Opublikowane:
06.12.2017
Czy jesteś gotowy na RODO? Sprawdź! - 10 najważniejszych pytań i odpowiedzi. cz.2
7 min - średni czas potrzebny na przeczytanie artykułu
Temat zmian, które czekają nas w związku z wprowadzeniem w życie założeń Ogólnego Rozporządzenia o Ochronie Danych Osobowych (tzw. RODO) poruszyliśmy już we wcześniejszym artykule - https://properad.pl/artykul/4/Czy-jestes-gotowy-na-RODO-Sprawdz-10-najwazniejszych-pytan-i-odp.
Poniżej omówimy kolejne 5 pytań z listy zaprezentowanych przez GIODO.
Pamiętajmy, że na przygotowania mamy coraz mniej czasu - nowe przepisy obowiązywać będą już od 5 maja 2018 roku.
6. Czy jesteś gotów do rejestracji czynności przetwarzania danych?
Jak już wspomnieliśmy RODO likwiduje obowiązek rejestracji i aktualizacji zbiorów danych osobowych w GIODO. Zostanie on zastąpiony rejestrowaniem czynności przetwarzania danych. Administrator danych będzie zmuszony prowadzić, w formie elektronicznej lub pisemnej - rejestr czynności przetwarzania danych, natomiast podmioty przetwarzające dane - rejestr wszystkich kategorii czynności przetwarzania dokonanych w imieniu administratora. Oba rodzaje rejestrów będą musiały zostać udostępnione na każde żądanie organu nadzorczego.
7. Czy znasz koncepcję ochrony danych w fazie projektowania oraz domyślnej ochrony danych i czy uwzględniłeś ją w swoich działaniach?
Wśród wielu zmian wprowadzonych przez RODO szczególną uwagę należy zwrócić na privacy by design oraz privacy by default. Pierwsza z tych zasad dotyczy uwzględniania ochrony danych już w fazie projektowania konkretnych rozwiązań, druga zaś domyślnej ochrony danych. Kluczowym elementem privacy by design jest wkomponowywanie mechanizmów mających zapewnić odpowiednią ochronę danych osobowych, w działania administratora, już na etapie planowania procesu. Natomiast privacy by default to poniekąd oszczędne podejście do zbieranych danych, a więc gromadzenie tylko danych niezbędnych do osiągnięcia danego celu oraz zachowanie odpowiednich środków technicznych i organizacyjnych umożliwiających zrealizowanie tego założenia.
8. Czy dokonujesz profilowania osób? Jeśli tak, to czy wiesz, jakie warunki musisz spełnić, aby działanie to było legalne?
Profilowanie zdefiniować można jako „dowolną formę przetwarzania danych osobowych, polegającą na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych”. W dużym uproszczeniu jest to więc wnioskowanie na podstawie posiadanych danych osobowych o innych cechach, które następnie przypisywane są danej osobie. Warto wspomnieć, że profilowanie polegać może zarówno na ocenie pozyskanych na temat danej osoby informacji (na przykład sklasyfikowanie jej na ich podstawie) jak też na wytworzeniu nowej informacji o danej osobie na podstawie posiadanych na jej temat danych. Niezależnie od tego czy odbywa się ono za pomocą czynnika ludzkiego czy też w sposób zautomatyzowany profilowanie wiąże się z ryzykiem przypisania podmiotowi danych cech fałszywych. Dlatego RODO wprowadza pewne wymogi odnośnie podmiotów dokonujących profilowania osób. Najważniejsze z nich to spełnienie obowiązku informacyjnego (a więc zawiadomienie podmiotu danych, że proces profilowania ma miejsce, czy odbywa się w sposób zautomatyzowany oraz jakie są jego konsekwencje), umożliwienie podmiotowi danych wniesienia sprzeciwu wobec profilowania oraz realizowanie prawa podmiotu danych do dostępu do przetwarzanych danych ( w tym danych powstałych w efekcie profilowania).
9. Czy jesteś gotowy do wykrycia, analizy i zgłoszenia naruszenia ochrony danych? Czy wiesz, jakie działania musisz podjąć w przypadku wystąpienia takiego incydentu?
