KIRP
Język polski English language

Specjalizacje

RODO - regulacje UE o ochronie danych osobowych

Od 25 maja 2018 roku obowiązuje Unijne Rozporządzenie dotyczące ochrony danych osobowych zwane w skrócie RODO. Administratorzy Danych są zobowiązani wdrożyć jego wymagania lub dostosować wcześniej funkcjonujące u nich rozwiązania.

Przepisy RODO prezentują nowe podejście do kwestii ochrony danych osobowych. Aby przybliżyć najistotniejsze kwestie i zmiany Eksperci Kancelarii Prawnej VERBA-LEX przygotowali omówienie najważniejszych zagadnień, na które Administratorzy Danych powinni zwrócić uwagę.

Pierwszym etapem, od jakiego Organizacje powinny rozpocząć pracę nad wdrożeniem jest analiza posiadanych przez nie zbiorów danych osobowych, sposobów ich wykorzystywania, podstaw prawnych usprawiedliwiających cel przetwarzania oraz wykorzystywanych do tego zasobów informatycznych. Ułatwieniem tego procesu może być zlecenie niezależnego audytu danych osobowych, który będzie analizą zgodności przetwarzania danych osobowych z wymaganiami Rozporządzenia. Wyniki audytu pomogą Organizacji na wykrycie tych obszarów, które wymagają jeszcze wdrożenia zmian.

Podsumowanie najważniejszych zagadnień:

Rozporządzenie wprowadza wiele zmian do procesu zbierania zgód. Od teraz Administrator ma obowiązek jednoznacznego wykazania, że osoba której dane dotyczą wyraziła zgodę na przetwarzanie jej danych oraz musi takie osoby informować o możliwości cofnięcia zgody na przetwarzanie jeszcze przed uzyskaniem tej zgody. Zmiany w zakresie zgód dotyczą również dzieci poniżej 16 roku życia, w takim przypadku Administrator musi uzyskać zgodę rodzica lub opiekuna.

Art. 13 i 14 RODO wprowadza nowe obowiązki informacyjne dla Administratorów, którzy muszą zmienić treść informacji, które do tej pory przekazywali osobom, których dane przetwarzają.

Aby spełnić powyższe wymagania ADO musi dostosować proces przetwarzania danych i wykorzystywane w tym celu systemy informatyczne aby móc wypełnić takie obowiązki, jak prawo do przeniesienia danych, prawo do bycia zapomnianym czy prawo do ograniczenia przetwarzania. Ponadto musi umożliwić właścicielowi danych uzyskanie kopii jego danych, które przetwarza.

Zupełną nowością jest uregulowanie kwestii profilowania osób. Podstawowym wymogiem jest konieczność informowania osób, których dane dotyczą o samym fakcie wykorzystywania profilowania, możliwości wniesienia sprzeciwu w tym zakresie oraz o jego konsekwencjach  (Nowe klauzule informacyjne). Wymóg ten ma szczególne znaczenie dla Organizacji, które na podstawie automatycznego przetwarzania i analizowania danych podejmują decyzje wiążące dla osoby, której dane dotyczą (m.in. Banki, Towarzystwa Ubezpieczeniowe, Firmy Pożyczkowe).

Zasady te w głównej mierze odnoszą się do ochrony danych przetwarzanych w systemach informatycznych i zostały określone jako „Privacy by design” oznaczającą konieczność uwzględniania kwestii ochrony danych osobowych na etapie projektowania projektów bądź usług oraz „Privacy by default” odnoszący się do takiego projektowania usług, by ustawienia domyślne gwarantowały użytkownikom maksymalną ochronę ich danych. Ponadto unijny ustawodawca zwraca uwagę na konieczność stosowania  odpowiednich organizacyjnych i technicznych środków ochrony danych, takich które zapewnią ochronę na odpowiednim poziomie zgodnym z oszacowanym ryzkiem, nie precyzuje jednak, jakie dokładnie mają to być środki i pozostawia dowolność w tym zakresie Administratorowi danych.

Przedsiębiorstwa wchodzące w skład grup kapitałowych zyskują możliwość bycia współadministratorem danych, o takim fakcie również będą musiały informować właścicieli danych.

Dotychczasowe przepisy mocno regulowały kwestię prowadzonej dokumentacji oraz jej zakres, RODO wprowadza jedynie obowiązek prowadzenia rejestru czynności przetwarzania danych przez Administratorów, jak również przez podmioty przetwarzające. Szczegółowe wytyczne zawiera art. 30 RODO.

Każdy Administrator danych ma obowiązek zgłaszania naruszeń w zakresie ochrony danych osobowych w ciągu 72 godzin od stwierdzenia naruszenia do Urzędu Ochrony Danych Osobowych. Spełnienie wymagań tego obowiązku jest jednym z większych wymagań Administratorów, wymaga wprowadzenia stosownych regulacji wewnętrznych i procedur w zakresie zgłaszania incydentów i znacznego wyczulenia pracowników Organizacji na konieczność reagowania i szybkiego zgłaszania incydentów. Dodatkowo Administrator musi zawiadomić osobę, której dane dotyczą o naruszeniu ochrony jej danych osobowych.

Do kwestii oceny skutków operacji przetwarzania danych odnoszą się art. 35 i 36 Rozporządzenia. Obligują one Administratora danych do konieczności oceny skutków przetwarzania przed jego rozpoczęciem, jeżeli proces przetwarzania ma duże prawdopodobieństwo naruszenia praw i wolności osób fizycznych.

Inspektorzy Ochrony Danych Osobowych zastąpili dotychczasowych Administratorów Bezpieczeństwa Informacji. Każda Organizacja przetwarzająca dane jest zobowiązana zweryfikować, czy podlega obowiązkowi wyznaczenia Inspektora, a jeżeli nie czy podjęcie decyzji o jego wyznaczeniu nie jest uzasadnione ze względu na zakres przetwarzanych danych osobowych.

Jeżeli podmiot przetwarzający przesyła dane osobowe do państw trzecich musi również dostosować swoje wewnętrzne procedury do wymagań RODO w tym zakresie, które zostały sprecyzowane w art. 37-39 Rozporządzenia.

RODO wprowadza mechanizmy certyfikacji w zakresie ochrony danych osobowych, które będą potwierdzały zgodność procesów przetwarzania danych z wymaganiami prawnymi. Certyfikacja może stanowić dodatkowy atut dla Organizacji, zwiększać jej wiarygodność w oczach Klientów, a tym samym zapewniać przewagę konkurencyjną.

Kontakt

Nasi eksperci są do Państwa dyspozycji

W związku z faktem, że znaczny zakres usług świadczymy poza biurami Kancelarii, serdecznie prosimy o uprzednie ustalanie terminu konsultacji prawnych telefonicznie lub za pośrednictwem poczty elektronicznej.