Spis treści
Co to jest RODO ?
RODO / GDPR (Rozporządzenie Ogólne o Ochronie Danych Osobowych) / General Data Protection Regulation.
Jest to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016r. w sprawie ochrony osób fizycznych w związku z prztwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
W życie wchodzi 25 maja 2018 roku bez okresu przejściowego, w praktyce oznacza, że wszystkie podmioty zbierające oraz przetwarzające dane osobowe muszą być od tego dnia przygotowane i muszą działać wg nowych przepisów.
Wniosek dotyczący dyrektywy Parlamentu Europejskiego
Pseudonimizacja
Pseudonimizacja jest pojęciem z którym dość często będzie się miało kontakt w kontekście RODO.
Czym właściwie jest ta czynność? Polega ona na przetworzeniu danych osobowych w tak, aby nie można było ich już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Pseudonimizacja jest mechanizmem, który znacznie podnosi bezpieczeństwo, jednak należy mieć na uwadze, że nie jest on synonimem anonimizacji danych. Kolejną cechą jest fakt, że ta forma utrudnienia identyfikacji konkretnej osoby jest całkowicie odwracalna.
Co to jest rejestr czynności przetwarzania
Jest to dokument (także w formie elektronicznej), wprowadzony przez RODO, który ma obowiązek prowadzić każdy administrator oraz jego przedstawiciel, jeśli taki jest. Rejestr czynności przetwarzania musi zawierać:
- dane kontaktowe, nazwę administratora i współadministratorów, przedstawiciela administratora (jeśli ma to zastosowanie), a także Inspektora Ochrony Danych.
- opis kategorii danych osobowych oraz kategorii osób, których dotyczą te dane.
- cel / cele przetwarzania danych
- kategorie odbiorców, którym dane osobowe zostaną lub zostały ujawnione
- jeśli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych
- jeśli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa
Prowadzenie rejestru czynności przetwarzania jest także wymagane przez podmiot przetwarzający dane osobowe lub gdy ma to zastosowanie, przez przedstawiciela podmiotu przetwarzającego.
Administrator i podmiot przetwarzający ma obowiązek udostępnienia rejestru na żądanie organu nadzorczego.
Obowiązek prowadzenia rejestru jest dla:
- zatrudniających ponad 250 osób
- gdy przetwarzanie nie ma charakteru sporadycznego
- obejmuje szczególne kategorie danych osobowych
- gdy przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których te dane dotyczą
Privacy by Design
Sposób projektowania aplikacji / systemów, który już w tej fazie bierze pod uwagę oraz wdraża metody i środki by chronić dane osobowe oraz prywatność osób, których te dane dotyczą. Ważne jest, by ochrona tych informacji była od samego początku.
Ochrona danych jest zaimplementowana w dany system i nie ma potrzeby użycia zewnętrznych dodatków czy modułów.
Privacy by Default
Mówi, że domyślnie prywatność użytkownika jest priorytetem. Systemy i aplikacje powinny mieć tak skonfigurowane ustawienia, by udostępniać ich tylko minimalną ilość.
Rozszerzenie zakresu udostępnianych danych, powinno nastąpić po zmianach dokonanych przez samego użytkownika. Dotyczyć to będzie zarówno aplikacji końcowych (np. sieci społecznościowe), jak i pośredniczących (np. przeglądarki internetowe)
Szacowanie wpływu na prywatność (Privacy Impact Assessment – PIA)
Umowa powierzenia danych
Kary administracyjne
Inspektor danych osobowych (IOD)
Jest to kolejna nowość wprowadzana przez dyrektywę RODO / GDPR
Ocena skutków dla ochrony danych (Data Protection Impact Assessment – DPIA)
Prawo do usunięcia danych („prawo do bycia zapomnianym”)
- Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia
dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki
usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny
sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie
z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej
przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec
przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy
przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy
art. 21 ust. 2 wobec przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego
przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu
podlega administrator;
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa
informacyjnego, o których mowa w art. 8 ust. 1. - Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te
dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje
rozsądne działania, w tym środki techniczne, by poinformować administratorów
przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy
ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. - Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:
a) do korzystania z prawa do wolności wypowiedzi i informacji;
b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy
prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub
do wykonania zadania realizowanego w interesie publicznym lub w ramach
sprawowania władzy publicznej powierzonej administratorowi;
c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie
z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;
d) do celów archiwalnych w interesie publicznym, do celów badań naukowych
lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile
prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie
utrudni realizację celów takiego przetwarzania; lub
e) do ustalenia, dochodzenia lub obrony roszczeń.
Zasady przetwarzania danych osobowych
Opracowanie:
Specjalista RODO Gorzów Wlkp. / Szczecin / Zielona Góra
radca prawny Karolina Olechnowicz
tel. 691 120 267