Jak informować zgodnie z RODO

Jak informować zgodnie z RODO, jak wykonać obowiązki informacyjne to pytanie zadaje sobie każdy administrator a odpowiedź niestety nie zawsze jest łatwa i oczywista.

Wiadomo, że osoby, których dane dotyczą, aby mogły korzystać z przysługujących im w świetle RODO rozlicznych praw, muszą o nich wiedzieć. Obowiązki informacyjne z RODO skorelowane są zatem z prawem do informacji osób, których dane są przetwarzane.

Przekazywanie informacji podmiotom danych i komunikacja z nimi w poszczególnych przypadkach jest zróżnicowana a środowisko przetwarzania danych często determinuje sposoby przekazania informacji.

Jak zatem informować, aby wypełnić obowiązki informacyjne zgodnie z RODO i dostarczyć osobom, których dane są przetwarzane niezbędnych informacji o szczegółach przetwarzania danych osobowych.

Czytaj więcej

RODO umożliwi legalny video monitoring w miejscach pracy

Kamery w miejscach pracy to dla pracowników codzienność. Jednakże ich obecność mimo wszystko wzbudza w pracownikach emocje. Trudno się dziwić, świadomość, że jest się obserwowanym wywołuje uzasadniony dyskomfort.

Czy kamery są dozwolone, w jakich miejscach, na jakich zasadach. Dotychczas brakowało przepisów prawa, które w spoósb kompleksowy regulowałyby tę istotną kwestię. Niemniej jednak stosowanie video monitoringu w miejscach pracy często jest koniecznością. Dotąd brakowało przepisów prawnych regulujących stosowanie monitoringu wizyjnego.

Dotychczas powoływano się na ogólne przepisy o ochronie danych osobowych czy orzecznictwo Europejskiego Trybunału Praw Człowieka.
Czytaj więcej

Ograniczenie obowiązków informacyjnych dla MŚP

Ostatnio gorącym tematem stały się rzekome wyłączenia w zakresie stosowania obowiązków informacyjnych przewidzianych w RODO dla MŚP. Wyłączenia ma wprowadzić krajowa ustawa o ochronie danych osobowych, która aktualnie jest procedowana.

Informację podały media w taki sposób, że powstało zamieszanie wokół MŚP i w ogóle ich podlegania pod reżim RODO. Jednakże omawiana kwestia dotyczyła nie wszystkich obowiązków przewidzianych w RODO a jedynie obowiązków informacyjnych ciążących na administratorze danych.

Niemniej jednak z punktu widzenia osób, których dane są przetwarzane i zasady przejrzystości przetwarzania danych, obowiązki informacyjne mają kluczowe znaczenie. Podmiot, który nie wie kto, w jakim celu oraz na jakiej podstawie przetwarza jego dane nie ma szans na należytą ochronę a także korzystanie z przyznanych mu praw.

Wszyscy eksperci byli zgodni, iż całkowite wyłączenie jest niezgodne z RODO, gdyż godzi w istotę prawa do ochrony danych osobowych. Niepewność jednak została skutecznie zasiana.

Zamieszanie woków w/w kwestii zaowocowało wydaniem  wspólnego oświadczenia MC i MPiT pt. Stosowanie przepisów RODO do MŚP.

W oświadczeniu czytamy:

“W dużej części przypadków, realizowanie rozbudowanego obowiązku informacyjnego, o którym mowa w art. 13 RODO jest bardzo trudne. Dotyczy to zwłaszcza przypadków, gdy pierwszy kontakt klienta z przedsiębiorcą następuje drogą telefoniczną, która utrudnia kilkuminutowe odczytywanie długich komunikatów i treści prawnych.

Dlatego zgodnie z propozycją Ministerstwa Cyfryzacji uzgodnioną z Ministerstwem Przedsiębiorczości i Technologii, MŚP – firmy zatrudniające mniej niż 250 osób, nie przetwarzające danych wrażliwych oraz nie udostępniające danych innym podmiotom – mają być wyłączone ze stosowania art. 13 ust. 2.  MŚP nie będą więc musiały informować swoich klientów m.in. o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania. Które to jednak prawa będą obywatelom przysługiwały.

