27.10.2021
A.J.
Zespół e-prawnik.pl
W swym założeniu RODO ma na celu wzmocnienie podstawowych praw obywateli w epoce cyfrowej oraz ułatwienie przedsiębiorstwom i organizacjom działania na wspólnym rynku (gdyż gwarantuje jednolitą ochronę danych osobowych w Unii Europejskiej). RODO ma zastosowanie od 25 maja 2018 r. Nowe unijne przepisy o ochronie danych osobowych wpływają na krajowe przepisy w tym zakresie. Z uwagi na to w Polsce przyjęto nową ustawę o ochronie danych osobowych, która ma zapewnić skuteczne stosowanie przepisów rozporządzenia.
W ramach dostosowania przepisów dowyzwań XXI wieku – nowe przepisy są neutralne technologicznie.
Podejście oparte na ryzyku
RODO nie zmienia istotnie podstaw prawnych lub zasad przetwarzania danych osobowych. Wprowadza jednak nowe przepisy, które zwiększają samodzielność, ale też odpowiedzialność administratorów danych. W praktyce oznacza to np., że obecne przepisywymagające zawiadamiania PUODO o przetwarzaniu danych osobowych (obowiązek zgłaszania zbiorów do rejestracji) przestają obowiązywać. W ich miejsce RODO wprowadza skuteczne procedury dotyczące tych operacji przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Podejście oparte na ryzyku określa sposób,w jaki należy podchodzić do przetwarzania danych – w każdej sytuacji, kiedy zbieramy i korzystamy z danych osobowych, musimy przede wszystkim analizować ryzyko, jakie to przetwarzanie może spowodować dla prywatności osób, których te dane dotyczą.
Zasada rozliczalności
Zupełnie nową zasadą wprowadzoną przez rozporządzenie jest zasada rozliczalności. Zgodnie z nią, aby spełnić wymogi rozporządzenia, każdy administrator danych ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych. Rozporządzenie nie podaje jednak konkretnych przykładów najlepszych rozwiązań. Nie określa też minimalnych standardów technicznych zabezpieczenia danych (zachęca tylko do skorzystania z narzędzi pseudonimizacji, bądź też szyfrowania danych).
Przestaje także obowiązywać rozporządzenie MSWiA określające warunki techniczne i organizacyjne, jakie muszą spełniać urządzenia i systemy informatyczne wykorzystywane do przetwarzania danych osobowych.
Od 25 maja 2018 r. każdy administrator - biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych - musi samodzielnie zdecydować, jakie zabezpieczenia, dokumentację i procedury przetwarzania danych wdrożyć. Pomocne w podjęciu tych decyzji mogą być wskazane w RODO dokumenty, takie jak zatwierdzane przez GIODO tzw. kodeksy postępowania, a także mechanizm certyfikacji, wytyczne Europejskiej Rady Ochrony Danych lub sugestie inspektora ochrony danych. Ponadto źródłem praktycznej i sprawdzonej wiedzy w zakresie budowy oraz zarządzania środkami bezpieczeństwa mogą być również np. normy ISO.
Zasada rozliczalności oznacza, iż administrator danych jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie.
Zgodnie z rozporządzeniem: „administrator jest odpowiedzialnyza przestrzeganie przepisów (…) i musi być w stanie wykazać ich przestrzeganie”. To ogólne zdanie przenosi ciężar zapewnienia zgodności przetwarzania danych z prawem na administratora. To administrator musi mieć pewność, iż przetwarzanie danych w jego przedsiębiorstwie czy organizacji jest zgodne z prawem, rzetelne i przejrzyste.
Z zasady rozliczalności wynika, że administrator ma obowiązek wykazania przestrzegania prawa (RODO). Oznacza to konieczność sporządzenia dokumentacji z wdrożenia instrumentów takich, jak: ocena skutków dla ochrony danych, wdrożenie zasady uwzględniania ochrony danych w fazie projektowania i zasady domyślnej ochrony danych oraz stosowanie zatwierdzonych kodeksów postępowania. Zasady te mają tworzyć solidne ramy ochrony praw i wolności osób, których dotyczą.
Zasada uwzględniania ochrony danych w fazie projektowania i zasada domyślnej ochrony danych
Ochrona prywatności powinna być brana pod uwagę i stosowana w praktyce przy prowadzeniu wszelkich projektów i działań, tak w sferze publicznej, jak też prywatnej. Oznacza to prawnie wiążący obowiązek uwzględnienia ochrony danych w fazie projektowania oraz zasadę domyślnej ochrony danych.
