RODO, czyli co się zmieni oraz do czego (i jak) trzeba się przygotować.

Transkrypt

1 O R Y G I N A Ł / O D P I S RODO, czyli co się zmieni oraz do czego (i jak) trzeba się przygotować. W dniu 25 maja 2018 r. wejdzie w życie tzw. rozporządzenie RODO 1, które ma na celu wprowadzenie jednolitych zasad przetwarzania danych osobowych na terenie Unii Europejskiej. Oznacza to, że obecnie obowiązująca ustawa o ochronie danych osobowych zostanie uchylona i zastąpiona nową ustawą 2, która będzie określać jedynie sposób postepowania krajowymi organami nadzoru (obecnym GIODO). Do czego RODO znajdzie zastosowanie? RODO dotyczy przetwarzania każdej informacji o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W przypadku przedsiębiorców RODO znajdzie zastosowanie m.in. do informacji o pracownikach, współpracownikach, konsumentach oraz kontrahentach będących osobami fizycznymi. RODO ma zastosowanie do wszystkich informacji takich jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji (np. dane pochodzące z monitoringu na terenie zakładu pracy, dane z nadajnika GPS zamieszczonego w samochodzie firmowym), identyfikator internetowy, dane o zdrowiu osoby fizycznej, etc. Czy wszystkie dane są chronione jednakowo? W RODO wyszczególniono szczególne kategorie danych osobowych, których przetwarzanie jest ograniczone. Zabronione jest przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Przetwarzanie tych danych dopuszczalne jest jedynie w wypadkach uzasadnionych przepisami prawa krajowego lub wyraźną zgodą osoby, której dane dotyczą. Jakie są zasady przetwarzania danych na podstawie RODO? W art. 5 RODO określono zasady, którymi administrator musi się kierować przetwarzając dane osobowe. Administrator w każdej chwili musi być w stanie wykazać, że przestrzega tych zasad (z tych względów zalecane 1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. 2 Tak wynika z aktualnego projektu ustawy o ochronie danych osobowych dostępnego na stronie Rządowego Centrum Legislacji. Strona 1 z 5

2 jest przyjęcie określonych regulaminów, polityk postępowania z danymi osobowymi, aby okoliczność tę udowodnić). Zgodnie z tym przepisem, dane osobowe muszą być: A. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą administrator musi być w stanie wykazać istnienie podstawy do przetwarzania danych, zgoda musi być uzyskana w sposób ważny i skuteczny (np. nie można uzależnić zawarcia umowy od udzielenia przez drugą stronę zgody na przetwarzanie jej danych w celu niezwiązanym z umową, ani też nie można domniemywać istnienia zgody). B. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach dane osobowe muszą być zbierane w oznaczonym celu, wiadomym osobie, której dane dotyczą i bez jej zgody nie mogą być wykorzystywane w innych celach. C. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane administrator powinien ograniczyć przetwarzanie danych tylko, co do tych, które są mu niezbędne. Do minimum należy ograniczyć przetwarzanie danych oraz krąg odbiorców, którym dane te mają być udostępniane. D. prawidłowe i w razie potrzeby uaktualniane administrator powinien podejmować wszelkie działania, aby sprostować nieprawidłowe dane, a jest obowiązany jest sprostować na żądanie osoby, której dane dotyczą. E. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane gdy ustanie potrzeba przetwarzania danych osobowych (np. cofnięcie zgody, rozwiązanie stosunku pracy, wygaśnięcie umowy, etc.), jeśli nie będzie istnieć inna podstawa prawna do przechowywania danych osobowych (np. obowiązek nałożony na pracodawcę co do przechowywania dokumentacji pracowniczej, konieczność dochodzenia roszczeń), to dane te powinny zostać usunięte, albo zanonimizowane. F. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych administrator ma zastosować adekwatne środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo danym. Co zmienia się w sposobie przetwarzania danych osobowych? Podstawowe zmiany wprowadzone przez RODO mają na celu ograniczenie przetwarzania danych osobowych do niezbędnego minimum. Administrator ma prawo zbierać dane jedynie w zakresie i przez czas, w jakim jest to niezbędne dla zamierzonych celów, a sposób ich przetwarzania powinien ograniczać ich ujawnianie innym osobom. Strona 2 z 5

