Wróć do strony głównej Adwokata Wielkopolskiego < cofnij

RODO - Europejska rewolucja w ochronie danych osobowych

2018-03-11

W dniu 25 maja 2018 r. obowiązywać zacznie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), potocznie określane jako RODO. Unijny akt wprowadza szereg obowiązków, których niedopełnienie skutkować może poważnymi sankcjami, w tym bardzo wysokimi karami pieniężnymi. W niniejszym opracowaniu przedstawię, w dużym skrócie, nowości wprowadzane przez RODO.

Jednym z głównych założeń twórców RODO była jego uniwersalność. Dlatego też w treści rozporządzenia unikano wskazywania konkretnych rozwiązań, które mają być stosowane przez administratorów danych. Zamiast tego skupiono się na generalnych zasadach, prawach i obowiązkach. Dzięki temu każdy podmiot zobowiązany do stosowania RODO będzie mógł spełnić stawiane mu wymagania zgodnie z obowiązującą u siebie infrastrukturą, polityką bezpieczeństwa i innymi wewnętrznymi regulacjami.

RODO nie wprowadza także (z nielicznymi wyjątkami) listy dokumentów, które powinny posiadać zainteresowane podmioty. Wielokrotnie w treści rozporządzenia podkreśla się jednak, że administrator, w celu uniknięcia kar finansowych, musi mieć możliwość udokumentowania, że przestrzega zasad RODO. Ostatecznie można zatem przyjąć, że większość dotychczasowej dokumentacji, po wprowadzeniu stosownych zmian, będzie przydatna także pod rządami rozporządzenia.

Kluczowym założeniem nowych przepisów jest oparcie systemu bezpieczeństwa danych osobowych na analizie ryzyka naruszenia praw i wolności osób fizycznych, których dane dotyczą. Oznacza to konieczność wprowadzenia przez administratorów i dalsze podmioty nie tylko procedur analizy ryzyka, ale także jego dokumentacji i odpowiedniego reagowania.

Z analizą ryzyka związany jest także obowiązek stosowania się do dwóch zasad – privacy by design oraz privacy by default. Pierwsza z nich nakłada na administratora konieczność uwzględniania zasad ochrony danych osobowych już na etapie projektowania procesów, systemów i konkretnych środków ochrony danych. Druga stwierdza natomiast, że każde domyślne ustawienia usług związanych z danymi osobowymi (np. konta użytkowników na stronach internetowych) mają w sposób maksymalny chronić dane osobowe, a dopiero sam użytkownik, poprzez świadome i celowe działanie, może zmniejszyć poziom tej ochrony.

RODO reguluje zasady powierzenia przetwarzania danych przez administratorów innym podmiotom. W tym przedmiocie przewidziano szereg nowości, do których można zaliczyć chociażby obowiązek współdziałania podmiotu przetwarzającego i administratora oraz konieczność poddania się przez podmiot zewnętrzny kontroli administratora, gdyby okazała się ona konieczna.

Jak już wspomniano, RODO dość liberalnie podchodzi do niezbędnej dla administratora dokumentacji. Zrezygnowano z obowiązku rejestrowania zbiorów danych osobowych czy ewidencji osób upoważnionych do przetwarzania tych danych. Rozporządzenie nakłada jednak na podmioty zainteresowane obowiązek prowadzenia rejestru czynności przetwarzania, jeśli spełniają ustawowe warunki (z uwagi na to, że jednym z nich jest możliwość ryzyka naruszenia praw lub wolności osób, których dane dotyczą, niemalże każdy przedsiębiorca będzie musiał taki rejestr prowadzić).

Każdy administrator i podmiot przetwarzający ma obowiązek stosować adekwatne i skuteczne środki ochrony, tak techniczne jak i organizacyjne. W treści aktu prawnego, jako jeden z nich, wymieniono pseudonimizację. Polega ona na pozbawienia informacji cechy identyfikowalności (np. zastąpieniu nazwiska cyfrą). W takiej sytuacji identyfikacja osoby fizycznej może nastąpić dopiero z wykorzystaniem dodatkowych danych, które powinny znajdować się w innym miejscu.

RODO rozbudowało katalog praw osób, których dane osobowe dotyczą. Podmioty te będą mogły w każdym czasie żądać przenoszenia danych, ich usuwania, ograniczania przetwarzania, zmiany czy poprawiania. Administrator będzie zobowiązany udostępniać im dane osobowe oraz udzielać szczegółowych wyjaśnień.

Zwiększono zakres obowiązku informacyjnego, ciążącego na administratorze danych osobowych. Podczas zbierania lub przetwarzania danych podmioty te będą musiały udzielać informacji jasnej, prostej, napisanej zrozumiałym językiem, jednoznacznej i konkretnej.

Rozbudowie uległy obowiązki w zakresie informowania osób zainteresowanych o naruszeniach ochrony danych osobowych i zawiadamiania o tych incydentach odpowiednich organów. Popularną do tej pory funkcję Administratora Bezpieczeństwa Informacji ma zastąpić Inspektor Ochrony Danych, którego obowiązki i kompetencje zostały znacznie rozszerzone. Pełnić on ma m.in. funkcję łącznika między GIODO a podmiotem przetwarzającym dane osobowe.

Administratorzy, co wielokrotnie wskazywane jest w RODO, mają różne możliwości wykazania, że przestrzegają reguł unijnego rozporządzenia. Mogą na przykład stosować przyjęte przez branżowe zrzeszenia kodeksy postępowania w sprawach ochrony danych osobowych, albo poddać się mechanizmowi certyfikacji swojej działalności.

RODO wprowadziło także szereg innych obostrzeń, dotyczących chociażby danych wrażliwych i biometrycznych, czy pierwszy raz ujętego w ramy prawne unijnego rozporządzenia profilowania, które mają zapewnić bezpieczeństwo przetwarzanych danych osobowych. Za nieprzestrzeganie zasad rozporządzenia grozić będą różnego rodzaju sankcje, w tym poważne kary finansowe (liczone w wartościach bezwzględnych do 10 lub 20 milionów euro, albo jako procent od całkowitego rocznego obrotu).

Dokładne zapoznanie się z zasadami wprowadzanymi przez RODO jest kluczowe nie tylko dla adwokatów obsługujących podmioty gospodarcze (te bowiem będą często musiały wprowadzać kompleksowe rozwiązania techniczno-prawne w kwestii ochrony danych osobowych), ale dla wszystkich członków palestry. Każdy prawnik prowadzący działalność przetwarza w jakimś zakresie dane osobowe, a tym samym będą do niego miały zastosowanie normy unijnego rozporządzenia.

Opracował: adwokat Michał Wysocki

Uwagi do tekstu prosimy zgłaszać na adres poczty elektronicznej: zelek@gutowski.pro