JESZCZE RAZ O RODO – PODSTAWOWE INFORMACJE

Informacje ogólne:

Rozporządzenie Ogólne o Ochronie Danych Osobowych (w skrócie zwane po polsku RODO) to nowe przepisy dotyczące ochrony danych osobowych. Konkretnie – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku, które od dnia 25 maja 2018 roku będzie bezpośrednio obowiązywać i będzie bezpośrednio stosowane również w Polsce.

 

Poza RODO obowiązywać też będzie nowa ustawa o ochronie danych osobowych (aktualnie w fazie projektu), przy czym przepisy krajowe dotyczyć będą przede wszystkim kwestii nie uregulowanych w RODO, jak również zasad funkcjonowania nowego organu – Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Ponieważ RODO obowiązywać będzie bezpośrednio na obowiązek jego stosowania nie ma wpływu to, czy polskie przepisy zostaną uchwalone i czy wejdą w życie przed dniem 25 maja 2018 roku.

 

Kogo dotyczy RODO i jaki jest cel regulacji:

 

RODO dotyczyć będzie w zasadzie wszystkich podmiotów które gromadzą i wykorzystują dane osób fizycznych, czyli w zasadzie każdego  przedsiębiorcy, który prowadzi działalność w Unii Europejskiej. Może to być działalność w jakiejkolwiek formie prawnej. I ta duża i ta niewielka (jednoosobowa). Celem regulacji jest unowocześnienie podejścia do ochrony danych oraz uelastycznienie tworzących ją zasad. W uproszczeniu można powiedzieć, iż nowe regulacje opracowano tak, by były one elastyczne i aktualne niezależnie od rozwoju technologicznego. Tak, by nie trzeba było ich zmieniać wraz z rozwojem cywilizacyjnym. Takie podejście powoduje, iż RODO jest bardzo ogólne. Idea całej regulacji sprowadza się raczej do tego, by każdy przedsiębiorca, w zależności od własnych potrzeb i zakresu przetwarzania danych, zaprojektował własny system ich ochrony, niejako dostosował model do charakteru swojej firmy.

 

Dane osobowe i ich przetwarzanie:

 

Rozporządzenie dotyczy danych osobowych stąd kluczowa jest ich definicja i ustalenie czym one są. Zgodnie z RODO dane osobowe to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Osobą zidentyfikowaną jest taka osoba, której tożsamość po prostu znamy, natomiast osobą możliwą do zidentyfikowania jest taka osoba, której tożsamości wprawdzie nie znamy, ale możemy poznać w dość łatwy sposób, korzystając z ogólnie dostępnych środków.

 

Należy też wskazać, iż przepisy poza ogólną definicją rozróżniają też tzw. dane szczególne (wrażliwe). Do takich szczególnych kategorii danych osobowych zaliczamy te, ujawniające pochodzenie rasowe lub etniczne, dotyczące zdrowia, seksualności, ujawniające poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne i biometryczne. Podmioty które przetwarzają dane szczególne muszą spełnić więcej wymogów z tym związanych.

 

Warto też zwrócić uwagę na samą definicję „przetwarzania danych”. Przetwarzanie danych osobowych oznacza jakiekolwiek operacje wykonywane na danych osobowych, takie jak ich zbieranie, przechowywanie, usuwanie, opracowywanie czy udostępnianie.  Definicja tego pojęcia jest zatem dość szeroka i okazuje się, iż większość podmiotów przetwarza dane. Istotne z punktu widzenia przepisów jest natomiast to, czy dane osobowe przetwarza się jako ich administrator,
czy też na innej podstawie (jako podmiot przetwarzający, nie będący jednak administratorem).
W zależności od tego kim jesteśmy, spoczywać będą na nas inne obowiązki.

 

W uproszczeniu można powiedzieć, iż administrator danych to taki podmiot, który decyduje o celach i sposobach przetwarzania. Podejmuje zatem decyzje o tym, w jakim celu i w jaki sposób wykorzystać określone dane osobowe. Inne podmioty przetwarzające dane nie decydują o celach i środkach przetwarzania. Działają na podstawie umowy z administratorem danych. Administrator może bowiem albo sam przetwarzać dane, albo skorzystać z usług zewnętrznego podmiotu, który te dane będzie przetwarzał dla niego. W tym miejscu należy pamiętać o tzw. umowach powierzenia przetwarzania danych osobowych, które pojawiają się już powszechnie w obrocie. Umowy te są konieczne dla zgodnego z prawem przekazywania i przetwarzania danych administratorów.
W umowach tych zawiera się też szereg obostrzeń dotyczących zapewnienia bezpieczeństwa danych na które należy zwrócić szczególną uwagę przy uch podpisywaniu.

 

Podstawa przetwarzania danych:

 

Dla przetwarzania danych osobowych konieczne jest istnienie podstawy prawnej. Innymi słowy – dane takie można przetwarzać wyłącznie wtedy, gdy taka podstawa prawna istnieje.