3 Jakie są obowiązki administratora danych na podstawie RODO? Postanowienia RODO nakładają szereg obowiązków na administratora danych osobowych; częściowo obowiązki te są powtórzeniem już istniejących obowiązków (aktualnie wynikających z ustawy o ochronie danych osobowych), częściowo zostały one doprecyzowane, a częściowo są to nowe obowiązki. Niżej zostaną wymienione najistotniejsze z nich: A. Obowiązek udzielania przez administratora informacji o przetwarzaniu danych osobowych. Zgodnie z RODO administrator ma obowiązek poinformować osobę, której dane przetwarza informacji o przetwarzaniu jej danych oraz odpowiadać na jej żądania związane z przetwarzaniem tych danych. Informacji tych administrator powinien udzielić nie dalej niż w ciągu miesiąca od ich pozyskania, najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą albo przy ich pierwszym ujawnieniu innemu odbiorcy. B. Obowiązek usunięcia danych osobowych prawo do bycia zapomnianym. RODO wprowadza całkowicie nowe rozwiązanie w postaci prawa do bycia zapomnianym. Każda osoba będzie miała prawo żądania usunięcia jej danych ze zbioru danych prowadzonego przez administratora, jeśli dane te nie będą już konieczne dla celów, w których zostały zebrane lub przetworzone, albo osoba ta cofnęła zgodę i nie ma innych podstaw ich dalszego przetwarzania. W takim przypadku, jeśli nie zachodzą wyjątki określone w RODO, administrator będzie miał obowiązek usunąć dane tej osoby. C. Obowiązki związane z automatycznym profilowaniem. W art. 22 RODO wprowadzono ograniczenia w zakresie tzw. automatycznego profilowania to jest automatycznego przetwarzania danych przez systemy komputerowe i wywoływania w ten sposób skutków prawnych wobec osoby (np. podejmowania decyzji, co do załatwienia wniosku kredytowego wyłącznie na podstawie działań systemu komputerowego i automatycznej analizy historii rachunku bankowego, bez ingerencji ludzkiej, czy też usunięcia danych z portalu społecznościowego tylko na podstawie działań algorytmów). RODO dopuszcza automatyczne profilowanie tylko na wyraźnej podstawie prawnej (zgodzie osoby, której dane dotyczą) oraz tylko pod warunkiem, że osoba ta będzie miała prawo uzyskania interwencji ludzkiej ze strony administratora i wyrażenia własnego stanowiska. D. Obowiązek sporządzenia Rejestru czynności przetwarzania danych. Art. 30 RODO określa, że administrator obowiązany prowadzić jest Rejestr czynności przetwarzania danych osobowych. W rejestrze tym należy zamieścić m.in. informacje o kategoriach osób, których dane są przetwarzane, kate- Strona 3 z 5

4 goriach przetwarzanych danych, celach przetwarzania oraz kategoriach osób, którym będą one udostępniane. Rejestr prowadzony jest w formie pisemnej lub elektronicznej. Nie ma obowiązku prowadzenia rejestru przedsiębiorca zatrudniający do 250 osób chyba, że przetwarzanie może powodować ryzyko naruszenia praw i wolności osób, których dane dotyczą, nie ma charakteru sporadycznego oraz obejmuje szczególne kategorie danych osobowych. Każdy przedsiębiorca, który przetwarza dane związane np. z przynależnością do związków zawodowych pracowników, danymi biometrycznymi pracowników, danymi o stanie zdrowia pracowników będzie musiał prowadzić taki rejestr. E. Obowiązek zawiadomienia o naruszeniu danych osobowych. W przypadku naruszenia ochrony danych osobowych, administrator ma obowiązek zawiadomić organ nadzorujący (obecnie jest to GIODO) o fakcie naruszenia w terminie do 72 godzin od stwierdzenia naruszenia. Administrator ma również obowiązek powiadomić osobę, której dane dotyczą o naruszeniu ochrony danych osobowych, z wyjątkiem, gdy dane były odpowiednio zabezpieczone w sposób uniemożliwiający odczyt lub gdy administrator zastosował odpowiednie środki następcze. F. Przeprowadzenie oceny skutków ryzyka. W niektórych przypadkach, przed rozpoczęciem przetwarzania danych, administrator może być zobowiązany do przeprowadzania tzw. oceny skutków ryzyka będzie to miało miejsce w przypadku, gdy dany rodzaj przetwarzania z uwagi na swój charakter, zakres, kontekst i cele (tytułem przykładu RODO wskazuje na przetwarzanie z użyciem nowych technologii) może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. G. Powołanie inspektora ochrony danych. Jeśli główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub celem wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub gdy główna działalność administratora polega na przetwarzaniu szczególnych kategorii danych osobowych, to administrator ma obowiązek wyznaczenia Inspektora Ochrony Danych. Zadaniem Inspektora Ochrony Danych jest monitorowanie przestrzegania przepisów RODO oraz informowanie administratora o jego obowiązkach. Czego administrator już nie będzie musiał robić? RODO określa wszelkie obowiązki spoczywające po stronie administratora związane z przetwarzaniem danych osobowych. Oznacza to, że na podstawie przepisów prawa krajowego tylko w zakresie określonym w RODO będzie możliwe nałożenie na administratora dodatkowych obowiązków. Z chwilą wejścia w życie RODO zniknie obowiązek rejestracji zbioru danych osobowych w GIODO oraz sporządzania sprawozdań, rejestrów i wykonywania innych obowiązków wynikających z tej ustawy. Strona 4 z 5

