Ostatni dzwonek w kwestii RODO

25 maja 2018 r. mija okres dostosowania przepisów wewnętrznych przedsiębiorstw do nowych regulacji w zakresie ochrony danych osobowych, jakie wprowadza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/697 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE z dnia 27 kwietnia 2016 r. [zwanego dalej: RODO].

Nowe przepisy w zasadzie zrewolucjonizują dotychczasowe podejście do danych osobowych i nałożą na polskich przedsiębiorców szereg nowych obowiązków. Postanowienia RODO zobowiążą przedsiębiorców do zweryfikowania pozycji inspektora danych osobowych, czy wdrożenia zmian w zakresie dokumentacji ochrony danych osobowych.

Ogólna zasada ochrony danych osobowych

Z dniem wejścia w życie RODO (a właściwie – z upływem terminu na dostosowanie polityk ochrony danych do postanowień RODO) bezwzględna ochrona danych osobowych stanie się zasadą, a ewentualne przetwarzanie danych będzie mogło odbywać się wyłącznie wedle ścisłych i rygorystycznych norm RODO.

Pod rządami RODO dane osobowe będą musiały być [art. 5 RODO]:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
  • Za przestrzeganie przetwarzania danych osobowych zgodnie z powyższymi zasadami odpowiedzialny będzie administrator, który będzie musiał być w stanie wykazać spełnienie tych norm („rozliczalność”) [art. 5 ust. 2 RODO].

Warto wspomnieć, że od 25 maja 2018 r. przetwarzanie danych osobowych będzie uznawane za zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków [art. 6 ust. 1 RODO]:

  • osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Powyższe wymusi na administrator całkowite zrewidowanie obecnych podstaw przetwarzania danych osobowych, zaktualizowanie polityki uzyskiwania zgody na przetwarzanie danych osobowych, jak też zaudytowane, czy wszystkie przetwarzane przez administratora dane osobowe będą mogły być wciąż wykorzystywane z uwzględnieniem zasady ograniczenia celu i minimalizacji danych.

Nowe obowiązki informacyjne

RODO stawia również na przejrzystość w zakresie przetwarzania danych osobowych oraz zapewnienie osobom fizycznym, których dane dotyczą należytej informacji w tym względzie. Wiązać się to będzie z szeregiem obowiązków informacyjnych, do publikowania i przekazywania których zobowiązani będą administratorzy danych osobowych.
Zgodnie z art. 12 ust. 1 RODO administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji dotyczących przetwarzania Jej danych osobowych zgodnie z postanowieniami RODO, oraz aby zapewnić takiej osobie możliwość prowadzenia komunikacji z administratorem – na piśmie, lub elektronicznie (w stosownych przypadkach).

Podczas pozyskiwania danych osobowych administratorzy będą zobligowani udostępnić osobie, której danej dotyczą m.in. następujące informacje [art. 13 ust. 1 RODO]:

  • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  • cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania [art.. 13 ust. 2 RODO]:

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Nowością będzie również obowiązek ujawnienia przez administratora osobie fizycznej źródła pochodzenia danych osobowych, a gdy ma to zastosowanie – podania informacji, czy pochodzą one ze źródeł publicznie dostępnych [art. 14 ust. 2 lit. f RODO]. Obowiązek ten będzie dotyczył sytuacji, w której administrator będzie przetwarzał dane pochodzące z innego źródła niż osoba, której dane dotyczą. Pozwoli to osobom fizycznym na prześledzenie, skąd administrator zdobył ich dane i wyeliminować przypadki handlowania danymi osobowymi bez ich wiedzy.
Wszystko to sprawia, że administratorzy będą zobligowani do wypracowania i wdrożenia właściwych procedur informowania, by zapewnić osobom fizycznym należyty dostęp do informacji zgodnie z wymogami RODO.

Prawa osoby, której dane dotyczą

RODO wprowadza szeroki zakres praw osób fizycznych, których dane dotyczą. Prócz już wymienionego prawa do otrzymania należytej informacji, RODO przyznaje osobom fizycznym, których dane dotyczą:

  • prawo dostępu do swoich danych osobowych, ich poprawiania oraz aktualizowania;
  • prawo do sprostowania danych;
  • prawo do usunięcia danych (prawo do bycia zapomnianym);
  • prawo do ograniczenia przetwarzania;
  • prawo do przenoszenia danych;
  • prawo do zgłoszenia sprzeciwu do właściwego organu.