Każdy przedsiębiorca będzie natomiast zobowiązany do poinformowania osób których dane będą przetwarzane (na etapie ich gromadzenia), o swoich danych, celu i podstawie prawnej przetwarzania danych oraz danych kontaktowych inspektora ochrony danych (o ile takiego posiada).”

Reasumując nie ma mowy o wyłączeniu obowiązków informacyjnych dla sektora MŚP a jedynie o ich ograniczeniu. Najważniejsze informacje wymagane przez RODO, każdy przedsiębiorca należący do sektora MŚP, będzie zobowiązany przekazać podmiotowi danych a w przypadku niewywiązania się z tego obowiązku niewątpliwie narazi się na sankcje karne.

Wdrażanie RODO – zakres danych i obowiązki informacyjne

Przetwarzanie, które w dniu rozpoczęcia stosowania  RODO już się toczy, powinno w terminie dwóch lat od wejścia go w życie, zostać dostosowane do jego przepisów.

Zgodnie z powyższym czas na wdrażanie postanowień RODO właśnie płynie, co oznacza, że przegląd stanu ochrony danych osobowych należy rozpocząć tak, aby za rok móc wykazać zgodność z nowymi przepisami.

GIODO podpowiada jak powinien wyglądać prawidłowy przegląd stanu ochrony danych osobowych publikując systematycznie kolejne zagadnienia, które należy sprawdzić w firmie. Zachęcam do lektury.

Zgodnie z zasadą rozliczalności za rok ADO będzie musiał wykazać, że przetwarza dane osobowe w zgodzie z zasadami przyjętymi w rozporządzeniu. Tę zgodność można wykazać na przykład poprzez wdrożenie polityk i procedur przetwarzania danych.

I to teraz właśnie jest czas na przeglądy, audyty, sprawdzenia na przykład w zakresie  jakie dane osobowe przetwarzasz, skąd pochodzą i co cię uprawnia do ich wykorzystywania, czy i komu je udostępniasz oraz jak zabezpieczasz”.

Kolejne istotne zagadnienie, które należy dokładnie sprawdzić to wywiązywanie się z obowiązków informacyjnych wobec podmiotów danych.  Rozporządzenie zwiększa zakres informacji, które należy przekazać.

Od 25 maja 2018 r. administratorzy danych będą musieli poinformować również m.in. o okresie, przez który dane osobowe będą przetwarzane (retencja danych), o ewentualnym fakcie profilowania i jego konsekwencjach czy też o danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony. Szerszy katalog informacji, które należy przekazać wymusza aktualizację obecnie stosowanych klauzul informacyjnych.

Począwszy do 25 maja 2018 r. będziesz zobowiązany wykazać już zgodność z RODO. Niestety w przypadku braku takiej zgodności organ nadzorczy będzie uprawniony do rozliczenia ADO ze stwierdzonych uchybień i nałożenia stosownych kar pieniężnych. Z tego powodu jest tak ważne, aby przegląd w obszarze danych osobowych rozpocząć już dziś.

GIODO publikuje zestaw pytań

Biuro GIODO wychodząc na przeciw oczekiwaniom przedsiębiorców zwłaszcza tych mniejszych aktywnie edukuje w zakresie RODO. Tym razem na stronie GIODO znajdziesz listę pytań pomocniczych, które pozwolą Ci ocenić swoją gotowość w zakresie stosowania RODO.

W załączeniu ( Tutaj ) link do listy dla tych, którzy jeszcze się nie zapoznali. Rok to naprawdę już mało czasu w szczególności dla tych, którzy tak naprawdę nigdy porządnie nie uporządkowali sfery ochrony danych osobowych w swojej organizacji.

