Dziesięć punktów, które wprowadzą Cię w RODO

Dziesięć punktów, które wprowadzą Cię w RODO

Już teraz przygotuj się na wprowadzenie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) Poniżej przedstawiamy dziesięć punktów, które pomogą Ci się za to zabrać.

Ogólne rozporządzenie o ochronie danych UE wpłynie na działalność wielu firm w Europie. Czy jesteś gotowy na zmiany?

W kwietniu 2016 r. Unia wydała Ogólne rozporządzenie o ochronie danych. Jak wiadomo już teraz, wraz z wejściem nowych przepisów w życie 25maja 2018 r., po dwuletnim okresie przejściowym rozporządzenie stworzy nowe wymogi w zakresie działania obowiązujące firmy przetwarzające dane osobowe.

Ponieważ definicja „danych osobowych” jest niezwykle pojemna, zmiana w przepisać będzie de facto dotyczyć niemal wszystkich przedsiębiorstw. Ponieważ do momentu rozpoczęcia obowiązywania przepisów o ochronie danych zostało już tylko 15 dni roboczych, poniżej przygotowaliśmy dziesięć punktów, które pomogą Ci zacząć.

  1. Wykaż, że działasz zgodnie z przepisami

Zgodnie z nowym rozporządzeniem administrator danych osobowych musi być w stanie wykazać, że przetwarza dane osobowe w wymagany sposób.

W praktyce oznacza to, że konieczne jest prowadzenie rejestru działań przetwarzania danych znajdujących się w pieczy danego administratora, aby można było udowodnić, że pozostają one w zgodzie z prawem.

 

  1. Upewnij się, że masz odpowiednią zgodę

Jeżeli przetwarzanie danych osobowych opiera się na zgodzie danej osoby zgodnie z art. 6 ust. 1 lit. a RODO, musisz być w stanie wykazać, że taka zgoda rzeczywiście została udzielona.

Co więcej, wymogi w zakresie takiej zgody w przyszłości staną się jeszcze bardziej surowe:

Zgoda musi być jasno wyrażona w pisemnym, elektronicznym lub ustnym oświadczeniu. Zgoda musi dowodzić, że dana osoba dobrowolnie, w odniesieniu do samej siebie, świadomie i jednoznacznie wyraża wolę zaakceptowania faktu, że jej dane osobowe będą wykorzystywane. Zwykle wyrażenie zgody przybierałoby formę zaznaczenia odpowiedniego pola wyboru.

 

  1. Egzekwuj prawo do bycia zapomnianym

Nowym aspektem, z którym wiąże się wprowadzenie rozporządzenia, jest prawo osoby, której dane osobowe przetwarzamy do bycia zapomnianym. W praktyce oznacza to prawo do usunięcia danych takiej osoby z Twoich baz danych.

Taka sytuacja może wystąpić, kiedy dana osoba cofnie udzieloną Ci wcześniej zgodę na wykorzystywanie swoich danych osobowych lub ustaną przesłanki, które pozwalały przetwarzać dane zgodnie z art. 6 ust. 1 lit b, c, d, e, f  RODO, przykładowo utracisz/ustanie prawnie usprawiedliwiony cel administratora danych.

Jeśli masz obowiązek usunięcia danych, musisz dostarczyć odpowiednie zawiadomienie wszystkim podmiotom, które otrzymały lub opublikowały te dane. Ma to na celu zagwarantowanie usunięcia wszystkich odnośników, duplikatów i kopii związanych z materiałem.

 

  1. Egzekwuj prawo do przenoszenia danych

Obecnie każdy ma prawo do otrzymania własnych danych w formacie , który podlega odczytowi maszynowemu i przekazania ich innemu administratorowi rejestru.

To prawo stosuje się także do danych osobowych, które dana osoba przekazała Ci za swoją zgodą lub w ramach umowy. Obowiązek ten nie zobowiązuje Cię jednak do zatwierdzania ani utrzymywania technicznie kompatybilnych systemów przetwarzania danych.

