Jakie zmiany wprowadzić w dokumentacji w związku z rozporządzeniem ogólnym

Marcin Sarna

Autor: Marcin Sarna

Dodano: 20 marca 2017
Jakie zmiany wprowadzić w dokumentacji w związku z rozporządzeniem ogólnym

Nowe zasady ochrony danych osobowych, które wprowadzi ogólne rozporządzenie o ochronie danych osobowych, będą wymagały od administratorów danych wielu zmian. Będą one dotyczyły m.in. dokumentacji ochrony danych osobowych. Dowiedz się, jakie zmiany musisz wprowadzić w swoich wewnętrznych dokumentach w związku z rodo.

Unijne rozporządzenie ogólne o ochronie danych osobowych, a tak właściwie rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE będzie bezpośrednio stosowane w państwach członkowskich od 25 maja 2018 r.

Administrator danych nie może czekać na rozpoczęcie obowiązywania ogólnego rozporządzenia z założonymi rękami. Już teraz należy zastanowić się:

  • co trzeba zmienić w swoim podmiocie związku z rodo;
  • jak dokonać zmiany (samodzielnie czy z pomocą innych podmiotów);
  • kiedy przeprowadzić zmiany (harmonogram działań);
  • czy i w jaki sposób wpłynie to na procesy biznesowe (np. czy konieczne jest jakieś współdziałanie z klientami).

W dokumentacji ochrony danych osobowych będzie trzeba wprowadzić zmiany w związku z tym, że rozporządzenie reguluje (inaczej niż do tej pory lub całkowicie na nowo) m.in.:

  • ochronę danych osobowych w grupie kapitałowej;
  • warunki wyrażenia zgody na przetwarzanie danych prywatnych;
  • prawo do przenoszenia danych do innego usługodawcy;
  • zgłaszanie naruszenia ochrony danych osobowych i prawo osoby, której dane dotyczą, do informacji o naruszeniu ochrony danych.

Co trzeba zmienić w dokumentacji w grupach kapitałowych

Regulacje europejskie pozwolą na łatwiejsze zorganizowanie procesów przetwarzania danych osobowych w grupach kapitałowych. Jeżeli w takiej grupie przetwarza się dane osobowe, to ma ona prawo wyznaczyć jednego inspektora ochrony danych dla wszystkich przedsiębiorstw. W ramach grupy będą wówczas również obowiązywać jednolite, wiążące reguły korporacyjne. W przypadku międzynarodowej grupy kapitałowej istnieje też możliwość, wybrania przez nią jednego państwowego organu ochrony danych osobowych dla wszystkich przedsiębiorstw grupy. Jest to tzw. one-stop-shop.

Ważne:

Jeżeli administrator danych w grupie kapitałowej zechce skorzystać z możliwości, jakie daje mu ogólne rozporządzenie, to w zakresie swojej dokumentacji powinien:

  • wystąpić z wnioskiem o wybranie jednego państwowego organu ochrony danych osobowych, np. polskiego GIODO;
  • wybrać inspektora ochrony danych dla wszystkich swoich spółek;
  • ustanowić reguły korporacyjne dotyczące przetwarzania danych – wspólne dla wszystkich swoich spółek.

Inspektor ochrony danych to w zasadzie odpowiednik dzisiejszego administratora bezpieczeństwa informacji. Rozporządzenie ogólne da możliwość powołania jednego wspólnego inspektora ochrony danych nie tylko dla grupy kapitałowej, ale także dla:

  • grupy przedsiębiorstw nienależących do tej samej grupy kapitałowej – jeśli można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej;
  • kilku organów lub podmiotów publicznych – z uwzględnieniem ich struktury organizacyjnej i wielkości;
  • zrzeszeń lub innych podmiotów reprezentujących określone kategorie administratorów.

W razie powołania wspólnego inspektora ochrony danych, w dokumentacji ochrony danych osobowych powinny się znaleźć dokumenty potwierdzające wspólny wybór (np. uchwały zarządów poszczególnych spółek). Będzie trzeba w nich określić także, na jakich zasadach inspektor świadczy swoje usługi dla poszczególnych ADO (np. na podstawie umowy o pracę lub umowy zlecenia).

Uwaga

Zadania inspektora należy określić w wiążących regułach korporacyjnych, jeżeli w danej organizacji zostaną one przyjęte.

Zgodnie z ogólnym rozporządzeniem inspektor ochrony danych powinien zostać wyznaczony nie tylko u administratora danych osobowych, ale także w tzw. podmiocie przetwarzającym. Jest to w zasadzie obecny procesor z art. 31 ustawy o ochronie danych osobowych, a więc podmiot, któremu administrator danych osobowych powierzył ich przetwarzanie.

Już obecnie, zwłaszcza w wieloletnich umowach o współpracę, w których kwestia danych osobowych jest poruszana (np. jedna ze stron powierza drugiej stronie przetwarzanie danych osobowych) warto obok administratora bezpieczeństwa informacji dopisywać np. taki zwrot: „lub inspektora ochrony danych”.

Jeżeli w regulacjach wewnętrznych spółki zamieszczane są odniesienia do administratora bezpieczeństwa informacji, to warto rozważyć zdefiniowanie go jako także „inspektora ochrony danych” lub „wspólnego inspektora ochrony danych” – przez objęcie wszystkich tych „strażników danych” jedną definicją. Pozwoli to na prawidłowe przygotowanie terminologiczne aktów wewnętrznych.

Należy prowadzić rejestr czynności przetwarzania – co to znaczy

Rozporządzenie ogólne wprowadza termin „rejestrowanie czynności przetwarzania”, który oznacza w przybliżeniu to, co dotychczasowy zwrot z polskiej ustawy o ochronie danych osobowych „dokumentacja opisująca sposób przetwarzania danych”.

Zasadniczo każdy administrator będzie musiał prowadzić taki rejestr czynności przetwarzania danych osobowych, zawierający dane administratora, cele przetwarzania, kategorie odbiorców oraz opis technicznych i organizacyjnych środków bezpieczeństwa. Obowiązek ten nie będzie jednak dotyczył przedsiębiorców lub podmiotów zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
  • nie ma charakteru sporadycznego lub
  • obejmuje dane wrażliwe lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Czy będzie trzeba zgłaszać naruszenia ochrony danych

Nowym obowiązkiem administratora danych, który wynika z rozporządzenia ogólnego, będzie konieczność zgłaszania do organu nadzorczego wszelkich przypadków naruszenia ochrony danych osobowych. Należy je zgłosić w miarę możliwości bez zbędnej zwłoki, jednak nie później niż w terminie 72 godzin od stwierdzenia naruszenia.

Jeżeli administrator zgłosi incydent po upływie tych 72 godzin, będzie musiał wyjaśnić przyczyny opóźnienia. W związku z tym nowym obowiązkiem będzie trzeba opracować procedurę postępowania w przypadku naruszenia ochrony danych osobowych, jeżeli do tej pory takiej procedury nie było. Jeżeli taka procedura istnieje, trzeba będzie ją rozszerzyć, wskazując, kto i w jaki sposób ma zawiadomić organ nadzorczy.

Uwaga

Jeżeli ryzyko naruszenia praw lub wolności osób fizycznych w wyniku naruszenia jest wysokie, to administrator powinien powiadomić o naruszeniu także osobę, której dane dotyczą. Obowiązek zawiadomienia nie powstaje, jeżeli to ryzyko jest mało prawdopodobne.

Przed rozpoczęciem przetwarzania trzeba będzie ocenić jego skutki

Rozporządzenie ogólne w art. 35 przewiduje, że administrator ma obowiązek przeprowadzić tzw. ocenę skutków planowanej operacji przetwarzania dla ochrony danych osobowych, jeżeli wprowadza nowy rodzaj przetwarzania danych osobowych. Rozporządzenie precyzuje też, na czym ma polegać ta ocena:

  • opis planowanych operacji przetwarzania,
  • cele przetwarzania,
  • ocena proporcjonalności operacji przetwarzania,
  • ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • środki planowane w celu zaradzenia ryzyku.
Uwaga

Jeżeli ocena skutków planowanej operacji przetwarzania dla ochrony danych osobowych wykaże, że przetwarzanie może spowodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, będzie trzeba skontaktować się w tej sprawie z organem nadzorczym.

Z tych powodów dokumentacja ochrony danych osobowych będzie bogaciła się o oceny przeprowadzane w poszczególnych przypadkach wprowadzania nowych rodzajów przetwarzania danych osobowych. W dokumentacji należy także uregulować, jacy pracownicy (w zależności od struktury organizacyjnej) mają obowiązek stwierdzić, że należy przeprowadzić taką ocenę, dokonać jej i ewentualnie skontaktować się z GIODO.

Jak przygotować się do obowiązku usuwania danych

Rozporządzenie ogólne ma na celu umożliwić każdemu użytkownikowi Internetu kompleksowe usunięcie informacji zgromadzonych na jego temat przez danego administratora danych. Po 25 maja 2018 r. administrator może więc otrzymać nie tylko cofnięcie zgody na przetwarzanie danych osobowych, ale także żądanie usunięcia wszelkich informacji udostępnionych przez użytkownika (zdjęć, wpisów, danych adresowych).

Oznacza to, że powinien się przygotować do możliwie szybkiego zrealizowania takiego żądania zarówno na płaszczyźnie technicznej, jak i prawnej. Konieczne będzie opracowanie pełnej procedury usuwania danych, zakładającą współpracę osób odpowiedzialnych za umowy, portal internetowy, wysyłkę materiałów reklamowych czy administrowanie forum albo blogiem.

Co zmieni się w pozyskiwaniu zgód

Zgodnie z nowymi regulacjami zgoda ma być udzielona w formie oświadczenia lub wyraźnego działania, stanowiących przejaw dobrowolnego, konkretnego, świadomego i jednoznacznego przejawu woli, potwierdzającego przyzwolenie na przetwarzanie przez podmiot danych osobowych. Administrator powinien sprawdzić, czy istnieją u niego regulacje, które nie zawężają możliwości wyrażenia zgody niezgodnie z tą definicją.

Ważne:

Przetwarzanie danych osobowych dziecka do lat szesnastu oznaczać będzie obowiązek uzyskania zgody jego opiekuna prawnego (w przypadku usług społeczeństwa informacyjnego) – polski ustawodawca może obniżyć tę granicę wiekową do 13 lat. Wyraźnej, osobnej zgody wymagać będzie także zautomatyzowane przetwarzanie danych osobowych w celu oceny niektórych czynników osobowych osoby fizycznej, czyli tzw. profilowanie.

Jeżeli dane osobowe danej osoby są zbierane właśnie od niej, to podczas pozyskiwania danych będzie trzeba podać tej osobie m.in. dane kontaktowe inspektora ochrony danych. Dane te powinny także znajdować się w rejestrze czynności przetwarzania danych osobowych, za który odpowiada administrator, jak również w rejestrze wszystkich kategorii czynności przetwarzania.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel