Od dnia 25 maja 2018 roku przedsiębiorcy, spółki, urzędy, będą musiały stosować zmodyfikowane zasady w zakresie ochrony danych osób fizycznych wprowadzone rozporządzeniem Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych- zwane dalej RODO). Okoliczność ta nie jest bez znaczenia, bowiem sen z powiek wielu podmiotów przetwarzających dane osobowe, spędzają wysokie kary przewidziane za naruszenie przepisów (najwyższa przewidziana sankcja to 20 000 000 EURO).
W ocenie ustawodawcy europejskiego, w związku z rozwojem technologii informatycznej i powszechności dostępu do internetu, dotychczasowe zasady ochrony danych osób fizycznych stały się niewystarczające.
Dotychczas obowiązujące w Polsce przepisy ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych nakładały na podmioty przetwarzające dane osobowe obowiązek prowadzenia dokumentacji w tym zgłaszania zbiorów danych do GIODO ( od 25 maja 2018 roku organ będzie nosił nazwę Prezes Urzędu Ochrony Danych). Pod rządami RODO przedsiębiorcy i urzędy (administratorzy) nie będą musieli zgłaszać zbioru danych, mają jednak obowiązki w zakresie prowadzenia dokumentacji. Wobec nowych przepisów prowadzona w firmach dokumentacja w zakresie ochrony danych osobowych będzie musiała zostać zmodyfikowana. Wprawdzie zgodnie z art. 30 ust 5. RODO obowiązki, o których mowa w ust. 1 i 2 [prowadzenia rejestru czynności ], nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10, jednakże mieć należy na względzie, iż udowodnienie okoliczności pozwalających na rezygnację z takiej dokumentacji w praktyce nowoczesnego obiegu informacji będzie niezwykle trudne. Skoro, zaś na administratorze ciąży obowiązek wykazania, że przestrzega przepisów w zakresie przetwarzania danych osób fizycznych (zasada rozliczalności), bardziej przejrzyste i bezpieczne dla przedsiębiorcy będzie wykazanie, że prowadzi dokumentację, która pozwala na zminimalizowanie ryzyka naruszenia przepisów.
Nie bez znaczenia jest również to, iż RODO pozwala na stosowanie środków ( technicznych i organizacyjnych), które administrator uznaje za odpowiednie, wziąwszy pod uwagę istniejące u niego ryzyko w zakresie naruszeń. Zatem można przyjąć, iż w porównaniu z dotychczasowymi zasadami doszło do uelastycznienia form działania, przy czym administrator ma obowiązek stosować rozwiązania: uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia.
Podsumowując administrator danych od 25 maja 2018 roku, co do zasady (nie wszystkie jednak obowiązki dotyczą wszystkich administratorów, bowiem określone w ustawach szczególnych grupy podmiotów mogą zostać zwolnione z pewnych obowiązków, z uwagi na fakt, iż w swoich działaniach podlegają innym, często bardziej rygorystycznym regulacjom np. w związku z tajemnicą zawodową):
1. prowadzi rejestr czynności przetwarzania danych osobowych w formie pisemnej, w tym elektronicznej, zawierający w szczególności: dane administratora oraz wszelkich współadministratorów (przedstawiciela administratora oraz inspektora ochrony danych), cele przetwarzania, opis kategorii osób, opis kategorii danych osobowych, kategorie odbiorców, informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, planowane terminy usunięcia poszczególnych kategorii danych, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa,
2. samodzielnie podejmuje decyzje jakie środki techniczne i organizacyjne podjąć, celem wywiązania się z obowiązku właściwego zabezpieczania danych osobowych (polityki ochrony danych, ocena ryzyka, konsultacje ryzyka wysokiego, przeglądy, upoważnienia do przetwarzania danych),
3. ma nowe obowiązki informacyjne (jeżeli dotyczy marketingu bezpośredniego zakres obowiązków jest dodatkowo poszerzony) oraz musi wykazać, iż wykonał obowiązki informacyjne,
4. jeżeli nie ma innej podstawy prawnej musi posiadać zgodę, a przy danych wrażliwych wyraźną zgodę osoby fizycznej, której dane dotyczą – nie ma obowiązku, żeby ta zgoda była na piśmie, ale z uwagi na wartość dowodową oraz zasadę rozliczalności w wielu przypadkach winna być zalecana,
5. ma krótszy czas na odpowiedź na zapytanie dotyczące danych osobowych – 1 miesiąc, przy czym czas ten można przedłużyć o kolejne 2 miesiące z uwagi na skomplikowany charakter sprawy-musi jednak poinformować o przełożeniu i jego przyczynie,
6. ponosi, względem osoby której dane osobowe dotyczą, odpowiedzialność odszkodowawczą (za szkodę majątkową i niemajątkową ) oraz odpowiedzialność solidarną z innymi podmiotami, którym powierzył przetwarzanie danych,
7. jest bardziej ograniczony w czynnościach profilowania i zakresie automatycznych zgód – np. niedopuszczalne domyśle zaznaczenia ,
8. podejmuje działania w celu zapewnienia, by każda osoba, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora;
9. dokumentuje wszeklie przypadki naruszenia ochrony danych osobowych;
10. w przypadku naruszenia bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia;
11. wyznaczyć Inspektora Ochrony Danych osobowych, o ile przepisy RODO tak stanowią;
12. nadto, winien:
a) wydać, osobie której dane przetwarza jedną kopię danych podlegających przetwarzaniu,
b) sprostować i uzupełnić dane osobowe, ograniczyć przetwarzanie, usunąć dane („prawo do zapomnienia”, chyba, że zachodzą przypadki określone w RODO, w których dalsze przetwarzanie danych jest niezbędne) i równocześnie poinformować o tym osobę, której dane dotyczą,
c) poinformować o prawie sprzeciwu co do przetwarzania danych oraz o naruszeniu, jeżeli mogło spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Z całą pewnością nie warto bać się RODO, natomiast należy przygotować przedsiębiorstwo na zmiany w oparciu o sprawdzone i rzetelne rozwiązania.
adwokat Magdalena Kusik-Balicka
Kancelarie Adwokatów i Radców Prawnych DĄBEK & KUSIK
22-500 Hrubieszów, ul. Rynek 36
we współpracy ze Stowarzyszeniem Sołtysów Gminy Hrubieszów w Hrubieszowie
