Z dwóch lat pozostało już niespełna siedem miesięcy do rewolucji w ochronie danych osobowych. 25 maja 2018 roku  rzeczywistość administratorów danych osobowych radykalnie się zmieni za sprawą wejścia w życie RODO czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Dlatego już na samym starcie redakcja RODOkompasu wrzuca wyższy bieg i z przyjemnością zapowiadamy cykl

„Z RODOkompasem przez zmiany”,

Z dniem 25 maja 2018 r. osoby fizyczne, których dane dotyczą oraz administratorzy i podmioty przetwarzające znajdą się w zupełnie  nowym wymiarze ochrony danych osobowych, bezpośrednio regulowanym przez prawo Unii Europejskiej.

Z analizy przeprowadzonej przez redakcję Rodokompasu wynika, że proces przystosowania do zmian przez administratorów może (przy sprawnym działaniu) wynieść nawet 6 miesięcy. Zatem to ostatni dzwonek, aby rozpocząć procedurę audytu i przygotowania do stosowania nowego prawa. Co się zmieni i na co być gotowym? W dzisiejszym artykule hasłowo wskażemy kluczowe zmiany, na które należy obrać kierunek by być w pełni gotowym 25 maja 2018 r.

Dla zrozumienia przyjętego kierunku zmian należy mieć na uwadze cel, dla którego Unia Europejska w ogóle zajęła się tematem ochrony danych osobowych. W dobie rozwijających się technologii, ustawodawstwa poszczególnych krajów, w tym polskiej, były mówiąc wprost przestarzałe.

Idea RODO to 3 filary:

1. większa ochrona jednostki;

2. łatwiejszy przepływ danych między państwami członkowskimi za sprawą jednolitej regulacji;

3. ogólność RODO tj. elastyczność regulacji, istotna w erze rozwijających się technologii.

Regulacja ma być zatem na tyle ogólna, aby „służyć” państwom członkowskim przez możliwie jak najdłuższy czas, a zarazem na tyle rygorystyczna by prawa osób fizycznych chronić w najpełniejszy sposób.

Yin i yang tych dwóch kluczowych aspektów to właśnie RODO 🙂

Krótka podróż z RODOkompasem w dłoni po zmianach

1. Żegnaj ABI -witaj Inspektorze ochrony danych osobowych

Na pierwszy rzut oka zmienia się nazwa- czy aby na pewno ? 

Inspektor będzie podmiotem opiniodawczym, wspierającym administratora w procesie przetwarzania. Jednym z jego zadań będzie prowadzenie punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem przez administratora danych osobowych.

Administrator danych osobowych będzie miał obowiązek wyznaczyć inspektora ochrony danych, gdy:

1. przetwarzanie prowadzi organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,

2. główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,

3. główna działalność administratora polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

2. Koniec obowiązku zgłoszeń/ rejestracji zbiorów.

Na gruncie obecnie obowiązującej ustawy o ochronie danych osobowych administratorzy danych osobowych są zobowiązani do rejestrowania zbiorów w GIODO (poza wyjątkami w wskazanymi w samej ustawie), czy też do zgłaszania faktu powołania ABI. Z dniem 25 maja 2018 r. ten obowiązek zostanie zdjęty z barków  administratorów. RODO stosowane bezpośrednio w państwach członkowskich, nie nakłada takiego zadania na administratorów. Niemniej jednak należy pamiętać, iż do 25 maja 2018 r. w mocy jest Nasza rodzima ustawa o ochronie danych osobowych, dlatego do tego dnia zgłoszenia i rejestracje są obowiązkowe.

3. Rejestr czynności przetwarzania

Nie może być za lekko. Co prawda znika obowiązek rejestracji zbiorów, lecz pojawia się rejestr czynności przetwarzania. To kolejne novum jakie niesie ze sobą unijne prawo. Każdy administrator danych osobowych oraz podmiot przetwarzający zobowiązany będzie prowadzić rejestr czynności przetwarzania, jeśli zatrudnia co najmniej 250 osób. W przypadku podmiotów, które zatrudniają mniej pracowników powinien prowadzić rejestr jeśli przetwarzanie, którego dokonują:

• może powodować ryzyko naruszenia praw i wolności osób, których dane dotyczą

• nie ma charakteru sporadycznego lub

• obejmuje dane wrażliwe lub dane osobowe dot. wyroków lub naruszeń prawa.

RODO nie przewiduje zwolnienia z tego obowiązku w przypadku powołania inspektora danych osobowych, jak to miało miejsce w przypadku powołania ABI. Rejestry będą prowadzone w formie pisemnej, zarówno papierowej jak i elektronicznej.