Uwzględnianie ochrony danych w fazie projektowania zakłada, że ochrona prywatności powinna być wbudowana w każdy nowy projekt. Oznacza to, że prywatność będzie chroniona nie poprzez dodatki do systemu lub nakładki przygotowane na już istniejące rozwiązania, ale jest wbudowana w jego konstrukcję od początku, jako składowa projektu.
Zasada domyślnej ochrony danych oznacza konieczność zapewnienia jak najdalej posuniętych zabezpieczeń prywatności w ustawieniach początkowych każdego systemu czy platformy internetowej. Zabezpieczenia mają być ustawione domyślnie, czyli bez konieczności jakiegokolwiek działania osób, których dane dotyczą – i to w kluczowym dla użytkownika momencie przyłączenia się do danego systemu bądź wejścia na stronę internetową.
Domyślnie powinny być przetwarzane tylko te dane, które są niezbędne do osiągnięcia celu, dla którego zostały zebrane (minimalizacja danych).
Inne zasady przetwarzania danych
Przetwarzanie danych osobowych w świetle RODO podlega również następującym zasadom:
- zgodności z prawem, rzetelności i przejrzystości - przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
- minimalizacji danych - dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
- ograniczeniu celu - dane mogą być zbierane tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz nieprzetwarzane dalej w sposób niezgodny z tymi celami;
- ograniczonego przechowywania - dane mogą być przechowywane w formie umożliwiającej identyfikację osoby, którejdotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych bądź do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami);
- integralności i poufności danych - dane osobowe muszą być przetwarzane w sposób, który zapewni odpowiednie bezpieczeństwo danych, w tym ochronę przednie dozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem;
- prawidłowości danych - dane muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe,które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub poprawione;
Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.
Podstawa prawna:
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1).
Potrzebujesz porady prawnej?
Jak powołać inspektora ochrony danych?
Kto może, a kto ma obowiązek wyznaczenia inspektora ochrony danych? Ogólne rozporządzenie o ochronie danych (RODO), które musi być stosowane od 25 maja 2018 r., w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów (...)
Obowiązki związane z naruszeniami ochrony danych osobowych
Co to jest naruszenie danych osobowych? Przez pojęcie „naruszenia ochrony danych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu (...)
Przetwarzanie danych osobowych przez sądy
Zgłaszanie naruszeń ochrony danych osobowych przez sądy UODO przygotował publikację „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”, która stanowi odpowiedź na pytanie, czy Prezes UODO jest organem właściwym do (...)
Kiedy można przetwarzać dane osobowe?
25 maja 2018 r. w państwach członkowskich UE zmieniają się wymogi dotyczące przetwarzania danych osobowych. RODO to inaczej Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawieochrony osób fizycznych w związku z przetwarzaniem danych osobowych (...)
Transfer danych UE-USA: ważny wyrok
Ważny wyrok Trybunału Sprawiedliwości Unii Europejskiej - wyrok TSUE ws. Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems Trybunał Sprawiedliwości Unii Europejskiej 16 lipca 2020 r. wydał wyrok w sprawie C-311/18 - Data Protection Commissioner przeciwko (...)
Kościoły i związki wyznaniowe muszą chronić dane osobowe
Kościoły i związki wyznaniowe nie mają pełnej autonomii przy tworzeniu swoich regulacji o ochronie danych – muszą być one dostosowane do RODO. Dlatego Prezes UODO wspiera je przy tworzeniu tych regulacji. Te związki wyznaniowe, które nie zdecydowały się na wprowadzenie (...)
Dnia 25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). O jakie unijne rozporządzenie chodzi? Pełna nazwa RODO to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (...)
Dane biometryczne mogą być wykorzystywane tylko w wyjątkowych sytuacjach
Przetwarzanie danych biometrycznych mocno ingeruje w prywatność osób, powoduje liczne zagrożenia, jak np. możliwość ujawnienia danych szczególnych kategorii czy doprowadzenie do dyskryminacji. Dlatego budowa każdego systemu przetwarzania danych biometrycznych powinna być poprzedzona (...)
Wybory do Parlamentu Europejskiego odbędą się 26 maja
Wybory do Parlamentu Europejskiego odbędą się w niedzielę 26 maja; Prezydent Andrzej Duda podpisał postanowienie w tej sprawie. Wybory do Parlamentu Europejskiego Tegoroczne wybory do europarlamentu odbędą się w różnych państwach Unii Europejskiej w dniach 23-26 maja. ##baner## Zgodnie (...)
