Wdrażanie RODO – Prawa osób, których dane dotyczą

Wdrażanie RODO to nie lada wyzwanie dla wszystkich. Realizacja praw podmiotów danych zgodnie z RODO również musi zostać uwzględniona w ramach takiego wdrożenia. Aktualnie administratorzy danych osobowych niedostatecznie respektują prawa osób, których dane są przetwarzane choćby w zakresie realizacji obowiązków informacyjnych o administratorze danych, celach przetwarzania, przysługujących im prawach.

Większość z nas otrzymuje telefony z ofertami nabycia przeróżnych towarów lub usług. Bezpłatne badania, darmowe konsultacje, promocyjne ceny towarów lub usług itd. itd. Jednak rzadko  podczas takich połączeń przekazywane są wymagane prawem informacje. A zapytanie osoby dzwoniącej o podstawę prawną przetwarzania danych z reguły powoduje przerwanie połączenie lub niejasne wyjaśnienia.

Już w świetle aktualnie obowiązujących przepisów administrator danych ma szereg obowiązków informacyjnych, które powinien wypełnić wobec osób, których dane przetwarza. Jednak RODO wprowadza kilka nowych obowiązków a także szczegółowo precyzuje niektóre kwestie np. w zakresie sposobu przekazywania informacji.

Zgodnie z RODO administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich wymaganych informacji.

RODO przyznaje osobom, których dane są przetwarzane szereg uprawnień takich jak:

  • prawo do bycia poinformowanym o operacjach przetwarzania,
  • prawo dostępu,
  •  prawo do sprostowania/uzupełnienia danych,
  • prawo do usunięcia danych,
  • prawo do ograniczenia przetwarzania,
  • prawo do przenoszenia danych,
  • prawo do sprzeciwu,
  • prawo do tego, by nie podlegać profilowaniu.

Ważne, aby wdrożone przez Ciebie procedury przetwarzania danych uwzględniały możliwość realizacji
tych praw przez osoby, których dane przetwarzasz.

Jak radzi GIODO:

“To jest  dobry moment by sprawdzić skuteczność zastosowanych procedur i wypracować sposób reakcji, np. w sytuacji, w której ktoś poprosi o usunięcie swoich danych osobowych.”

Aktualnie u wielu administratorów danych ten obszar nie jest  uporządkowany stąd pytania o dane osobowe są kłopotliwe oraz budzą niepokój, co dowodzi braku wypracowanych procedur oraz sposobów reakcji na żądanie osób, którzy dane są przetwarzane.

Istotną kwestią będzie ustalenie kto w organizacji będzie odpowiedzialny za usunięcie danych, kto będzie władny podjąć taką decyzję. Jest to w praktyce bardzo istotna kwestia i bardzo zaniedbana a świadomość prawna w tym zakresie znikoma, co powoduje, że większość administratorów przetwarza dane o wiele dłużej niż jest to uzasadnione celem, dla którego dane zostały zebrane a niektórzy wręcz myślą, że raz zebrane dane można przetwarzać wiecznie.

Wdrażanie RODO – Zabezpieczenia

Każdy administrator danych odpowiedzialny jest za bezpieczeństwo i ochronę przetwarzanych danych osobowych przede wszystkim przed przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

RODO jednak nie zawiera szczegółowych wymogów w zakresie środków technicznych i organizacyjnych, które powinny być przez administratorów wdrażane w celu odpowiedniego zabezpieczenia danych. Decyzja o zastosowaniu odpowiednich środków będzie należała do administratora danych.

Dobierając odpowiednie zabezpieczenia administrator danych powinien przede wszystkim uwzględnić ryzyko związane z przetwarzaniem danych w swojej organizacji wynikające np. z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Środki organizacyjne i techniczne stosowane w celu zapewnienia bezpieczeństwa danym aktualnie mogą pozostać aktualne również po 25 maja 2018 r., jeśli oczywiście administrator danych uzna, że zapewnią one zgodność przetwarzania danych z wymogami RODO.