4. Analiza ryzyka

RODO wprowadza tzw. zasadę ryzyka, której istota sprowadza się do tego, iż administrator danych osobowych lub podmiot przetwarzający, sam musi ustalić stopień zagrożenia przetwarzanych przez siebie danych osobowych, a w związku z tym ustalić i wdrożyć adekwatne środki służące ich ochronie. Ma ona więc zasadniczy wpływ na wybór środków technicznych i organizacyjnych służących ochronie procesu przetwarzania danych oraz na dokumentację opisującą te środki oraz sposób przetwarzania danych. Na gruncie ustawy o ochronie danych osobowych administrator zobowiązany był do sporządzenia dokumentacji i przestrzegania zasad wskazanych w ustawie i rozporządzeniach. Tak więc zasada ryzyka zmienia i to w sposób znaczący podejście do ochrony danych.

5. Współadministratorzy

Rozporządzenie wprowadza konstrukcję współadministratorów, która w dotychczasowej regulacji była nieznana. Dzięki temu cele oraz sposoby przetwarzania danych osobowych będą mogli wspólnie ustalić dwóch lub więcej współadministratorów. Jednoczenie będą musieli określić zakres ponoszonej przez każdego z nich odpowiedzialności w związku z koniecznością wypełnienia obowiązków nałożonych przez RODO.

6. Zgłaszanie naruszeń

Unijne prawo wprowadza pewne zmiany w tym zakresie. Do tej pory nie był określony czas na dokonanie zgłoszenia a ustawodawca posługiwał się terminem „niezwłocznie”. W RODO wskazany został czas, który nie może przekroczyć 72 godzin po stwierdzeniu naruszenia.

7. Zgoda po nowemu

Po 25 maja zgoda będzie musiała być dobrowolna, jednoznaczna, konkretna i wyrażona świadomie. Zgoda będzie musiała być wyrażona na konkretny cel, wyraźnie określony w momencie jej wyrażania. RODO wprowadza dwa sposoby udzielenia zgody – poprzez oświadczenie (deklarację) woli oraz działanie, które wskazuje na jednoznaczne pozwolenie osoby, której dane dotyczą na przetwarzanie. Administrator będzie musiał być w stanie jednoznacznie wskazać od kogo uzyskał zgodę, kiedy i w jakich okolicznościach.

8. Prawdo do bycia zapomnianym

Cytując art. 17 ust. 1 RODO „osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe”. Rzecz jasna Rozporzadzenie wprowadza zarówno katalog okoliczności, kiedy osoba której dane dotyczą ma prawo skorzystać z tego uprawnienia jak również przypadki w których prawo do bycia zapomnianym nie ma zastosowania.

9. Rozszerzenie obowiązków ADO

Obok wspominanego już rejestru czynności przetwarzania, rozszerzeniu ulegają także inne obowiązki ADO. Najbardziej uwidacznia się to w rozbudowaniu obowiązku informacyjnego jaki spoczywa na administratorze danych w stosunku do osoby fizycznej. Obok już dotychczas wymaganej informacji o nazwie administratora danych,  jego adresie, celu zbierania danych, prawu dostępu do swoich danych, możliwości ich poprawienia,

informacji o dobrowolności albo obowiązku podania danych, RODO wprowadza dalsze, w szczególności:

• możliwość cofnięcia zgody

• dane inspektora danych osobowych

• okres przez które dane będą przetwarzane

• podstawa prawna do przetwarzania danych

• prawie do przenoszenia danych

• prawie wniesienia skargi do organu nadzorczego,

• informację o zautomatyzowanym podejmowaniu decyzji,

• informację o zmianie celu przetwarzania

10. Kary finansowe i bezpośrednia odpowiedzialność

To punkt zmian, który najbardziej emocjonuje administratorów i podmioty przetwarzające. Wysokie administracyjne kary pieniężne za nieprzestrzeganie przepisów wskazanych w Rozporządzeniu a ich wysokość uzależniona jest m.in. od rodzaju naruszonego obowiązku i stopnia naruszenia. Granica to 20 mln euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa. Oczywiście jest to górna granica kary, niemniej jednak będą one w każdej indywidualnej sprawie wymierzane tak, by były skuteczne, proporcjonalne i odstraszające.

Ponadto administrator i podmiot przetwarzający może ponosić odpowiedzialność odszkodowawczą za naruszenie Rozporządzenia w stosunku do osoby fizycznej której dane dotyczą.

…………………………………………………………………….

Powyższe to tylko kluczowe zmiany jakie niesie ze sobą RODO. Wiele firm już teraz przystosowuje się do nowego stanu prawnego, wprowadzając w wewnętrznych procedurach i dokumentacji zapisy, które są zgodne z unijnym rozporządzeniem- słusznie ! 🙂 Deadline zbliża się nieubłaganie a zmiany są kluczowe nie tylko w zakresie metod przetwarzania ale i samej idei- w pojmowaniu i podejściu do przetwarzania danych osobowych.

Jak się odnaleźć w nowej rzeczywistości przetwarzania danych? Zachęcamy do śledzenia RODOkompasu 🙂

Redakcja bloga szczegółowo odniesie się do nadchodzących zmian w ramach cyklu artykułów „Z RODOkompasem przez zmiany”, a po wejściu ich w życie na bieżąco będziemy wskazywać jaką drogę obrać by przetwarzać w zgodzie z prawem i przyjętą praktyką stosowania Rozporządzenia.

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.