Każdy administrator danych osobowych powinien zapewnić odpowiednie środki techniczne oraz inne środki ochrony skutecznie ograniczające prawdopodobieństwo naruszenia ochrony danych. Jeśli jednak takie naruszenie zajdzie RODO nakłada na podmioty przetwarzające danych nowe obowiązki. Po stwierdzeniu takiego zdarzenia podmiot przetwarzający musi bez zbędnej zwłoki poinformować administratora. Administrator zaś ma obowiązek zgłosić naruszenie właściwemu organowi nadzorczemu nie później niż w terminie 72 godzin, chyba, że jest mało prawdopodobne, że stworzy ono ryzyko naruszenia praw lub wolności osób fizycznych, których dane dotyczą. Zgłoszenia przekazane po upływie tego terminu muszą dodatkowo zawierać wyjaśnienie przyczyn opóźnienia.
Takie zawiadomienie może skutkować interwencją organu nadzorczego i musi zwierać co najmniej:
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych osobowych lub wskazany inny punkt kontaktowy od którego można uzyskać więcej informacji,
- opis charakteru naruszenia,
- kategorię i przybliżoną liczbę osób oraz wpisów danych osobowych, których dotyczy naruszenie,
- opis możliwych konsekwencji naruszenia,
- opis zastosowanych lub proponowanych przez administratora środków zaradczych.
Wszelkie naruszenia ochrony danych osobowych, muszą zostać udokumentowane przez administratora wraz z opisem okoliczności zajścia zdarzenia, jego skutków oraz podjętych działań zaradczych.
10. Czy sprawdziłeś, czy jesteś zobowiązany do wyznaczania inspektora ochrony danych?
Obowiązek wyznaczenia inspektora ochrony danych został nałożony na administratorów lub podmioty przetwarzające dane osobowe jeśli :
- są one organami lub podmiotami publicznymi, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
- ich działalność wymaga regularnego i systematycznego monitorowania znacznej ilości osób, których dane dotyczą,
- ich główna działalność polega na przetwarzaniu znacznej ilości szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
W odniesieniu do RODO w pozostałych przypadkach wyznaczenie Inspektora danych osobowych będzie fakultatywne, polski ustawodawca ma jednak prawo rozszerzyć obowiązek wyznaczenia Inspektora danych osobowych również na inne podmioty.
Powyższe zestawienie to zaledwie krótki wstęp do zmian wprowadzanych przez RODO. Część z nich ułatwi życie administratorów i podmiotów przetwarzających dane osobowe, część zdecydowanie utrudni. W każdym przypadku jednak na zmiany należy być gotowym - zachęcamy więc do kontaktu ze specjalistami oraz przeprowadzania odpowiednich audytów.
Więcej informacji znajdziecie w poniższych tekstach, z których korzystaliśmy przy tworzeniu powyższego artykułu:
Żródła:
http://giodo.gov.pl/pl/1520281/9993,
https://www.pwc.pl/pl/artykuly/2017/10-najwazniejszych-zmian-ktore-wprowadza-rodo.html,
https://certyfikatydo.pl/zasada-rozliczanosci-w-rodo/
https://sylwiaczub.pl/rodo-obowiazek-informacyjny-wobec-podmiotu-danych/
http://www.rp.pl/Firma/302249975-Prawo-do-przenoszenia-danych-osobowych.html
https://www.pwc.pl/pl/artykuly/2017/prawo-do-bycia-zapomnianym-rodo.html
https://blog-daneosobowe.pl/zgoda-przetwarzanie-danych-osobowych-gruncie-rodo/
https://gdpr.pl/blog/2016/10/04/rejestrowanie-czynnosci-przetwarzania/#Porownanie_przepisow_UODOGDPR
https://gdpr.pl/blog/2016/09/27/uwag-o-privacy-by-design/
https://gdpr.pl/blog/2016/09/29/domyslna-ochrona-danych/
http://www.tomaszpalak.pl/rodo-rodeo-czesc-2-obowiazki-sa-nowe/
https://gdpr.pl/artykul-33-zglaszanie-naruszenia-ochrony-danych-osobowych-organowi-nadzorczemu/