Nowością jest tu zwłaszcza prawo do bycia zapomnianym. RODO gwarantuje każdej osobie fizycznej prawo do tego, aby jej dane osobowe zostały usunięte i przestały być przetwarzane, jeżeli nie są one już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane, a osoba, której dane dotyczą, cofnęła zgodę lub wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących lub też przetwarzanie jej danych osobowych nie jest z innego powodu zgodne z RORO. Rozporządzenie wprowadza jednak pewne wyjątki od tej zasady.

Nowe obowiązki administratorów

Zgodnie z wymogami RODO, administratorzy danych osobowych będą zobowiązani do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych odbywało się zgodnie z postanowieniami RODO, a administrator był w stanie to wykazać. Przetwarzanie będzie musiało zapewnić osobie fizycznej prawidłową i niezakłóconą realizację jej praw, przyznanych na mocy RODO. Administratorzy zobowiązani są również w razie potrzeby poddawać te środki przeglądom oraz uaktualnianiu [art. 23 ust. 1 RODO].

Ochrona danych osobowych będzie musiała zostać uwzględniona przez administratora już w fazie projektowania (tzw. privacy by design), co oznacza, że administrator będzie zobowiązany do wdrażania i utrzymywania odpowiednich środków technicznych i organizacyjnych zaprojektowanych w celu skutecznej realizacji zasad ochrony danych, zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania [art. 25 ust. 1 RODO]. Dodatkowo, administratorzy będą zobowiązani do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania (privacy by default”) [art. 25 ust. 2 RODO].
Wymusi to na administratorach całkowitą aktualizację istniejących polityk bezpieczeństwa danych osobowych oraz obowiązujących w tym zakresie rozwiązań organizacyjnych, technicznych i proceduralnych.

Nowością będzie również zastąpienie obowiązku rejestracji zbiorów danych osobowych rejestrowaniem czynności przetwarzania.
Na mocy RODO administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora będzie zobligowany do prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada.

W rejestrze tym zamieszcza się wszystkie następujące informacje [art. 30 RODO]:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa stosowanych przez administratora.

RODO stanowi jednak, że obowiązek prowadzenia rejestru czynności nie będzie miał zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych (tzw. dane wrażliwe).

Wreszcie, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku [art. 32 ust. 1 RODO].

Surowe kary

Obowiązek dostosowania procedur oraz środków technicznych i organizacyjnych do postanowień RODO jest o tyle kluczowy, że za złamania postanowień RODO administratorom będą groziły surowe kary.
RODO przewiduje w tym zakresie karę administracyjną za jedną grupę naruszeń do € 10 000 000, a w przypadku przedsiębiorców do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, bądź w ramach drugiej grupy naruszeń do € 20 000 000, a w przypadku przedsiębiorców w ramach grup naruszeń do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym w obu przypadkach zastosowanie ma kwota wyższa).
Poza tym GDPR reguluje prawo do dochodzenia odszkodowania od administratora lub podmiotu przetwarzającego za szkodę majątkową lub niemajątkową w wyniku naruszenia postanowień RODO.

Te i inne zmiany i nowości sprawiają, że dla skutecznego dostosowania się do regulacji RODO przedsiębiorcy powinni jak najszybciej podjąć kroki zmierzające do ich weryfikacji i wdrożenia. Zapraszam do kontaktu i skorzystania z` pomocy GLC w zakresie dostosowania Państwa biznesu do obowiązków wynikających z RODO i zyskanie pełnego bezpieczeństwa.

Masz pytania dotyczące rachunkowości lub prawa podatkowego?
Potrzebujesz pomocy prawnej?

Wypełnij formularz kontaktowy

i skontaktuj się z nami

    Jaka usługa Cię interesuje?
    Jak możemy się z tobą skontaktować?

    Powiązane wpisy

    Spółki kapitałowe vs spółki osobowe: co najlepiej pasuje do Twojego biznesu?

    Wybór formy prawnej firmy ma istotne konsekwencje dla struktury organizacyjnej, podatków, odpowiedzialności właścicieli oraz możliwości rozwoju. Spółki kapitałowe, takie jak...

    Sukcesja w spółkach prawa handlowego – tradycyjnie czy przez fundację rodzinną?

    Zapewnienie sukcesji w prowadzonej firmie to niemały problem dla wszystkich przedsiębiorców. W przypadku posiadania dzieci (zstępnych) nie można zagwarantować, iż...

    Fundacja rodzinna a korzyści podatkowe

    Fundacja rodzinna jako nowa instytucja w polskim porządku prawnym wywołała niemałe zamieszanie zarówno w zakresie alternatywnej formy zaplanowania sukcesji wielopokoleniowej,...