W przestrzeni publicznej, zwłaszcza w związku z aktywnością w Internecie, coraz częściej pojawia się świadomość istnienia zagrożeń związanych z ujawnianiem danych osobowych. Jednak wciąż jeszcze zdarzają się przypadki ignorowania i lekceważenia tych niebezpieczeństw. Dlatego przepisy RODO wyznaczają obowiązki administratora danych osobowych, dzięki którym na wielu etapach transmisji wrażliwych informacji rośnie poziom akceptacji zabezpieczania i ochrony. Jednym z najskuteczniejszych działań jest obowiązek informacyjny administratora.
Zarówno w jednostkach państwowych, jak i samorządowych oraz w prowadzonej działalności gospodarczej gromadzone są dane osobowe m.in. kandydatów do pracy, pracowników, współpracowników, klientów czy też kontrahentów. Technicznie rzecz ujmując dane osobowe (dokładna definicja: Pojęcie „dane osobowe” na gruncie Rozporządzenia o ochronie danych osobowych) pojawiają się praktycznie przy każdym działaniu, jakim podejmujemy, np. wysłanie maila, przygotowanie i wysłanie oferty, przeprowadzenie procesu rekrutacyjnego, zawarcie umowy, prowadzenie akt osobowych pracowników, korzystanie z systemów kadrowo-płacowych, finansowych, produkcyjnych, wysłanie newslettera.
Często przy rozmowach słyszymy takie zdanie: „Nie mam w firmie żadnych danych osobowych”.
Wyprowadzając wszystkich z błędu, potwierdzamy, iż każdy przedsiębiorca, organizacja, instytucja państwowa czy samorządowa posiada dane osobowe i je przetwarza.
Posiadając dane osobowe, określając cele i sposoby ich przetwarzania, dany podmiot staje się administratorem danych osobowych.
Kiedy Rozporządzenie RODO nie będzie stosowane?
Warto wspomnieć o pewnych wyjątkach, kiedy Rozporządzenie RODO nie będzie stosowane do przetwarzania danych osobowych (art. 2 ust. 2 Rozporządzenia)
- w ramach działalności nieobjętej zakresem prawa Unii;
- przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 Traktatu o Unii Europejskiej
- przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;
- przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
Przepisy prawa nakładają szereg obowiązków na Administratorów danych osobowych, które można podzielić na trzy grup:
- obowiązki wobec osób, których dane dotyczą;
- obowiązki w zakresie zapewnienia bezpieczeństwa danych;
- obowiązki wykonywane w ramach organu nadzorczego.
Obowiązek informacyjny administratora i inne obowiązki wobec osób, których dane dotyczą
Jak sama nazwa Rozporządzenia RODO wskazuje, ale także treść art. 1 ust. 2: „Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych”. Tym samym Administrator w ramach tej grupy obowiązków musi wykonać następujące czynności:
- spełnić obowiązek informacyjny osób, wobec których dane przetwarza (odnośnik do mojego wpisu na Blogu) w tym zrealizowanie prawa dostępu do danych osobowych;
- uwzględnienie żądanie usunięcia danych (zgodnie z obowiązującymi przepisami) – czyli inaczej zrealizowanie prawa do bycia zapomnianym;
- uwzględnienia sprzeciwu wobec przetwarzania danych, dla których został wniesiony;
- obowiązek przenoszenia danych, jeżeli osoba, której dane dotyczą, zażądała tego;
- uwzględnienie cofnięcia zgody, która została wyrażona;
- obowiązek zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych;
- realizacja innych praw osób, których dane dotyczą, a wynikają one z Rozporządzenia lub innych przepisów prawa
Obowiązek zapewnienia bezpieczeństwa
Zgodnie z Rozporządzenie RODO, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych Administrator ma obowiązek wdrażania w ramach swojej organizacji odpowiednich środków technicznych i organizacyjnych, które będą w stanie zapewnić zgodność z przepisami prawa, ale także wykazanie tego.
Wdrażając odpowiednie środki techniczne i organizacyjne, należy także pamiętać o możliwości wykazania ich. Dlatego też Grupa Robocza Art. 29 (obecnie Europejska Rada Ochrony Danych), Urząd Ochrony Danych Osobowych czy także inne przepisy wskazują, aby:
- przygotować właściwą dokumentację zapewniającą ochronę danych, bezpieczeństwo ich przetwarzania;
- nadać upoważnienia do przetwarzania danych oraz odebrać stosowne zobowiązania do zachowania poufności;
- podpisać umowy powierzenia;
- wdrożyć odpowiednich rozwiązań w ramach organizacji;
- szkolić osoby, które mają dostęp do danych, uświadamiać ich w zakresie bezpieczeństwa danych, w tym danych osobowych.
Przykładowy wykaz środków mających na celu zapewnienie bezpieczeństwa ujęty został w art. 32 Rozporządzenia RODO i zalicza się do nich:
- pseudonimizację i szyfrowanie danych osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
W celu ustalenia, czy stopień bezpieczeństwa przetwarzania danych jest odpowiedni, należy przeprowadzić analizę ryzyka.
Obowiązki wobec organu nadzorczego
Nowym organem nadzorczym sprawującym nadzór nad ochroną danych osobowych zgodnie z Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Tym zastąpił on Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Od dnia 25 maja 2018 r., czyli od dnia, kiedy Rozporządzenie RODO zaczęło być stosowane, Administratorzy mają obowiązek zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego. Dodatkowo w ramach swojej organizacji są zobowiązani do prowadzenia rejestru / dokumentowania wszelkich naruszeń ochrony danych.
Zgłaszania do Prezesa Urzędu Ochrony Danych Osobowych informacji o powołaniu Inspektora ochrony danych, jeżeli dany podmiot zgodnie z przepisami ma obowiązek powołania takiej osoby.
Dodatkowe obowiązki Administratora
Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. Rozporządzenia RODO), oraz Ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. administrator ma dodatkowe obowiązki:
- dokonywać oceny skutków planowanych operacji przetwarzania danych osobowych przed rozpoczęciem tego procesu;
- prowadzić rejestr czynności przetwarzania danych osobowych;
- prowadzić rejestr kategorii czynności przetwarzania;
- przetwarzać dane zgodnie z zasadami z Rozporządzenia RODO, w tym m.in. minimalizować ilość zbieranych danych oraz ograniczyć ich przechowywanie.
Kim jest administrator danych osobowych?
Definicja zgodnie z art. 4 ust. 4 Rozporządzenia RODO:
„Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator, lub mogą zostać określone konkretne kryteria jego wyznaczania;
Czyli kto jest administratorem danych osobowych?
Technicznie rzecz ujmując, każdy podmiot, który przetwarza dane osobowe do realizacji własnego celu, jest administratorem danych osobowych. Celem tym może być m.in. przeprowadzenie rekrutacji, nawiązanie stosunku pracy, pozyskanie klienta, spełnienie obowiązku podatkowego i tak dalej.
Warto zauważyć, iż dany podmiot może być zarówno administratorem danych osobowych, jak i podmiotem przetwarzającym (procesorem). Np. Biuro rachunkowe XYX Sp.z o.o. wobec swoich pracowników jest administratorem ich danych osobowych a wobec swoich klientów, którzy powierzają im dane osobowe, są podmiotem przetwarzającym.
Wyjątki, kiedy dany podmiot nie jest administratorem danych, opisane zostały w art. 2 ust. 2 Rozporządzenia RODO. W praktyce będzie to dotyczyć sytuacji, gdy przetwarzanie danych odbywa się przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.
- osoba fizyczna prowadząca działalność gospodarczą (wpisana do CEIDG);
- osoba fizyczna nieposiadająca wpisu do CEIDG, ale wykonująca działalność zawodową, zarobkową np. grafik pracujący w ramach umowy o dzieło;
- osoby prawne: spółka z ograniczoną odpowiedzialnością, spółka akcyjna, fundacje, stowarzyszenia, przedsiębiorstwa państwowe itp.
- organy publiczne:
- jednostka lub inny podmiot: spółka komandytowa, spółka jawna, spółka partnerska, spółka komandytowo-akcyjna,
Administrator danych osobowych samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Spójnik „i” jest tutaj kluczowy, gdyż obie przesłanki muszą być spełnione łącznie.
Biuro rachunkowe XYZ Sp. z o.o. zatrudnia swoich pracowników, a tym samym dla nich jest administratorem danych osobowych. To właśnie spółka będzie decydować m.in. z jakiego systemu kadrowo-płacowego będzie korzystać oraz jakie zastosuje środki bezpieczeństwa np. indywidualne identyfikatory, zmiany haseł, antywirus itp.
