Specjalizacje

RODO - regulacje UE o ochronie danych osobowych

Od 25 maja 2018 roku zacznie obowiązywać Unijne Rozporządzenie  dotyczące ochrony danych osobowych zwane w skrócie RODO. Administratorzy danych otrzymali od unijnego ustawodawcy aż dwa lata na wdrożenie jego wymagań lub dostosowanie wcześniej funkcjonujących u nich rozwiązań.

Wiele Organizacji, które na ostatnią chwilę pozostawiły kwestię zaimplementowania nowych wymogów prawnych może napotkać na liczne problemy, ponieważ przepisy RODO prezentują nowe podejście do kwestii ochrony danych osobowych. Aby przybliżyć najistotniejsze kwestie i zmiany Eksperci Kancelarii Prawnej VERBA-LEX przygotowali omówienie najważniejszych zagadnień, na które Administratorzy Danych powinni zwrócić uwagę.

Pierwszym etapem, od jakiego Organizacje powinny rozpocząć pracę nad wdrożeniem jest analiza posiadanych przez nie zbiorów danych osobowych, sposobów ich wykorzystywania, podstaw prawnych usprawiedliwiających cel przetwarzania oraz wykorzystywanych do tego zasobów informatycznych. Ułatwieniem tego procesu może być zlecenie niezależnego audytu danych osobowych, który będzie analizą zgodności przetwarzania danych osobowych z wymaganiami Rozporządzenia. Wyniki audytu pomogą Organizacji na wykrycie tych obszarów, które wymagają jeszcze wdrożenia zmian.

Podsumowanie najważniejszych zagadnień:

Rozporządzenie wprowadza wiele zmian do procesu zbierania zgód. Administrator będzie miał obowiązek jednoznacznego wykazania, że osoba której dane dotyczą wyraziła zgodę na przetwarzanie jej danych oraz będzie musiał takie osoby informować o możliwości cofnięcia zgody na przetwarzanie jeszcze przed uzyskaniem tej zgody. Zmiany w zakresie zgód dotyczą również dzieci poniżej 16 roku życia, w takim przypadku Administrator będzie musiał uzyskać zgodę rodzica lub opiekuna.

Art. 13 i 14 RODO wprowadza nowe obowiązki informacyjne dla Administratorów, którzy będą musieli zmienić treść informacji, które do tej pory przekazywali osobom, których dane przetwarzają.

Aby spełnić powyższe wymagania ADO będzie musiał dostosować proces przetwarzania danych i wykorzystywane w tym celu systemy informatyczne aby móc wypełnić takie obowiązki, jak prawo do przeniesienia danych, prawo do bycia zapomnianym czy prawo do ograniczenia przetwarzania. Ponadto będzie musiał umożliwić właścicielowi danych uzyskanie kopii jego danych, które przetwarza.

Zupełną nowością jest uregulowanie kwestii profilowania osób. Podstawowym wymogiem będzie konieczność informowania osób, których dane dotyczą o samym fakcie wykorzystywania profilowania, możliwości wniesienia sprzeciwu w tym zakresie oraz o jego konsekwencjach  (Nowe klauzule informacyjne). Wymóg ten będzie miał szczególne znaczenie dla Organizacji, które na podstawie automatycznego przetwarzania i analizowania danych podejmują decyzje wiążące dla osoby, której dane dotyczą (m.in. Banki, Towarzystwa Ubezpieczeniowe, Firmy Pożyczkowe).

Zasady te w głównej mierze będą odnosiły się do ochrony danych przetwarzanych w systemach informatycznych i zostały określone jako „Privacy by design” oznaczającą konieczność uwzględniania kwestii ochrony danych osobowych na etapie projektowania projektów bądź usług oraz „Privacy by default” odnoszący się do takiego projektowania usług, by ustawienia domyślne gwarantowały użytkownikom maksymalną ochronę ich danych. Ponadto unijny ustawodawca zwraca uwagę na konieczność stosowania  odpowiednich organizacyjnych i technicznych środków ochrony danych, takich które zapewnią ochronę na odpowiednim poziomie zgodnym z oszacowanym ryzkiem, nie precyzuje jednak, jakie dokładnie mają to być środki i pozostawia dowolność w tym zakresie Administratorowi danych.

