RODO w praktyce: Obowiązki administratora danych osobowych przed rozpoczęciem przetwarzania

Rozporządzenie ogólne o ochronie danych wprowadziło szereg innowacji nieistniejących w poprzednim porządku prawnym w zakresie ochrony danych. RODO przewiduje między innymi nowe obowiązki administratorów danych dotyczące przetwarzania danych ogólnie oraz obowiązki związane bezpośrednio z koniecznością odpowiedniego zabezpieczenia przetwarzanych danych.

Na wstępie niniejszych rozważań warto przypomnieć i doprecyzować pojęcie administratora danych osobowych.

Zgodnie z definicją zawartą w RODO administrator danych to osoba fizyczna lub prawna, a także organ publiczny lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych. Administratorem mogą być zatem zarówno podmioty publiczne, jak i podmioty prywatne, czyli przedsiębiorcy. Z kolei przedsiębiorcę RODO definiuje jako osobę fizyczną lub prawną, która prowadzi działalność gospodarczą niezależenie od formy prawnej.

W związku z powyższym administratorem danych mogą być spółki jawne, partnerskie, komandytowe i komandytowo-akcyjne oraz spółki akcyjne i z ograniczoną odpowiedzialnością, a ponadto osoby fizyczne prowadzące jednoosobową działalności gospodarczą, federacje branżowe, klastry i inne stowarzyszenia przedsiębiorców. Istotne, że w ostatnim przypadku zarówno przedsiębiorcy zrzeszeni w klastrze, federacji lub stowarzyszeniu będą administratorami danych przetwarzanych w ich przedsiębiorstwach, jak i będą nimi wskazane zrzeszenia w zakresie przetwarzanych przez nich danych osobowych – np. w razie zatrudniania pracowników czy prowadzenia akcji marketingowych.

Należy pamiętać, że w pozostałych przypadkach administratorem danych zawsze będzie określona spółka, a nie jej pracownicy czy organy.

I tak na przykład, jeżeli w firmie Taxa SA zakończono współpracę z danym wspólnikiem czy wymieniono radę nadzorczą, to nie ma to żadnego znaczenia z punktu widzenia administrowania danymi przetwarzanymi przez tę spółkę – administratorem danych jest niezależnie od wyżej wskazanych zdarzeń firma Taxa SA.

Uznanie podmiotu za administratora danych przesądza o tym, że musi on wypełniać określone w rozporządzeniu obowiązki:

  1. wykazanie zgodności przetwarzania danych z RODO, czyli realizacja zasady rozliczalności,
  2. wypełnianie obowiązków informacyjnych wobec osób, których dane przetwarza,
  3. przestrzeganie praw osób, których dane dotyczą, oraz ułatwianie realizacji tych praw,
  4. generalny obowiązek zabezpieczenia przetwarzanych danych,
  5. przetwarzanie danych zgodnie z zasadami privacy by design i privacy by default,
  6. prowadzenie rejestru czynności przetwarzania danych,
  7. współpraca z organem nadzorczym,
  8. zgłaszanie naruszeń organowi nadzorczemu,
  9. zawiadamianie podmiotów danych o naruszeniach,
  10. przeprowadzanie analizy ryzyka oraz w razie konieczności opracowanie oceny skutków dla ochrony danych.

Odpowiednie zabezpieczenie danych


art. 24 RODO

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać.

Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki (…) obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.


RODO nakłada na administratora danych generalny obowiązek zapewnienia bezpieczeństwa przetwarzanych przez niego danych osobowych przede wszystkim poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych. Przykładem zabezpieczeń może być pseudonimizacja, szyfrowanie danych, wprowadzenie procedur dotyczących np. zasad wydawania pracownikom kluczy do pomieszczeń służbowych czy polityka czystego biurka, a także opracowanie dokumentacji zawierającej mechanizmy i procedury ochrony przetwarzanych danych.

W tym miejscu warto zaznaczyć, że przygotowana na gruncie obowiązującej UODO dokumentacja ochrony danych (tj. polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym) powinna być stosowana dalej po dostosowaniu do przepisów RODO, w szczególności po uwzględnieniu rejestru czynności przetwarzania danych.