Warto zatem skorzystać z zestawu pytań opracowanych przez GIODO i w oparciu o nie sprawdzić stan gotowości swojej firmy na przyjęcie i stosowanie nowych przepisów w zakresie ochrony danych osobowych już za rok.

Obowiązki informacyjne w RODO

Obowiązki informacyjne w RODO to jeden z kluczowych obowiązków administratora danych, wynikających z rozporządzenia unijnego o ochronie danych osobowych (RODO). Jest to  obowiązek informowania osób, których dane dotyczą o przetwarzaniu ich danych osobowych.

Zgodnie z RODO dane osobowe powinny być przetwarzane w sposób przejrzysty dla osoby, której dotyczą.

„Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem  danych osobowych były łatwo dostępne i zrozumiałe, oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem”

Zakres obowiązków informacyjnych w szczególności informacji, które mają być udzielane zgodnie z RODO jest obszerny, znacznie szerszy, niż przewidują to aktualne  przepisy i można je podzielić na dwie grupy:

W pierwszej grupie mieszczą się informacje:

1) identyfikujące administratora;

2) o celach przetwarzania danych oraz podstawie prawnej przetwarzania;

3) o okresie, przez który dane osobowe będą przechowywane, a gdy podanie takich informacji nie jest możliwe, kryteria ustalania tego okresu;

4) o prawie żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania;

5) o prawie wniesienia skargi do organu nadzorczego;

6) czy podanie danych osobowych jest wymogiem ustawowym albo umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

W drugiej grupie mieszczą się informacje, które administrator danych będzie miał obowiązek przekazać osobie, której dane dotyczą, jeżeli zaistnieją następujące okoliczności:

1) jeżeli administrator z państwa trzeciego wyznaczył w Polsce swojego przedstawiciela, wówczas powinien podać informacje identyfikujące tego przedstawiciela;

2) jeżeli administrator powołał inspektora ochrony danych, powinien podać dane kontaktowe takiej osoby;

3) jeżeli przetwarzanie odbywa się na podstawie zgody, administrator powinien podać informacje o prawie do cofnięcia zgody w dowolnym momencie;

4) w sytuacji, gdy przetwarzanie danych odbywa się w oparciu o prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią, administrator powinien wskazać ten interes;

5) jeżeli przetwarzanie danych (jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi bądź przetwarzanie odbywa się w oparciu o prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią), administrator powinien podać informacje o prawie wniesienia sprzeciwu wobec przetwarzania;

6)jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy i jest dokonywane w sposób zautomatyzowany, to administrator powinien przekazać podmiotowi danych informacje o prawie do przenoszenia danych;

7) jeżeli dane będą przekazywane odbiorcom, wówczas administrator powinien poinformować osobę, której dane dotyczą, o odbiorcach lub o kategoriach odbiorców danych;

8) jeżeli administrator zamierza przekazać dane do państwa trzeciego bądź organizacji międzynarodowej, powinien poinformować o zamiarze przekazania danych i warunkach tego przekazania;

9) jeżeli administrator stosuje mechanizmy podejmowania zautomatyzowanych decyzji oraz profilowania, to powinien podać informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Dodatkowo należy pamiętać, że  jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, to zgodnie z przepisami RODO przed dalszym przetwarzaniem powinien również wypełnić zgodnie z RODO obowiązek informacyjny i poinformować osobę o tym innym celu przetwarzania, oraz udzielić jej wszelkich innych stosownych informacji.

Na koniec omawiania obowiązków informacyjnych z RODO nie można pominąć faktu, iż  przepisy RODO za naruszenie przepisów dotyczących m.in. obowiązków informacyjnych przewidują możliwość wymierzenia przez organ nadzorczy administracyjnej kary pieniężnej w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Wprowadzenie w RODO tak wysokich kar pieniężnych za niewypełnienie obowiązków informacyjnych ma mieć m.in. charakter odstraszający i skłonić administratorów danych do wypełniania tych obowiązków.