Przedsiębiorstwa wchodzące w skład grup kapitałowych zyskują możliwość bycia współadministratorem danych, o takim fakcie również będą musiały informować właścicieli danych.

Dotychczasowe przepisy mocno regulowały kwestię prowadzonej dokumentacji oraz jej zakres, RODO wprowadza jedynie obowiązek prowadzenia rejestru czynności przetwarzania danych przez Administratorów, jak również przez podmioty przetwarzające. Szczegółowe wytyczne zawiera art. 30 RODO.

Każdy Administrator danych będzie miał obowiązek zgłaszania naruszeń w zakresie ochrony danych osobowych w ciągu 72 godzin od stwierdzenia naruszenia do GIODO. Spełnienie wymagań tego obowiązku będzie jednym z większych wymagań Administratorów, będzie wymagało wprowadzenia stosownych regulacji wewnętrznych i procedur w zakresie zgłaszania incydentów i znacznego wyczulenia pracowników Organizacji na konieczność reagowania i szybkiego zgłaszania incydentów. Dodatkowo Administrator będzie musiał zawiadomić osobę, której dane dotyczą o naruszeniu ochrony jej danych osobowych.

Do kwestii oceny skutków operacji przetwarzania danych odnoszą się art. 35 i 36 Rozporządzenia. Obligują one Administratora danych do konieczności oceny skutków przetwarzania przed jego rozpoczęciem, jeżeli proces przetwarzania ma duże prawdopodobieństwo naruszenia praw i wolności osób fizycznych.

Inspektorzy Ochrony Danych Osobowych zastąpią dotychczasowych Administratorów Bezpieczeństwa Informacji. Każda Organizacja przetwarzająca dane będzie musiała zweryfikować, czy podlega obowiązkowi wyznaczenia Inspektora, a jeżeli nie czy podjęcie decyzji o jego wyznaczeniu nie jest uzasadnione ze względu na zakres przetwarzanych danych osobowych.

Jeżeli podmiot przetwarzający przesyła dane osobowe do państw trzecich musi również dostosować swoje wewnętrzne procedury do wymagań RODO w tym zakresie, które zostały sprecyzowane w art. 37-39 Rozporządzenia.

RODO wprowadza mechanizmy certyfikacji w zakresie ochrony danych osobowych, które będą potwierdzały zgodność procesów przetwarzania danych z wymaganiami prawnymi. Certyfikacja może stanowić dodatkowy atut dla Organizacji, zwiększać jej wiarygodność w oczach Klientów a tym samym zapewniać przewagę konkurencyjną.

Kontakt

Nasi eksperci są do Państwa dyspozycji

Warszawa

ul. Piękna 24/26A lok. 1
00-549 Warszawa

Tel./Fax: +48 22 213 16 10
Tel. kom.: +48 661 839 128

Radom

ul. 11 Listopada 10A
26-609 Radom

Tel./Fax: +48 48 364 69 32
Tel. kom.: +48 798 139 259

Kancelaria Prawna VERBA-LEX Paweł Strzałkowski

NIP: 7962573435
REGON: 141455843

Rachunek bankowy:
Bank BGŻ BNP PARIBAS S.A.
32 2030 0045 1110 0000 0153 4360

Partner Zarządzający - Radca Prawny

Paweł Strzałkowski

Tel. kom.: +48 785 188 831

E-mail: pawel.strzalkowski@verba-lex.pl

W związku z faktem, że znaczny zakres usług świadczymy poza biurami Kancelarii, serdecznie prosimy o uprzednie ustalanie terminu konsultacji prawnych telefonicznie lub za pośrednictwem poczty elektronicznej.