Świadczenie usług online wiąże się z przetwarzaniem danych osobowych. Ci za tym idzie, administrator świadczący takie usługi musi spełnić wszystkie obowiązki wynikające z RODO. Jednym z nim jest legitymowanie się określoną podstawą przetwarzania danych. Którą podstawę przetwarzania wybrać? W wyjaśnieniu pomoże stanowisko Europejskiej Rady Ochrony Danych.

Wiemy już, że w wyniku orzeczenia Trybunału Sprawiedliwości UE nie można już powoływać się na Tarczę Prywatności w związku z transferem danych osobowych do USA. Taki transfer miał najczęściej miejsce w związku z korzystaniem z aplikacji chmurowych i pocztowych dostawców ze Stanów Zjednoczonych. Pozostaje więc zmiana regionu przechowywania danych osobowych na europejskich (nie każda aplikacja zapewnia taką możliwość). A co ze standardowymi klauzulami umownymi? W jakich sytuacjach można z ich skorzystać? W artykule rozwiewamy te wątpliwości.

Jednym z obowiązków administratora określonych w RODO jest, zgodnie z brzmieniem art. 25 RODO, uwzględnienie ochrony danych w fazie projektowania (privacy by design) oraz domyślna ochrona danych (privacy by default). Sprawdzamy, jak wykonać te czynności z wykorzystaniem metodyki PMIBoK®.

W przepisach RODO co rusz spotykamy się ze sformułowaniami „operacje przetwarzania”, „czynności przetwarzania”, „kategorie czynności przetwarzania” czy „ rodzaj przetwarzania”. Choć brzmią one podobnie, to nietrudno się domyślić, że nie oznaczają tego samego. A różnice pomiędzy nimi mają znaczenie w praktyce.

Kluczem dla zrozumienia przepisów i celów rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), jest tzw. podejście oparte na ryzyku. Wyraża się ono w nałożonym na administratora obowiązku przeprowadzania analizy ryzyka związanego z przetwarzaniem danych, jakie jest realizowane w organizacji.

Trybunał Sprawiedliwości zanegował właśnie Tarczę Prywatności jako narzędzie do przekazywania danych osobowych do Stanów Zjednoczonych. Czy w ogóle możliwe jest teraz bezproblemowe korzystanie przez administratorów z takich aplikacji jak Zoom czy Teams?

Jak wskazała Andrea Jelinek, przewodnicząca Europejskiej Rady Ochrony Danych w związku z walką z COVID-19 powiedziała: „Przepisy w zakresie ochrony danych (takie jak RODO) nie utrudniają działań podejmowanych w walce z pandemią koronawirusa. Chciałabym jednak podkreślić, że nawet w tych wyjątkowych czasach administrator musi zapewnić ochronę danych osobowych osób, których one dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników, aby zagwarantować zgodne z prawem przetwarzanie danych osobowych”. Powyższa teza dotyczy także udostępniania dokumentacji medycznej. Sprawdź, jak wykonywać ten obowiązek w trakcie pandemii.

Jednym z elementów decyzji dotyczącej naruszenia ochrony danych może być wymierzenie administracyjnej kary pieniężnej. Jej wymiar zależy od rodzaju naruszenia, ale też m.in. od stopnia zawinienia administratora (podmiotu przetwarzającego). Warto również wiedzieć, że nawet w przypadku uprawomocnienia się decyzji zawierającej karę pieniężną istnieje możliwość zmniejszenia dolegliwości związanych z jej spłatą

Organ, który prowadzi postępowanie administracyjne, nie jest zwolniony z przestrzegania RODO.  Wręcz przeciwnie, jako administrator danych osobowych musi spełnić wszystkie wymogi, takie jak wybór właściwej podstawy przetwarzania danych, spełnienie obowiązku informacyjnego względem podmiotów danych, należyte zabezpieczenie danych przetwarzanych w ramach procedury administracyjnej, jak również realizowanie praw osób, których dane dotyczą.

Obowiązkiem każdego administratora, w tym takiego, który przetwarza dane dzieci sporadycznie, jest wzięcie pod szczególną uwagę praw dzieci w związku z ich przetwarzaniem danych osobowych. Dotyczy to zwłaszcza komunikacji z dziećmi jako podmiotami danych. Sprawdź, jak prawidłowo wykonać obowiązki ADO wobec dzieci.