Więcej na zasygnalizowany temat przeczytasz na stronach GIODO Tutaj.

Wdrażanie RODO – zgoda na przetwarzanie danych osobowych

W świetle RODO zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Zgodnie z RODO nowością będzie wyrażenie zgody przez „wyraźne działanie potwierdzające” z tym jednak zastrzeżeniem, iż przyzwolenie na przetwarzanie danych powinno być jednoznaczne, a więc nie budzić wątpliwości co do zamiaru osoby, która takie działanie podejmuje.

Zgodnie z dotychczasowymi przepisami zgoda nie może być dorozumiana lub domniemana z oświadczeń woli innej treści. Co do zasady więc musi stanowić odrębną klauzulę od na przykład regulaminu świadczenia usługi.

Jednakże również na podstawie RODO w przypadku zgody wyrażanej w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Oznacza to, że nie będzie można ukrywać oświadczenia o zgodzie pośród innych oświadczeń, treść oświadczenia dotyczącego zgody powinna być czytelna.

W RODO nie ma wymogu pisemności nawet dla zgody na przetwarzanie danych wrażliwych, jednakże jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie  wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

Zgoda może być więc wyrażona ustnie a także pisemnie w tym w formie elektronicznej poprzez zaznaczenie okienka wyboru podczas przeglądania strony internetowej lub poprzez dokonanie wyboru ustawień technicznych korzystania z usługi.

W każdym przypadku jednak administrator musi być w stanie  wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych

Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie będą oznaczać zgody.

Wdrażanie RODO – zakres danych i obowiązki informacyjne

Przetwarzanie, które w dniu rozpoczęcia stosowania  RODO już się toczy, powinno w terminie dwóch lat od wejścia go w życie, zostać dostosowane do jego przepisów.

Zgodnie z powyższym czas na wdrażanie postanowień RODO właśnie płynie, co oznacza, że przegląd stanu ochrony danych osobowych należy rozpocząć tak, aby za rok móc wykazać zgodność z nowymi przepisami.

GIODO podpowiada jak powinien wyglądać prawidłowy przegląd stanu ochrony danych osobowych publikując systematycznie kolejne zagadnienia, które należy sprawdzić w firmie. Zachęcam do lektury.

Zgodnie z zasadą rozliczalności za rok ADO będzie musiał wykazać, że przetwarza dane osobowe w zgodzie z zasadami przyjętymi w rozporządzeniu. Tę zgodność można wykazać na przykład poprzez wdrożenie polityk i procedur przetwarzania danych.

I to teraz właśnie jest czas na przeglądy, audyty, sprawdzenia na przykład w zakresie  jakie dane osobowe przetwarzasz, skąd pochodzą i co cię uprawnia do ich wykorzystywania, czy i komu je udostępniasz oraz jak zabezpieczasz”.

Kolejne istotne zagadnienie, które należy dokładnie sprawdzić to wywiązywanie się z obowiązków informacyjnych wobec podmiotów danych.  Rozporządzenie zwiększa zakres informacji, które należy przekazać.

Od 25 maja 2018 r. administratorzy danych będą musieli poinformować również m.in. o okresie, przez który dane osobowe będą przetwarzane (retencja danych), o ewentualnym fakcie profilowania i jego konsekwencjach czy też o danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony. Szerszy katalog informacji, które należy przekazać wymusza aktualizację obecnie stosowanych klauzul informacyjnych.

Począwszy do 25 maja 2018 r. będziesz zobowiązany wykazać już zgodność z RODO. Niestety w przypadku braku takiej zgodności organ nadzorczy będzie uprawniony do rozliczenia ADO ze stwierdzonych uchybień i nałożenia stosownych kar pieniężnych. Z tego powodu jest tak ważne, aby przegląd w obszarze danych osobowych rozpocząć już dziś.