 

  1. Zakaz profilowania może mieć dla Ciebie istotne następstwa

Wszyscy mają prawo niepodlegania decyzji opartej na automatycznym przetwarzaniu danych. Oznacza to innymi słowy, że nie możesz podjąć ważnej decyzji, która wpłynie na daną osobę w oparciu o automatyczny proces przetwarzania danych.

Wyjątkiem od tego „zakazu profilowania” byłaby sytuacja, w której decyzja jest niezbędna do zawarcia umowy między daną osobą a Twoją firmą. Musisz zadbać o to, aby Twoje modele profilowania i podejmowania decyzji były zgodne z prawem, a w razie takiej potrzeby – wprowadzić wszelkie niezbędne zmiany.

Typowym przykładem wyłączenia zakazu profilowania jest podejmowanie decyzji kredytowych. Decyzje te są często oparte na zautomatyzowanych systemach klasyfikacji i zaleceniach decyzyjnych.

 

  1. Informuj o naruszeniach bezpieczeństwa danych osobowych, które przetwarzasz

W przyszłości będziesz zobowiązany do informowania GIODO/PUODO i osób, których dane przetwarzasz o wszelkich naruszeniach bezpieczeństwa danych. Obejmuje to sytuacje, w których naruszeniu podlegają prawa i wolności dowolnej osoby. W przypadku wystąpienia takich sytuacji, należy wykonać szereg czynności:

Musisz powiadomić GIODO/PUODO w ciągu 72 godzin od momentu naruszenia. Musisz poinformować wszystkie osoby dotknięte skutkami naruszenia o jego wystąpieniu, kiedy tylko stanie się prawdopodobne, że zabezpieczenie może narazić ich prawa i swobody na istotne ryzyko.

W dopełnieniu tych obowiązków zasadnicze znaczenie ma sporządzenie przez Ciebie wewnętrznych wytycznych i procedur, pozwalających zapewnić sprawny, prawidłowy proces.

 

  1. Informuj o stosowanym procesie przetwarzania danych

Firmy na całym świecie pozyskują obecnie więcej danych osobowych niż kiedykolwiek wcześniej. Aby w przyszłości spełniać wymogi UE, musisz podać więcej informacji o przetwarzaniu danych niż wcześniej.

Oznacza to, że musisz określić czas przechowywania danych osobowych. A jeśli nie jest to możliwe, musisz zamieścić informację o kryteriach stosowanych do określenia czasu przechowywania.

W praktyce oznacza to na przykład aktualizację dokumentów rejestru i bezpieczeństwa danych, a także przemyślenie tego, w jaki sposób informowanie zarejestrowanych osób będzie się odbywało w praktyce.

 

  1. Rola nowego Inspektora Ochrony Danych

Z uwagi na to, że ochronie danych poświęca się coraz więcej uwagi, być może będziesz musiał wyznaczyć Inspektora Ochrony Danych, który będzie sprawował piecze nad przetwarzaniem danych osobowych. Przykładowe organizacje, w których wymagane jest stanowisko IOD, to firmy, w których główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania danych. Mając to na uwadze, zalecamy, abyś ocenił, czy wymóg posiadania IOD dotyczy także Ciebie.

 

  1. Korzystając z outsourcingu przetwarzania danych osobowych, będziesz musiał zadbać o odpowiednie zabezpieczenia

Jeśli podzleciłeś jakąkolwiek część procesu przetwarzania danych innej jednostce, która będzie przetwarzać dane osobowe w Twoim imieniu, musisz wykonać szereg czynności:

Musisz zadbać o odpowiednie techniczne i organizacyjne zabezpieczenia, które spełnią wymogi przepisów. Musisz zapewnić ochronę praw zarejestrowanych osób.

W praktyce oznacza to, że należy określić sytuacje, w których outsourcing jest możliwy i zapewnić prawidłowe sporządzanie umów. Za outsourcing uważa się na przykład przechowywanie danych w usługach w chmurze, chociaż dostawca usług nie przetwarza aktywnie danych.

 

  1. Naruszenia mogą skutkować wysoką karą

Co ważne, oprócz ostrzeżenia możesz otrzymać wysoką karę za naruszenie przepisów o ochronie danych. Kara może wynosić maksymalnie 20 milionów EUR lub 4 % całkowitych obrotów Twojej firmy.