5 Jakie są kary za niezastosowanie się do RODO? Za naruszenie postanowień RODO administrator danych osobowych ponosi odpowiedzialność odszkodowawczą (wobec osób, których dane były przetwarzane wadliwe) oraz odpowiedzialność administracyjną. Organ nadzorczy (obecnie GIODO) będzie miał prawo nałożyć na administratora karę do EURO lub do równowartości 2% rocznego obrotu (zależnie, która wartość będzie wyższa) za naruszenie postanowień RODO, a w przypadku naruszeń podstawowych zasad RODO kara ta może wynosić do EUR lub do równowartości 4% rocznego obrotu. Projekt zmian w kodeksie pracy, czyli co jeszcze zmieni się poza RODO? W związku z wejściem w życie RODO planowane jest uchylenie obecnie obowiązującej ustawy o ochronie danych osobowych i nowelizacja szeregu obecnie obowiązujących ustaw w zakresie postępowania danymi osobowymi. Z obecnie dostępnych projektów 3 wynika, że zostaną wprowadzone zmiany w kodeksie pracy w zakresie przetwarzania przez pracodawcę danych osobowych pracowników. Zgodnie z projektem zmian pracodawca będzie mógł przetwarzać dane dotyczące imienia i nazwiska, wieku, adresu, numeru telefonu i adresu poczty elektronicznej, przebiegu zatrudnienia oraz wykształcenia osoby ubiegającej się o zatrudnienie; a od pracownika dodatkowo numeru PESEL, adresu zamieszkania oraz innych danych osobowych (pracownika i jego rodziny) jeśli będzie to konieczne do korzystania przez pracownika z uprawnień przewidzianych w prawie pracy. Z kolei przetwarzanie innych danych będzie dopuszczalne tylko i wyłącznie za zgodą pracownika. Jak się przygotować do RODO? Obowiązki nałożone przez RODO na administratora i sposób przetwarzania danych wymagają przeglądu i przeanalizowania obecnych podstaw przetwarzania danych osobowych. Konieczne jest zbadanie, czy każdy administrator może wykazać podstawę prawną do przetwarzania danych osobowych zgodnie z RODO. Następnie należy określić, czy dane te są przetwarzane zgodnie z zasadami określonymi w RODO, to jest, czy przetwarzanie danych w określonym zakresie jest celowe, czy też dla osiągniecia celu wystarczy ograniczenie zakresu przetwarzania. O ile RODO nie nakazuje sporządzania określonej dokumentacji (poza dwoma wyjątkami), to uzasadnionym wydaje się opracowanie stosownego regulaminu (polityk, zasad) określającego zasady postępowania z danymi osobowymi poszczególnych kategorii (pracowników, współpracowników, kontrahentów), aby ograniczyć ich przetwarzanie, a jednocześnie zapewnić sprawne funkcjonowanie przedsiębiorstwa. 3 Obecnie na etapie konsultacji i opiniowania projekt nie jest jeszcze ostateczny, ani też nie został skierowany do Sejmu. Strona 5 z 5