 

Podstawową przesłanką w tym zakresie (i podstawą przetwarzania) jest zazwyczaj zgoda osoby, której dane dotyczą. Nie zawsze jest ona jednak konieczna. Dane przetwarzać można również bez zgody, np. wówczas gdy jest to niezbędne do wykonania umowy z osobą, której dane dotyczą lub do podjęcia działań poprzedzających zawarcie umowy, a także w celu wypełnienia obowiązku prawnego ciążącego na administratorze. Dane można przetwarzać także do celów wynikających
z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

 

W tym miejscu należy pamiętać, iż zgoda konieczna będzie przede wszystkim wówczas, gdy dane wykorzystać chcemy w celach marketingowych, promocyjnych. Zgoda taka musi być dobrowolna, konkretna, udzielona z pełną świadomością oraz jednoznaczna (nie może być dorozumiana). Forma zgody nie jest prawnie zdefiniowana, jednak dla celów dowodowych należy uzyskać ją w taki sposób by móc wykazać fakt jej uzyskania (np. na piśmie, poprzez pocztę elektroniczną lub system informatyczny).  Decyzja w tym zakresie należy do administratora. Jeśli chodzi o zgody jakie już zostały udzielone, to są one ważne, warto jednak sprawdzić ich zakres i treść. Dodatkowo konieczne może być wypełnienie dodatkowych warunków informacyjnych.

 

Obowiązek informacyjny:

 

Podstawowym obowiązkiem administratora danych (poza tym, iż powinien on przetwarzać dane zgodnie z prawem, w tym także na podstawie ww. zgody) jest obowiązek informacyjny. Przepisy nakazują przekazywanie osobom, których dane zbieramy szeregu informacji, w tym w szczególności dotyczących danych administratora (w tym jego danych kontaktowych), informacji czy powołano
w firmie Inspektora Ochrony Danych (IOD),a jeśli tak – to kto nim jest, informacji o celach i podstawie przetwarzania danych, o ewentualnych odbiorcach danych osobowych lub o kategoriach odbiorców, czasie przez który dane osobowe będą przechowywane, o prawie dostępu do danych, uprawnieniu do ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych. Jeśli przetwarzanie odbywa się na podstawie zgody, administrator musi powiadomić o prawie
do cofnięcia tej zgody w dowolnym czasie. Ponadto, w każdym wypadku, winien informować
o  prawie wniesienia skargi do organu nadzorczego, o tym, czy podanie danych osobowych jest dobrowolne czy nie, czy jest warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych. Osoba której dane dotyczą winna też wiedzieć o tym, czy jej dane będą przetwarzane w sposób zautomatyzowany lub będą profilowane (oraz w jakim zakresie i z jakimi konsekwencjami).

 

Spełnienie obowiązku informacyjnego jest bardzo ważne i wymaga dostosowania odpowiednich klauzul informacyjnych do działalności i specyfiki każdego podmiotu.

 

Inne obowiązki i wdrożenie RODO:

 

Obowiązek przetwarzania danych zgodnie z prawem (ew uzyskania zgody) oraz obowiązek informacyjny to nie wszystkie obowiązki jakie ciążą na administratorze. Administrator powinien opracować i stosować u siebie odpowiednie procedury zapewniające ochronę danych osobowych. Winien w niektórych przypadkach, dokonać tzw. oceny ryzyka (oceny skutków dla ochrony danych osobowych) oraz wdrożyć polityki prywatności i ochrony. Co do zasady zaleca się nadal stosowanie dokumentacji ochrony danych osobowych które były stosowane dotychczas, po ich dostosowaniu do przepisów RODO.

 

Dla pełnego i prawidłowego wdrożenia RODO nie wystarczy spełnienie warunków opisanych wprost w przepisach. Choćby dlatego, iż przepisy te są ogólne. Trzeba przeanalizować własne potrzeby oraz w istocie zaprojektować własny system bezpieczeństwa i ochrony danych. Wdrożenie zasad opisanych w RODO warto poprzedzić audytem i sprawdzeniem tego, jakie dane są w firmie przetwarzane, skąd one pochodzą, czy w należyty sposób je zabezpieczamy, czy mamy opracowane procedury w tym zakresie. Audyt taki i informacje z niego płynące, winny pokazać co i w jaki sposób należy zmienić. Ogólność zapisów rozporządzenia powodować może szereg wątpliwości, dlatego warto skorzystać z pomocy specjalistów. Pamiętać należy, iż jeśli przedsiębiorca dysponuje danymi osobowymi – to będzie musiał spełnić warunki RODO.

 

RODO przewiduje wysokie kary dla firm, które ignorować będą nowe przepisy. Oczywiście kary będą miarkowane w odniesieniu do czasu i skali naruszeń, ale realne zagrożenie istnieje. Ponieważ świadomość przedsiębiorców w zakresie RODO jest nadal niewielka sugerujemy pilne zapoznanie się z nowymi procedurami oraz możliwie szybko – podjęcie działań zmierzających do jego wdrożenia.

Siuda, Filipowski i Partnerzy
Spółka Adwokatów i Radców Prawnych


ul. Tylne Chwaliszewo 25 lok B.2.2.1
61-103 Poznań

biuro@siuda-filipowski.pl
tel: +48 61/852 28 09
fax: +48 61/855 75 94
NIP: 778-141- 12-26
REGON: 634507952

Nr konta
PL 80 1140 2017 0000 4402 1307 7816
BIC/SWIFT CODE: BREXPLPWMBK


Polityka prawna
Mapa dojazdu