Początek roku szkolnego to czas, gdy pojawia się konieczność dopełnienia przez szkołę wielu obowiązków, w tym tych, które dotyczą przetwarzania danych osobowych. Temat ten co roku wzbudza ciekawość i pojawia się wiele pytań z nim związanych. Poznaj odpowiedzi (...)
Jak rozumieć i stosować podejście oparte na ryzyku?
Podejście oparte na ryzyku - wymaganie RODO Zgodnie z RODO, każdy podmiot musi samodzielnie oceniać ryzyko, jakie przetwarzanie danych osobowych może spowodować dla praw i wolności osób, których te dane dotyczą. To właśnie te wartości należy przede wszystkim brać (...)
Prawa pacjenta dotyczącego dostępu do dokumentacji medycznej nie należy utożsamiać z przysługującym każdej osobie - na mocy ogólnego rozporządzenia o ochronie danych (RODO) - prawem otrzymania kopii danych osobowych. Są to dwa różne prawa i służą (...)
Zgoda dziecka na przetwarzanie danych
Dzieci, które korzystają z usług internetowych, np. portali społecznościowych, są często narażone na wykorzystanie swoich danych osobowych bez ich świadomej zgody, np. w celach marketingowych. Mogą one bowiem być mniej świadome ryzyka i konsekwencji przetwarzania ich danych osobowych. Unijne (...)
Przetwarzanie danych osobowych przez firmy windykacyjne
Do Urzędu Ochrony Danych Osobowych wpływają pytania dotyczące przetwarzania danych osobowych przez wierzycieli, firmy windykacyjne, czy komorników sądowych. Pojawia się wiele kwestii dotyczących legalności sposobu przetwarzania danych dłużników, sprzedaży wierzytelności. Przy (...)
Ochrona danych osobowych zatrudnionych na podstawie umów cywilnoprawnych i pracowników tymczasowych
25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce (...)
Ochrona danych osobowych przez komitety wyborcze
Ochrona danych osobowych przez komitety wyborcze w toku kampanii wyborczej na Prezydenta RP W czasie kampanii wyborczej na Prezydenta RP komitety wyborcze, działając na obszarze całego kraju, będą przetwarzać na dużą skalę dane osobowe, w tym dane szczególnej kategorii. Prezes (...)
Kiedy konieczne są uprzednie konsultacje z PUODO?
Kto i w jakich sytuacjach zobowiązany jest do złożenia wniosku o uprzednie konsultacje? Z przepisów RODO wynika, że z wnioskiem o uprzednie konsultacje może wystąpić administrator danych (art. 36 ust. 1 RODO). Ustawa o ochronie danych osobowych do podmiotów, (...)
O czym pamiętać, gdy administrator zawiadamia o naruszeniu ochrony danych osobowych?
Zawiadomienie osób, których dane dotyczą o naruszeniu ochrony danych osobowych, musi odnosić się do konkretnej sytuacji i być zgodne z zasadą przejrzystości. Zgłoszenia do Urzędu Ochrony Danych Osobowych Analiza wpływających do Urzędu Ochrony Danych Osobowych (...)
Dostęp rodziców do danych z nagrań monitoringu w żłobku
Pozyskanie przez rodzica danych osobowych zawartych w nagraniach z monitoringu w żłobku jest możliwe, o ile spełniona jest co najmniej jedna z określonych w RODO przesłanek legalizujących przetwarzanie danych osobowych, a ich udostępnienie odbywa się z poszanowaniem (...)
Prawo do przenoszalności danych według RODO
Zupełnie nowym prawem każdego z nas, które gwarantuje nam unijne rozporządzenie (RODO), będzie prawo do przenoszenia danych. Dzięki niemu w określonych sytuacjach będziemy mieli możliwość otrzymywania od administratora dotyczących nas danych, które sami mu dostarczyliśmy, (...)
Obowiązek zgłaszania naruszeń przepisów RODO
RODO nakłada na podmioty przetwarzające dane osobowe prawny obowiązek informowania o incydentach bezpieczeństwadotyczących danych osobowych. Zgłaszanie naruszeń ochrony danych to nowy obowiązek, jaki przepisy ogólnego rozporządzenia o ochronie danych nakładają na administratorów (...)
