicie lub przenieść do innego podmiotu, albo też podać osobie zainteresowanej informacje o danych jakimi dysponuje, a dotyczącymi jej osoby.
ALICJA BOŃCZAK
Radca Prawny
Pomoc Prawna Sanok
0
0
0
0
0
0
