Opublikowane:
29.11.2017
Czy jesteś gotowy na RODO? Sprawdź! - 10 najważniejszych pytań i odpowiedzi. cz.1
7 min - średni czas potrzebny na przeczytanie artykułu
Już niedługo, bo 25 maja 2018 roku, zaczniemy bezpośrednio stosować założenia Ogólnego Rozporządzenia o Ochronie Danych Osobowych (tzw. RODO). Ze względu na wiele niejasności jakie niosą za sobą te zmiany Generalny Inspektorat Ochrony Danych Osobowych (GIODO) przygotował listę 17 pytań, które mają pomóc administratorom danych osobowych ocenić ich gotowość do wprowadzenia do ich biznesów nowych przepisów. Z myślą zarówno o tych, którzy o RODO wiedzą wszystko (aby mieli okazję się sprawdzić), jak też o tych, którzy jeszcze nie wiedzą nic (żeby zapoznali się z tematem) poniżej omówimy 10 z 17 pytań zaprezentowanych przez GIODO.
1. Czy wiesz, kiedy zacznie obowiązywać ogólne rozporządzenie o ochronie danych oraz jakie podstawowe zmiany wprowadza?
Odpowiedź na pierwszą część tego pytania już padła, ale możemy powtórzyć raz jeszcze – nowe przepisy zaczną obowiązywać 25 maja 2018 roku. Jeśli chodzi o podstawowe zmiany omówimy tutaj tylko ich wierzchołek, bo cały tekst będzie im poświęcony. Przede wszystkim RODO powstaje po to aby ujednolicić przepisy dla wszystkich przedsiębiorców przetwarzających dane osobowe na terytorium Unii Europejskiej. Po drugie do obowiązków administratorów danych należeć będzie zgłaszanie naruszeń do właściwego organu nadzorującego w ciągu 72 godzin. Po trzecie niektóre firmy zmuszone będą wyznaczyć Inspektora Ochrony Danych Osobowych. W końcu po czwarte obowiązek zgłaszania zbiorów danych do GIODO zostanie zastąpiony przez obowiązkowe prowadzenie rejestrów czynności przetwarzania danych.
2. Czy słyszałeś o zasadzie rozliczalności i wiesz, jak wykazać zgodność z przepisami rozporządzenia?
Obecnie wymagane jest aby administrator prowadził dokumentację przetwarzania danych osobowych (m.in. polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym itp.). Od maja przyszłego roku będzie miał on swobodę w zakresie wdrożonych środków organizacyjnych i rozwiązań technicznych, pod warunkiem jednak, że będą one skutecznie zapewniały bezpieczeństwo przetwarzanych danych. Skuteczność tą w razie kontroli trzeba będzie udowodnić, uwzględniając, że powinna ona być zgodna ze wszystkimi innymi zasadami wprowadzanymi przez RODO.
3. Czy wiesz jakie zmiany nastąpią w dopełnianiu obowiązku informacyjnego?
Każda firma administrująca dane osobowe ma obowiązek informacyjny wobec każdej osoby, której dane pozyskuje – może to zrobić w treści zgody, regulaminie lub przez informacje wysłaną na przykład za pomocą emaila. Po wejściu w życie RODO zakres informacji, które będzie trzeba przekazać podczas zbierania danych ulegnie znacznemu rozszerzeniu, między innymi konieczne będzie podanie : danych kontaktowych firmy oraz jeśli takowy został powołany - Inspektora ochrony danych osobowych, informacji o źródle, z którego dane pochodzą (jeśli nie pochodzą bezpośrednio od podmiotu danych) oraz okresie przez który dane osobowe będą przechowywane. Dodatkową zmianą wprowadzoną przez RODO w zakresie obowiązku informacyjnego będzie obligatoryjne powiadomienie administratorów, którym zostały udostępnione dane osobowe, o każdym sprostowaniu lub usunięciu danych (obecnie taki obowiązek dotyczy tylko administratorów, którym został udostępniony cały zbiór danych, po wejściu w życie nowych przepisów będzie on dotyczył nawet udostępnienia danych jednej osoby).