Obowiązek odpowiedniego zabezpieczenia danych omawiamy w szerszym zakresie w kolejnej lekcji, w sekcji dotyczącej bezpieczeństwa danych.

Privacy by design i Privacy by default


art. 25 RODO

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne (…) w celu skutecznej realizacji zasad ochrony danych.

2. Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.


Zasada privacy by design, czyli ochrona danych w fazie projektowania, nakłada na administratorów obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych już na wczesnym etapie projektowania operacji przetwarzania, tak aby od samego początku zapewnić ochronę prywatności i bezpieczeństwo danych.

Na przykład administrator, który planuje przeprowadzić akcję marketingową w postaci konkursu, ma obowiązek przeprowadzić ocenę dotyczącą zgodności z RODO planowanych przez niego operacji przetwarzania niezbędnych do przeprowadzenia konkursu. W związku z tym powinien określić przesłankę legalizującą przetwarzanie (np. zgoda, realizacja umowy, prawnie uzasadniony interes administratora) oraz przygotować odpowiednie klauzule informacyjne, a także zapewnić bezpieczeństwo danych i zgodność ich przetwarzania z zasadami wskazanymi w RODO (np. zasada minimalizacji danych, celowości).

Istota zasady privacy by design polega nie na reagowaniu na zaistniałe problemy, a na przewidywaniu najważniejszych z nich i przeciwdziałaniu im. Należy ponadto zaznaczyć, że omawiana zasada nie ogranicza się jedynie do etapu planowania operacji przetwarzania, a dotyczy też etapu realizacji. W związku z powyższym administrator powinien dokonywać regularnych przeglądów funkcjonowania procesu przetwarzania danych poprzez weryfikację sposobu zbierania zgód od podmiotów danych, wypełnianie obowiązków informacyjnych czy zabezpieczeń systemów informatycznych.

Rezultatem poprawnego wdrożenia zasady privacy by design powinno być doprowadzenie do sytuacji, w której domyślnie przetwarzane są wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania (zasada privacy by default, czyli domyślna ochrona danych). W celu stwierdzenia, czy dane osobowe są absolutnie konieczne dla osiągnięcia danego celu przetwarzania, należy wziąć pod uwagę ilość zbieranych danych, zakres ich przetwarzania i okres przechowywania oraz dostępność danych.

Innymi słowy, możliwie najszersza ochrona danych powinna wynikać z pierwotnych ustawień systemu informatycznego czy oprogramowania. Twórcy systemów nie powinni wprowadzać domyślnych ustawień ingerujących w prywatność podmiotów danych. Wyłącznie od użytkowników danej aplikacji powinna wynikać chęć ograniczenia własnej prywatności wyrażona poprzez świadome i aktywne działanie.

Jako przykład realizacji zasady privacy by default można wskazać domyślne wyłączenie wszelkich funkcji umożliwiających gromadzenie danych o użytkowniku przez aplikację mobilną. W sytuacji gdy użytkownik będzie zainteresowany skorzystaniem ze wskazanych funkcji, będzie musiał je włączyć – poprzez aktywne i świadome działanie.

Aleksandra Marek

Powyższe omówienie stanowi fragment jednej z lekcji e-kursu: RODO w praktyce. Tu znajduje się szczegółowy program kursu i formularz zgłoszenia. Zapraszamy! 

 

Wszystkie artykuły z tego działu »

WASZE KOMENTARZE (0)

Dodaj nowy komentarz

komentarz:
podpis:
 

Drodzy Użytkownicy podatki.biz. Choć czytamy uważnie Wasze komentarze, nie odpowiadamy na pytania w kwestiach szczegółowych. Zadając je, kierujecie je nie do nas, a do innych Użytkowników podatki.biz. Jeżeli chcecie wyjaśnić lub rozwiązać jakiś problem, zachęcamy do skorzystania z naszego forum dyskusyjnego - www.podatki.biz/forum

Zespół podatki.biz

Napisz komentarz...