RODO to nie tylko bezpieczeństwo

27.03.2018

Rozporządzenie ogólne (679) potocznie zwane RODO/GDPR będzie stosowane od 25 maja 2018 r. Jest to data traktowana przez wiele osób jako początek RODO w europejskim porządku prawnym. Pytanie czy słusznie?

Nic bardziej mylnego – rozporządzenie weszło w życie w maju 2016 r. dając państwom członkowskim i ich obywatelom dwa lata na dostosowanie i wdrożenie postanowień RODO. Okres ten kończy się właśnie 25 maja 2018 i od tego dnia przepisy RODO będą już stosowane do wszystkich trwających procesów przetwarzania danych.

Każdy trwający w tej dacie proces przetwarzania danych musi być dostosowany do RODO. Od przedsiębiorców wymaga to przede wszystkim gruntownej inwentaryzacji modeli biznesowych i mechanizmów w organizacji z którymi łączy się przetwarzanie danych osobowych. Biorąc pod uwagę szeroką definicję „danych osobowych” trzeba powiedzieć, że praktycznie wszystkie procesy biznesowe w ten czy inny sposób łączą się z przetwarzaniem danych osobowych. Pojęcie danych osobowych obejmującą bowiem wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej w tym informacje:

  • imię i nazwisko, numer identyfikacyjny,
  • dane o lokalizacji, identyfikator internetowy,
  • jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Każdy administrator danych (a więc firma  która jest „właścicielem” danych) musi zweryfikować m.in.:

  • Jakie dane przetwarza?
  • W ramach jakich procesów biznesowych?
  • Skąd te dane pozyskuje?
  • jakim zakresie dane osobowe przetwarza?
  • Z jakich narzędzi informatycznych korzysta?
  • W jaki sposób zabezpiecza dane osobowe?

Inwentaryzacja ma służyć wdrożeniu zmian i tym samym realizacji wymogów wynikających z przepisów. Aby zrozumieć jak głęboko na działalność przedsiębiorców wpłynie RODO wystarczy wskazać na jego zasady ogólne.

6 filarów RODO

RODO jest oparta na 6 filarach, wymagających aby:

  • przetwarzanie danych osobowych odbywało się: zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  • dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
  • dane osobowe były adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  • dane osobowe były prawidłowe i w razie potrzeby uaktualniane; administrator powinien podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
  • dane osobowe były przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”)
  • dane osobowe były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”);

Dość powszechnie (błędnie) utożsamia się ochronę danych osobowych wyłącznie z aspektem bezpieczeństwa. Natomiast jest to – bardzo ważny – ale jednak wyłącznie jeden z sześciu filarów ochrony danych osobowych. Co więcej doświadczenie z wdrażania RODO pokazuje, że organizacje mają dużo większy problem z innymi zasadami rozporządzenia.  Przykładowo nie każdy zdaje sobie sprawę z tego jak szeroko ujęte w RODO zostały uprawnienia osób które dane są przetwarzane. Chodzi o różnego rodzaju żądania z którymi taka osoba może „zgłosić” się do administratora, a więc podmiotu który przetwarza jej dane osobowe. Przykładowo w ramach prawa dostępu do danych osobowych przysługuje jej uprawnienie do żądania wydania kopii wszystkich jej danych osobowych. Nie tylko danych, które podała np. na formularzach przedsiębiorcy ale także te które na jej temat przedsiębiorca zebrał z innych źródeł. Żądania te przysługują wszystkim osobom fizycznym, których dane osobowe są przetwarzane. Nie tylko konsumentom w rozumieniu prawa cywilnego ale także m.in. pracownikom, byłym pracownikom czy nawet jednoosobowym przedsiębiorcom.

Do powyższego należy dodać, że administrator danych nie tylko ma obowiązek działać zgodnie z rodo ale także musi być w stanie wykazać (mieć na to dowód), że zgodnie z rodo działa. Rozporządzenie nie przesądza co może być tym dowodem. Mogą to być odpowiednie procedury ale także określone funkcjonalności narzędzi informatycznych.

Autor: dr Mirosław Gumularz, radca prawny, GKK Gumularz Kozieł Kozik Radcowie prawni

dr Mirosław Gumularz – radca prawny w GKK Gumularz Kozieł Kozik Radcowie Prawni. Studia prawnicze ukończył na Wydziale Prawa i Administracji UJ. Wykładowca na studiach podyplomowych z ochrony danych osobowych organizowanych WSB w Poznaniu. Autor licznych publikacji z zakresu ochrony danych osobowych oraz e-commerce. Jako doradca społeczny ds. ochrony danych osobowych w Ministerstwie Cyfryzacji brał udział w pracach nad wdrożeniem RODO/GDPR do polskiego porządku prawnego. W zakresie swojej praktyki zawodowej oraz naukowej specjalizuje się w szeroko pojętym prawie nowych technologii (m.in. ochrona danych osobowych oraz e-commerce). Ochroną danych osobowych zajmował się także w roli administratora bezpieczeństwa informacji w spółkach technologicznych zatrudniających powyżej 500 pracowników.

Chcesz wiedzieć więcej o RODO – zapisz się na webinarium RODO po prostu – rozszyfrowujemy trudne słowa” , które poprowadzi dr Mirosław Gumularz oraz Konrad Spryńca.

Agenda i rejestracja dostępne są na: