Jak udokumentować, że realizujesz prawa osób, których dane dotyczą, zgodnie z RODO

Marcin Sarna

Autor: Marcin Sarna

Dodano: 25 grudnia 2017
Jak udokumentować, że realizujesz prawa osób, których dane dotyczą, zgodnie z RODO

Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) administrator nie tylko będzie musiał realizować wynikające z niego obowiązki, ale też wykazać, że je wypełnia. Będzie to dotyczyło także realizacji praw osób, których dane dotyczą. Sprawdź, jak będzie można udowodnić, że prawa podmiotów danych są respektowane. 

Osoba, której dane są przetwarzane przez administratora lub procesora, na mocy ogólnego rozporządzenia o ochronie danych (RODO) zyska wiele nowych praw. Artykuł 15 RODO uprawnia taką osobę (tzw. podmiot danych) m.in. do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli tak, to jest uprawniona do uzyskania dostępu do nich oraz takich informacji, jak np.:

  • cele przetwarzania,
  • kategorie przetwarzanych danych osobowych,
  • informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
  • planowany okres przechowywania danych osobowych (w miarę możliwości),
  • informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,
  • informacje o prawie wniesienia skargi do organu nadzorczego,
  • jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle,
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Nowe obowiązki administratora według RODO

Ogólne rozporządzenie o ochronie danych (RODO) czyni administratora odpowiedzialnym nie tylko za realizowanie praw osób, których dane dotyczą, ale także przewiduje, że musi on być w stanie wykazać ich przestrzeganie (zasada rozliczalności). Ponadto administrator będzie musiał wykazać, że:

  • żądanie osoby, której dane dotyczą, jest ewidentnie nieuzasadnione lub nadmierne (np. ze względu na swój ustawiczny charakter), jeżeli powołuje się na taki charakter żądania, odmawiając podjęcia działań lub wymagając opłaty,
  • wdrożył odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO – uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia,
  • uwzględniał ochronę danych w fazie projektowania oraz przestrzegał zasady domyślnego przetwarzania danych osobowych wyłącznie w niezbędnym zakresie – będzie można to wykazać m.in. poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji.

Jak wykazać, że obowiązki wynikające z RODO są realizowane

Jedną z zasad przetwarzania danych osobowych wprowadzanych przez RODO jest zasada rozliczalności. Ogólne rozporządzenie o ochronie danych daje administratorowi większą niż do tej pory swobodę w wyborze i stosowaniu konkretnych środków organizacyjnych i technicznych służących zabezpieczeniu przetwarzania danych. Z większą wolnością wiąże się jednak większa odpowiedzialność – ADO będzie musiał udowodnić skuteczność tych środków w razie kontroli Prezesa Urzędu Ochrony Danych Osobowych (następcy GIODO). Rozliczalność to więc zdolność administratora do wykazania, że realizuje wszystkie zasady przetwarzania danych osobowych:

  • zgodność z prawem, rzetelność i przejrzystość,
  • ograniczenie,
  • minimalizacja danych,
  • prawidłowość,
  • ograniczenie przechowywania,
  • integralność i poufność.

PRZYKŁAD

Przetwarzanie danych osobowych przy realizacji praw podmiotu danych

Dłużnik Jan Kowalski zażądał od firmy windykacyjnej Gawron SA wszelkich dostępnych tej firmie informacji o źródle, z jakiego pozyskała ona jego dane osobowe. Aby Gawron SA mogła takie informacje pozyskać i przekazać panu Kowalskiemu, musi dojść do przetwarzania jego danych osobowych. Firma będzie bowiem musiała ustalić, jakie dokładnie dane osobowe dłużnika przetwarza i które z nich pozyskała z jakich źródeł. Wiąże się to więc z wykonaniem czynności przetwarzania, a tym samym zgodnie z zasadą rozliczalności takie działanie powinno znaleźć swoje odzwierciedlenie w treści zarówno rejestru czynności przetwarzania, jak i rejestru wszystkich kategorii czynności przetwarzania.

Jak wykazać, że prawa osób, których dane dotyczą, są realizowane

Administrator powinien się przygotować nie tylko do możliwie szybkiego realizowania żądań podmiotów danych, ale i do dokumentowania całego procesu obsługi żądania. Oznacza to zarówno rejestrację (np. w systemie informatycznym działającym na zasadzie ticketów) samej treści żądania i jego autora, jak i każdego kolejnego działania. Dla własnego bezpieczeństwa prawnego trzeba być w stanie udowodnić, kiedy i jaka czynność została podjęta albo nie podjęta i z jakich przyczyn. To może nieść za sobą konieczność podjęcia dalszych kroków organizacyjnoprawnych, takich jak zakup systemu (być może z uwzględnieniem procedur zakupowych obowiązujących u administratora), stworzenie regulaminu korzystania z tego systemu przez pracowników i przeszkolenia pracowników.

Administrator musi zapewnić spójność działań wewnątrz organizacji. Konieczne może być opracowanie pełnej procedury usuwania danych, zakładającej współpracę osób odpowiedzialnych za np. umowy, portal internetowy, wysyłkę materiałów reklamowych czy administrowanie forum albo blogiem. Dokumentacja przestrzegania praw podmiotów danych nie będzie więc jednym dokumentem, ale poszczególnymi postanowieniami rozproszonymi w instrukcji zarządzania systemami informatycznymi, regulaminach poszczególnych systemów informatycznych czy w polityce bezpieczeństwa.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel