Rozporządzenie o Ochronie Danych Osobowych (RODO). Zmiany w 2018 roku

dr Jacek Murzydło prawnik
firma: Kancelaria Radcy Prawnego Magdalena Piotrowska

Napisz do eksperta

Począwszy od dnia 25 maja 2018 r. zacznie obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) regulujące na nowo kwestię ochrony danych osobowych. Czasu na wdrożenie jego zapisów zostało więc niewiele. Za to sankcje za jego niestosowanie mogą być niekiedy bardzo dotkliwe.

Dla jasności – dane osobowe są chronione już obecnie. Obecna ustawa, obowiązująca od 1997 r. jednak już wkrótce zmieni ona swoją formę. Zastąpi ją rozporządzenie Parlamentu Europejskiego i Rady (UE) z 2016 r. Tak jak i obecnie co do zasady zobowiązane będą stosować je wszystkie podmioty przetwarzające dane osobowe, a więc także – w przeważającej części – przedsiębiorcy. Danych osobowych nie przetwarzają bowiem jedynie wielkie podmioty, dysponujące potężnymi bazami danych, ale także te mniejsze, dysponujące informacjami o pracownikach czy kontrahentach. Rozporządzenie jest bardzo rozbudowane, o wiele bardziej niż obecnie obowiązująca ustawa o ochronie danych osobowych, tym samym nie sposób omówić w tym miejscu wszystkich jego zapisów. Skupmy się tym samym jedynie na wybranych.

Definicje

Rozporządzenie definiuje takie terminy, jak chociażby „dane osobowe”, „przetwarzanie”, „dane wrażliwe”, „profilowanie”, „administrator” etc. Z podstawowych terminów zwróćmy uwagę na to, że:

• „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Danymi osobowymi mogą być więc: imię i nazwisko, PESEL, adres zamieszkania, NIP, numer telefonu, numer konta bankowego, pseudonim, stan zdrowia, karalność, preferencje seksualne etc. Muszą być jednak na tyle identyfikowalne, aby pozwalać wyodrębnić konkretną osobę.

Przykład

O ile numer konta bankowego nie identyfikuje dla przeciętnego „Kowalskiego” jego właściciela, o tyle w połączeniu z imieniem i nazwiskiem właściciela stanowi już dane osobowe.

• „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie

Przykład

Formalnie rzecz ujmując, jeśli zapiszemy na kartce imię, nazwisko i telefon klienta to stanowi to już przetwarzanie jego danych osobowych.

•  „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

Przykład

Odnosząc się do poprzedniego przykładu, jeśli zapisujemy dane klientów bez żadnych konkretnych kryteriów, na kartkach i wrzucamy je do szuflady z innymi kartkami to najczęściej nie będziemy mieli do czynienia ze zbiorem danych osobowych.

Obowiązki administratora danych

Rozporządzenie określa szereg obowiązków administratora danych, czyli w naszym przypadku po prostu przedsiębiorcy. Spośród nich wskazać można m.in. obowiązek:

• wykazania, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych (jeżeli przetwarzanie odbywa się na podstawie zgody);
• udzielania osobie, których dane dotyczą, informacji o których mowa w art. 13 i 14 rozporządzenia (m.in. dot.: tożsamość i danych kontaktowych administratora, celu przetwarzania danych osobowych, odbiorców danych osobowych, okresu przechowywania danych osobowych);
• prostowania na żądanie osoby, której dane są przetwarzane, nieprawidłowych, dotyczących jej danych osobowych;
• usunięcia danych osobowych (jeśli zachodzą przesłanki wskazane w art. 17 rozporządzenia, tj. np. osoba cofnęła zgodę, a nie ma podstaw do przetwarzania lub dane osobowe nie są już niezbędne do celów, dla których zostały zebrane) lub ograniczenia ich przetwarzania (jeśli zachodzą przesłanki wskazane w art. 18 rozporządzenia, np. w okresie, w którym administrator sprawdza słuszność zastrzeżeń osoby co do prawidłowości jej danych), na żądanie osoby, której dane dotyczą;
• wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać;
• w przypadku naruszenia ochrony danych osobowych, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu (będzie nim prezes Urzędu Ochrony Danych Osobowych), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych zawiadamia o naruszeniu także osobę, której dane dotyczą.

IOD zastąpi ABI

Co istotne wejście w życie rozporządzenia oznacza koniec bytu administratorów bezpieczeństwa informacji. Zastąpią ich inspektorzy ochrony danych. Tak jak obecnie w większości przypadków administrator będzie mógł, a nie musiał ich wyznaczyć. Od tej zasady rozporządzenie, w stosunku do przedsiębiorców zawiera pewne odstępstwa, które nie będą jednak miały w przeważającej części przypadków zastosowania do mikro i małych przedsiębiorców.

Jakie dokumenty opracować?

Polska ustawa o ochronie danych osobowych jest dosyć wymagająca, jeśli chodzi o ochronę danych osobowych. Firmy prowadzące w sposób właściwy przetwarzanie danych osobowych mają tym samym już dzisiaj opracowane takie dokumenty, jak chociażby:

• politykę bezpieczeństwa,
• instrukcję zarządzania systemem teleinformatycznym,
• rejestr zbiorów danych osobowych,
• ewidencję osób upoważnionych do przetwarzania danych osobowych.

Ponadto ABI regularnie sporządzają sprawozdania o zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. W związku z powyższym może się okazać, że niektóre podmioty będą jedynie musiały dokonać niewielkich aktualizacji posiadanych dokumentów. Tym bardziej jeśli zwrócimy uwagę, że rozporządzenie nie nadaje dokumentacji takiej wagi jak obecna ustawa, a elementy tej, którą nakazuje stworzyć mogą być już ujęte w obecnej dokumentacji. Spośród nielicznych dokumentów wskazywanych przez rozporządzenie wskazać należy na rejestr czynności przetwarzania danych osobowych prowadzony przez administratorów danych lub w ich imieniu, a zawierający takie informacje, jak chociażby:

• imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
• cele przetwarzania,
• opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych.

W tym miejscu ważna informacja dla przedsiębiorców zatrudniających mniej niż 250 osób. Mogą być oni zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania danych osobowych, jeżeli przetwarzanie przez nich danych osobowych:

• nie powoduje ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
• ma charakter sporadyczny,
• nie obejmuje danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych, danych dotyczących zdrowia, seksualności lub orientacji seksualnej osoby fizycznej,
• nie obejmuje danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Sankcje

Obecnie ustawa przewiduje ograniczoną możliwość zastosowania sankcji finansowych wobec przedsiębiorców nieprzestrzegających jej przepisów. Rozporządzenie będzie w tym zakresie o wiele bardziej rygorystyczne. Kary, które przewiduje będą osiągały nawet 20 000 000 euro, a w przypadku przedsiębiorstw nawet 4% ich światowego obrotu.

Akty prawne:

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. Urz. EU L 119/1;
2. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz. U. z 2016 r. poz. 922

Oceń artykuł:

Dodałeś ocenę, dziękujemy.