ul. Gliwicka 12/12,
40-079 Katowice
Tel. (+48) 32 749 63 67
NAPISZ DO NAS
Nadchodzi RODO - czyli zmiany w ochronie danych osobowych
Autor: Martyna Michta
30 października 2017 r.
„RODO”, zwane także „GDPR” lub „Ogólnym Rozporządzeniem o Ochronie Danych” to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Rozporządzenie weszło w życie 17 maja 2016 r. Zacznie ono obowiązywać bezpośrednio w krajowych porządkach prawnych od 25 maja 2018 r. Rozporządzenie obowiązywać będzie wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą.
Co istotne podmiotom prowadzącym działalność gospodarczą pozostało niewiele ponad sześć miesięcy na przygotowanie prowadzonej działalności do nowych przepisów, bowiem konsekwencje braku zgodności z RODO mogą być, w szczególności dla przedsiębiorców działających w ramach grup kapitałowych lub transgranicznie bardzo dotkliwe.
W pierwszej kolejności, odnosząc się do najważniejszych zmian, związanych z RODO, należy zwrócić uwagę na nową definicję DANYCH OSOBOWYCH, zgodnie z którą „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Warto zwrócić uwagę, iż powyższa definicja wprowadza pojęcie możliwości pośredniej identyfikacji. Co to oznacza? A to właśnie, że co do zasady, każda informacja, która chociażby potencjalnie może prowadzić do identyfikacji konkretnej osoby, będzie uznana za dane osobowe – może to być sam numer telefonu czy też adres IP. Powyższe stwarza problemy w sytuacji pojawienia się żądania o przeprowadzenie tzw. Anonimimzacji danych, która to polega na usunięciu ze zbiorów danych części informacji, które to identyfikują daną osobę.
W związku z powyższym w RODO pojawia się pojęcie Pseudonimizacji, tj. przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Warto zapamiętać to pojęcie, bowiem wydaje się, iż będzie ono często pojawiało się w praktyce stosowania RODO.
Kolejną istotną zmianą, jest wprowadzenie pojęcia Profilowania, oznaczającego dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. W obowiązującym dotychczas stanie prawnym Profilowanie nie było ograniczone większymi wymogami czy też ograniczeniami, jednakże RODO wprowadzając powyższe pojęcia, nakłada na przedsiębiorców je stosujących szereg obowiązków, co skutkuje koniecznością odpowiedniego przygotowania się pod kątem organizacyjnym przez podmioty przetwarzające dane osobowe.
Poniżej, prezentuję listę najważniejszych wymogów związanych z RODO, natomiast w następnych wpisach postaram się dokonać ich szerszego omówienia.
1. Szerszy niż obecnie obowiązujący obowiązek informacyjny względem osób, których dane są lub będą przetwarzane;
2. Zmiana ABI na IOD oraz analiza zaistnienia przesłanek skutkujących koniecznością jego powołania;
3. Obowiązek prowadzenia rejestrów przetwarzania danych osobowych oraz rozszerzenie zakresu danych, które winny być rejestrowane;
4. Konieczność stosowania mechanizmów umożliwiających poinformowanie osoby o przetwarzaniu jej danych osobowych;
5. Wdrożenie mechanizmów pozwalających informować osobę o przetwarzaniu jej danych w terminie miesiąca od wpływu przedmiotowego żądania;
6. Wdrożenie rozwiązań umożliwiających realizację tzw. „prawa do zapomnienia”;
7. Obowiązek uzyskania zgody na „profilowanie” danych osobowych;
8. Bezpośrednia odpowiedzialność podmiotu przetwarzającego dane;
9. Skróceniu do 72 godzin uległ również czas do zgłaszania naruszeń;
10. Konieczność opracowania regulaminów i procedur wewnętrznych.
Powyższa lista nie wyczerpuje tematu zmian jakie wprowadza RODO, jednak niewątpliwie winna uświadomić każdemu, jak istotne zmiany zostały wprowadzone i jak niewiele czasu pozostaje na ich wdrożenie.
AUTOR: mec. Martyna Michta
Autorka jest radcą prawnym w White Pine Legis Podhajski i Wspólnik Kancelaria Prawnicza Sp.k.
_ _ _ _ _ _ _ _ _ _
Stan prawny na dzień 30 października 2017 r. Niniejsza publikacja nie stanowi porady prawnej i jest objęta prawami autorskimi. Rozpowszechnianie niniejszej publikacji bez zgody White Pine Legis Podhajski i Wspólnik Kancelaria Prawnicza sp.k. lub autora jest zabronione.
.jpg)
