Czym jest RODO? Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Przed RODO Różne przepisy w każdym kraju członkowskim UE (teoretycznie prawo krajowe miało być budowane na podstawie dyrektywy unijnej, w praktyce przepisy prawa były różne i różnie przestrzegane). Podejście od strony jednorazowej (początkowej) oceny potrzeb ochrony danych osobowych. Po RODO Jednolite rozporządzenie, które w takim samym brzmieniu, obowiązuje we wszystkich krajach UE. Podejście od strony każdorazowej analizy ryzyka. Ochrona danych osobowych jako ciągły proces. Możliwość podjęcia działań korygujących po wykryciu naruszenia, prowadzących do oddalenia ryzyka sankcji. Ograniczone realne możliwości egzekwowania zgodności z przepisami (kary finansowe zdarzały się rzadko i były niskiej wysokości np. 40-50 tys. zł). Istotne ograniczenie lub brak możliwości działań korygujących (oddalających ryzyko sankcji) po wykryciu nieprawidłowości. Odstraszające kary, które wesprą egzekwowanie zgodności z przepisami RODO. Czym jest przetwarzanie danych osobowych? Przetwarzanie oznacza operację lub zestaw operacji wykonanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany.
Kim jest administrator danych osobowych? Status administratora danych osobowych może mieć każdy podmiot: osoba fizyczna, prawna, organ publiczny, jednostka organizacyjna lub inny podmiot nieposiadający osobowości prawnej. Podmiot taki będzie administratorem danych osobowych, jeśli: 1) samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania danych osobowych; 2) cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego. Podstawowe obowiązki administratora danych: 1) Obowiązek prowadzenia rejestrów przetwarzania danych osobowych (dla każdego procesu przetwarzania danych osobowych osobno) nie można zrobić tego tylko raz, powinno się do tego wracać co jakiś czas i weryfikować czy nadal proces wygląda tak samo. 2) Szerszy niż dotychczas obowiązek informacyjny: a. Kto jest administratorem danych osobowych? b. Czy został powołany Inspektor Ochrony Danych Osobowych? c. Jaki jest cel przetwarzania danych osobowych? d. Jak długo będą przetwarzane dane osobowe? e. Czy dane są powierzane jakimkolwiek podmiotom zewnętrznym? f. Czy dane będą profilowane? g. Czy dane będą przekazywane do państw trzecich? 3) Wdrożenie mechanizmów pozwalających informować osobę o przetwarzaniu jej danych podmiot, który uzyskuje dane osobowe, w wyniku toczącego się procesu, może przekazywać te dane do innego podmiotu. Podmiot, który otrzymał te dane, gdy po zakończeniu tego procesu chce przetworzyć dane w innym procesie, musi poinformować o tym osobę fizyczną. 4) Wymagania dla Privacy by Design i Privacy by Default a. By design administrator danych ma za zadanie zapewnić, aby na etapie projektowania systemu oraz na etapie wykorzystywania go do przetwarzania danych, wprowadzone zostały do niego odpowiednie środki techniczne i organizacyjne, mające na celu zapewnienie ochrony danych użytkowników i ich przetwarzanie zgodnie z Rozporządzeniem. b. By default - administrator powinien wdrożyć takie środki techniczne i organizacyjne, aby przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Dotyczy to ilości
zbieranych danych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. 5) Uwzględnienie RODO w standardach umownych z każdym podmiotem, któremu dajemy dostęp do danych osobowych, mamy obowiązek podpisania umowy powierzenia danych osobowych. 6) Obsługa incydentów naruszenia bezpieczeństwa danych jeśli np. zaginie dokumentacja w formie papierowej lub ktoś uzyska nieuprawniony dostęp do danych osobowych, w ciągu 72h od powzięcia informacji, że miało miejsce naruszenie bezpieczeństwa danych osobowych, podmiot który jest administratorem danych osobowych ma obowiązek zgłosić to do Urzędu Ochrony Danych Osobowych. 7) Organizacyjne ograniczenie dostępu do danych osobowych miejsce przetwarzania danych wrażliwych, czyli w naszym wypadku pracownia psychologiczna, powinno mieć organizacyjnie zapewnione ograniczenie dostępu do przechowywanych danych osobowych (np. karty badania przechowywane w szafach zamykanych na klucz, brak dostępności danych na kartach w polu widzenia badanych) 8) Szkolenia. Zasady przetwarzania danych osobowych: Zasada legalności należy w sposób legalny wejść w posiadanie danych osobowych; Zasada celowości konkretny cel, dla którego zbiera się dane osobowe; Zasada adekwatności zakres danych adekwatny do celu; Zasada merytorycznej poprawności dbałość o to, żeby dane nie zostały wymieszane z innymi danymi; Zasada czasowości przechowujemy tak długo, jak jest to niezbędne do realizacji celu; Zasada integralności i poufności danych; Zasada rozliczalności jeśli przetwarzamy dane osobowe przez określony czas, to po jego upływie musimy zrewidować te podmioty, do których zostały przekazane te dane. Usuwamy te dane u siebie i musimy zobligować te podmioty do uczynienia tego samego; Zasada przejrzystości - obywatel ma prawo do uzyskania wszelkiej informacji na temat tego, czy i kto przetwarza jego dane osobowe.
