25 maja 2018 r. zacznie być stosowane Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Wskazane wyżej rozporządzenie stanowi kompleksową regulację, która ma na celu zrewolucjonizowanie zakresu obowiązków podmiotów przetwarzających dane osobowe, a ponadto w swym pierwotnym założeniu ma stworzyć lepszą perspektywę dla ochrony danych osobowych.
RODO będzie dotyczyło praktycznie wszystkich przedsiębiorców ze względu na to, że jak stanowi treść przedmiotowego rozporządzenia ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

Co ciekawe, jak wynika z treści Rozporządzenia nie tylko podmioty pochodzące z UE będą objęte nowymi obowiązkami ale będą one dotyczyły także podmiotów nie należących do Wspólnoty. Podmioty te będą miały obowiązek zapewnienia zgodności z Rozporządzeniem w zakresie przetwarzania danych osobowych osób przebywających na terenie UE wtedy, gdy czynność przetwarzania będzie związana z oferowaniem towarów lub usług takim osobom w UE, niezależnie, czy wymaga się od tych osób zapłaty ale też w sytuacji monitorowania zachowania danych osób, o ile do tego zachowania dochodzi w UE.
Jednocześnie podmioty z państw trzecich, które będą przetwarzały dane i będą objęte zakresem Rozporządzenia, będą musiały nie tylko działać zgodnie z przepisami Rozporządzenia ale także będą musiały wyznaczyć swojego przedstawiciela na terytorium Unii Europejskiej. Aby zostać takim przedstawicielem należy spełniać szereg kryteriów: może to być osoba fizyczna lub prawna, mająca miejsce zamieszkania lub siedzibę w Unii oraz musi mieć siedzibę w państwie członkowskim, w którym przebywają osoby, których dane osobowe są przetwarzane w związku z oferowaniem im towarów lub usług lub których zachowanie jest monitorowane. Przedstawiciel musi także zostać upoważniony przez administratora lub podmiot przetwarzający do tego aby organy nadzorcze i osoby, których dane dotyczą, mogły bezpośrednio zwracać się do niego we wszystkich sprawach związanych z przetwarzaniem danych. Jeżeli chodzi o formę wyznaczenia przedstawiciela to administrator lub podmiot przetwarzający musi dokonać tej czynności na piśmie.
Rozporządzenie wymienia jasno określone sytuacje, w których przetwarzanie danych będzie uznawane za zgodne z prawem. Oznacza to, że każdy proces przetwarzania danych musi opierać się na co najmniej jednej podstawie prawnej, wskazanej w Rozporządzeniu w artykule 6.:
1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Administratorzy danych osobowych będą musieli wypełniać wiele obowiązków, i przykładowo jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych (art 7). Jednocześnie jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. W związku z tym obowiązków należy w większości przypadków przygotować bardzo precyzyjną dokumentację, której treść nie będzie budziła żadnych zastrzeżeń. Jest to istotne ze względu na to, że część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie przedmiotowego rozporządzenia nie jest wiążąca. Co ważne, osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Osoba, której dane dotyczą,musi zostać poinformowana, o wszystkich istotnych z punku widzenia prawach zanim wyrazi swoją zgodę. Administrator ma obowiązek stosowania takich rozwiązań aby wycofanie zgody był równie łatwe jak jej wyrażenie. Za niezwykle ważny należy uznać pkt. 4 art. 7 w którym wprost stwierdzono, że oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.
Do 25 maja 2018 r. należy w przedsiębiorstwie wprowadzić takie procedury, które pozwolą aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji dotyczących przetwarzania danych osobowych oraz prowadzić z nią wszelką komunikację w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. Po po stronie administratora leży obowiązek ułatwienia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15–22 Rozporządzenia. Każdy administrator będzie musiał pamiętać, aby bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem złożonym przez uprawnionego na podstawie art. 15–22 Rozporządzenia. Tylko w wyjątkowych wypadkach, w razie zaistnienia takiej potrzeby termin ten można przedłużyć o kolejne dwa miesiące ale może nastąpić to tylko z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy. Jednocześnie jeżeli administrator nie wywiąże się ze swoich obowiązków to najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
Aby administratorzy mogli uwolnić się od żądań uporczywych lub nieuzasadnionych, z którymi niestety należy się liczyć, mogą po uzasadnieniu swoich racji pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działa albo odmówić podjęcia działań w związku z żądaniem.
Kolejnym katalogiem obowiązków ciążących na administratorze są obowiązki informacyjne na podstawie, których administrator (art. 13 Rozporządzenia) będzie musiał podać:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. A Rozporządzenia – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 Rozporządzenia, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.
Na podstawie Rozporządzenia każda osoba, której dane dotyczą, jest uprawniona do uzyskania dostępu do informacji, które jej dotyczą, a ponadto muszą zostać jej udostępnione:
a) cele przetwarzania;
b) kategorie odnośnych danych osobowych;
c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
f) informacje o prawie wniesienia skargi do organu nadzorczego;
g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 Rozporządzenia, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Ponadto, każda osoba, której dane dotyczą, ma prawo do żądania niezwłocznego sprostowania danych. Rozporządzenie w art. 17 reguluje kwestię, która jest przedmiotem burzliwej debaty publicznej, a mianowicie określa warunki żądania usunięcia danych („prawo do bycia zapomnianym”). Osoba której dane są przetwarzane ma także prawo żądać aby doszło do ograniczenia przetwarzania. A jeżeli dojdzie do usunięcia danych lub ograniczenia przetwarzania na administratora został nałożony obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania. Jednocześnie, zgodnie z art. 20. przenoszenie danych powinno być umożliwione w jak najbardziej uproszczonej formie dla osoby której dane są przetwarzane a administrator, który pierwotnie otrzymał dane nie może takiego przekazania ograniczać. Jednocześnie osoba, której dane są przetwarzane będzie miała w określonych przypadkach prawo do wniesienia sprzeciwu odnośnie profilowania oraz przetwarzania jej danych.
Kolejnym obowiązkiem dla administratorów będzie wyznaczenie inspektora danych osobowych. Zgodnie z art. 39 Rozporządzenia inspektor ochrony danych ma następujące zadania:
a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;
d) współpraca z organem nadzorczym;
e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
2. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
Powyżej wymienione regulacje nie odzwierciedlają pełnego zakresu aspektów którymi zajmuje się przedmiotowe dla niniejszego opracowania Rozporządzenie, ale jak można zauważyć na powyższych przykładach nowych obowiązków, które stanowią tylko część rozbudowanej całości, przedsiębiorcy aby prawidłowo dostosować się do nowych przepisów będą musieli zmobilizować spore siły, co i tak z uwagi na rozległość uregulowań może okazać się niewystarczające i spowodować dotkliwe problemy. Dlatego też, Kancelaria Transportowa LEGALTRANS oferuje swoją pomoc w kompleksowym wdrożeniu procedur związanych z RODO, poprzez przeprowadzenie stosownego audytu, przygotowanie oraz wdrożenie rekomendacji, kontrolę wprowadzonych rozwiązań oraz badanie zachowania poziomu bezpieczeństwa.

Autor: Karolina Wierzchowska, prawnik Kancelarii Transportowej LEGALTRANS

Powrót do listy aktualności

Facebook