4. Czy jesteś gotowy na realizację wniosków dotyczących np. przeniesienia danych czy też prawa do bycia zapomnianym?
Wśród nowych rozwiązań wprowadzanych przez RODO na szczególną uwagę zasługuje rozszerzenie praw przysługujących osobom, których dane są przetwarzane. Wprowadzone zostanie bowiem prawo do przenoszenia danych, w praktyce oznaczające, że jeśli przetwarzanie danych odbywa się w sposób zautomatyzowany na podstawie zgody lub w celu wykonania umowy, osoba, której dane dotyczą, może zażądać przekazania swoich danych przez jednego administratora do drugiego. Kolejną nowością wprowadzoną przez rozporządzenie jest Prawo do Bycia zapomnianym. Pod tym terminem kryje się konieczność usunięcia przez administratora danych osoby, która chciałaby zostać zapomniana, w całości z systemu. Przepis dotyczy nie tylko bazy danych administratora, ale też wszystkich ich kopii i replik, a nawet usunięcia danych przez inne podmioty, przetwarzające dane w imieniu administratora (odpowiedzialność w tym zakresie również spoczywać będzie na administratorze).
5. Czy zadbałeś, by pozyskiwane przez Ciebie zgody na przetwarzanie danych osobowych były dostosowane do wymogów rozporządzenia?
Na szczęście RODO podaje przykłady form wyrażenia zgody (oświadczenia ustnego, pisemnego i elektronicznego) więc nie będziemy musieli w tym obszarze być zanadto kreatywni. Jeśli chodzi o najważniejsze zmiany - przede wszystkim niepodjęcie działania, milczenie czy też domyślnie zaznaczone okienka nie będą mogły być uznawane za zgodę. Nowe przepisy określają też minimalny zakres informacji o procesie przetwarzania danych jaki administrator zobowiązany jest podać osobie wyrażającej zgodę ( jest to tożsamość administratora oraz zamierzone cele przetwarzania). Następna istotna różnica to umożliwienie zbierania danych w kilku różnych celach za pomocą jednej zgody na przetwarzanie danych osobowych. Duży nacisk w nowych rozporządzeniach położony zostanie również na dobrowolność wyrażanej zgody.
Kolejne pytania i odpowiedzi znajdziecie w kolejnej części teksu - https://properad.pl/artykul/5/Czy-jestes-gotowy-na-RODO-Sprawdz-10-najwazniejszych-pytan-i-odp, a po więcej informacji możecie sięgnąć do źródeł, z których korzystaliśmy przy tworzeniu powyższego tekstu:
http://giodo.gov.pl/pl/1520281/9993,
https://www.pwc.pl/pl/artykuly/2017/10-najwazniejszych-zmian-ktore-wprowadza-rodo.html,
https://certyfikatydo.pl/zasada-rozliczanosci-w-rodo/
https://sylwiaczub.pl/rodo-obowiazek-informacyjny-wobec-podmiotu-danych/
http://www.rp.pl/Firma/302249975-Prawo-do-przenoszenia-danych-osobowych.html
https://www.pwc.pl/pl/artykuly/2017/prawo-do-bycia-zapomnianym-rodo.html
https://blog-daneosobowe.pl/zgoda-przetwarzanie-danych-osobowych-gruncie-rodo/
https://gdpr.pl/blog/2016/10/04/rejestrowanie-czynnosci-przetwarzania/#Porownanie_przepisow_UODOGDPR
https://gdpr.pl/blog/2016/09/27/uwag-o-privacy-by-design/
https://gdpr.pl/blog/2016/09/29/domyslna-ochrona-danych/
http://www.tomaszpalak.pl/rodo-rodeo-czesc-2-obowiazki-sa-nowe/
https://gdpr.pl/artykul-33-zglaszanie-naruszenia-ochrony-danych-osobowych-organowi-nadzorczemu/