Podstawy przetwarzania danych: Każdy proces przetwarzania danych musi opierać się co najmniej na jednej podstawie prawnej: 1. Osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów zgoda musi być konkretna, najlepiej udokumentowana. 2. Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osobą, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy np. podanie danych odbiorcy paczki pocztowej. 3. Przetwarzanie jest niezbędne do ochrony życiowych interesów osoby, której dane dotyczą lub innej osoby fizycznej np. stan zagrożenia życia i niezbędna do jego uratowania pomoc. 4. Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze np. przekazywanie przez pracodawcę informacji do Urzędu Skarbowego; 5. Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publiczny lub w ramach sprawowania władzy publicznej powierzonej administratorowi np. wybory. 6. Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Uniwersalna zasada: Przetwarzaj dane osobowe bliźnich tak, jak chciałbyś, żeby twoje dane były przetwarzane. Etapy wdrożenia ochrony danych osobowych a RODO: 1) Identyfikacja ryzyk zwracamy uwagę na problematyczne sfery (np. niezabezpieczone okna w pomieszczeniu na parterze, niekorzystanie z systemów antywirusowych); 2) Wizja lokalna analiza tego, jak i gdzie przetwarzane będą dane osobowe; 3) Weryfikacja procedur czy w każdym momencie przetwarzanie ; 4) Weryfikacja dokumentów, w tym umów z dostawcami i kontrahentami; 5) Sposób realizacji obowiązku informacyjnego oraz formuł zgody na przetwarzanie danych osobowych zgoda powiązana z klauzulą informacyjną; 6) Weryfikacja funkcjonalności systemów informatycznych, środków organizacyjnych i technicznych; 7) Dostosowanie organizacji, dokumentów, procedur do wymagań RODO.
Sankcje za nieprzestrzeganie przepisów prawa: Kara niższa (do 10 mln euro, a w przypadku przedsiębiorcy alternatywnie do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa) będzie miała zastosowanie między innymi, w przypadku naruszenia przepisów dotyczących: Zakazu przetwarzania danych osobowych, jeżeli ich przetwarzanie w formie umożliwiającej identyfikację podmiotu danych nie jest już konieczne (art. 11); Obowiązku stosowania mechanizmów privacy by design i privacy by default (art. 25); Obowiązku rejestrowania czynności przetwarzania (art. 30); Obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 32); Obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33); Obowiązek wyznaczenia inspektora ochrony danych osobowych oraz zapewnienie mu odpowiednich zasobów i gwarancji niezależności (art. 37). Kara wyższa (do 20, a w przypadku przedsiębiorcy alternatywnie do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa) będzie miała zastosowanie między innymi, w przypadku naruszenia przepisów dotyczących: Podstawowych zasad przetwarzania, w tym warunków uzyskania zgody (art. 5, 6, 7, 9); Praw osób, których dane dotyczą m. in.: prawa dostępu do danych, prawa do sprostowania, prawa do bycia zapomnianym, prawa do ograniczenia przetwarzania, prawa do przenoszenia danych, prawa do wniesienia sprzeciwu, prawa do tego, by nie podlegać profilowaniu (art. 12-22); Zasad transferu danych osobowych do państw trzecich lub organizacji międzynarodowych (art. 44-49); Nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania orzeczonego przez organ nadzorczy; Prawa organu nadzorczego dostępu do siedziby administratora lub podmiotu przetwarzającego.
Pytania: 1) Prowadzę prywatną pracownię, daję księgowej faktury, na których są dane osobowe. Czy powinnam podpisać umowę o przetwarzaniu danych osobowych? Tak, w takiej sytuacji musi być podpisana umowa powierzenia danych. 2) Czy Inspektor Ochrony Danych Osobowych musi mieć jakieś dodatkowe uprawnienia czy być specjalnie przeszkolony? To może być każda osoba, pod warunkiem, że ma odpowiednią wiedzę. Nie ma wymogów związanych z wykształceniem. Powinien być jednak odpowiednio usytuowany w instytucji, czyli odpowiadać bezpośrednio przed kierownictwem firmy. Może być to też osoba z zewnątrz. 3) Czy mamy prawo wziąć do ręki dowód osobisty i prawo jazdy badanego? Uprawnienie do wylegitymowania i weryfikacji danych zawartych w dokumentach ma Policja. My powinniśmy ograniczyć się do tego, że badany okazuje nam swoje dokumenty. 4) Jak ma wyglądać kwestia podpisywania badanego w rejestrze z medycyny pracy? Zakrywamy wszystkie dane innych osób znajdujące się na widocznej stronie rejestru. 5) Jak mamy poprosić badanego czekającego przed salą? Nie używamy nazwiska. Zwracamy się np. Panie Tomaszu.