Wejście w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) spowodowało konieczność wprowadzenia radykalnych zmian w sposobie przetwarzania danych osobowych przez podmioty, które w związku ze swoją działalnością przetwarzają dane osób fizycznych. Całkowita kompatybilność procesu przetwarzania danych z postanowieniami rozporządzenia wymaga przeprowadzenia żmudnego procesu dotyczącego analizy gromadzonych danych, podstawy prawnej przetwarzania oraz obowiązków wynikających z unijnych przepisów. Warto jednak zastanowić się czy każdy podmiot ma obowiązek wprowadzenia w życie RODO.

RODO ma zastosowanie do przetwarzania danych osobowych stanowiących lub mających stanowić część zbioru danych. Przetwarzanie to może odbywać się w sposób zautomatyzowany całkowicie lub częściowo, a także w inny sposób odpowiadający jego celom.

Jeśli zakres zastosowania Rozporządzenia obejmuje działalność podmiotu przetwarzającego dane osobowe warto zapoznać się z podstawowymi krokami w zakresie wdrożenia przepisów RODO, celem dostosowania funkcjonowania swojej działalności do unijnych wymogów. Poniżej przedstawiamy listę kontrolną, która pozwoli na weryfikację obowiązków wynikających z nowych przepisów dotyczących ochrony danych.

 

  1. Rejestr czynności przetwarzania danych osobowych.

W pierwszej kolejności konieczna będzie weryfikacja rodzaju danych osobowych, które podlegają przetwarzaniu oraz uzyskanie szczegółowych informacji o tym skąd te dane pochodzą.

Należy wskazać, że przetwarzanie oznacza tutaj wykonywane na danych osobowych czynności w szczególności takie jak zbieranie, utrwalanie, organizowanie, przechowywanie, udostępnianie czy też usuwanie. Rodzaj danych osobowych poddawanych ww. czynnościom jest o tyle istotny, że Rozporządzenie wprowadza odrębne zasady w odniesieniu do danych biometrycznych, danych dotyczących zdrowia czy danych genetycznych aniżeli w stosunku do danych takich jak imię, nazwisko, numer identyfikacyjny czy identyfikator internetowy.

Pochodzenie danych staje się istotne w kontekście obowiązków przewidzianych w art. 13 i 14 RODO ze względu na różnice wynikające z powinności jakie rodzi uzyskiwanie danych od osoby której one dotyczą czy też w odmienny sposób.

Dane osobowe przetwarzane w związku z prowadzoną działalnością są najczęściej bezpośrednio powiązane ze stosunkami biznesowymi występującymi w ramach jednostki organizacyjnej. Celowe będzie więc uporządkowanie gromadzonych danych wraz z wskazaniem ich źródła.

 

  1. Określenie celu przetwarzania danych osobowych.

Następnie istotną kwestią jest przetwarzanie danych w sposób zgodny z zasadami przewidzianymi w treści Rozporządzenia. Dane osobowe winny być przetwarzane zgodnie z prawem, w sposób rzetelny i przejrzysty dla osoby, której dotyczą. Dodatkowo dane muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz dla tych celów adekwatne i niezbędne. Przetwarzanie danych osobowych powinno również opierać się o ich prawidłowość oraz aktualności, odpowiednie przechowywanie oraz pełne bezpieczeństwo. Zasady przetwarzania danych osobowych zostało określone w sposób ogólny – do obowiązków administratora/podmiotu przetwarzającego należy przyjęcie odpowiednich rozwiązań, które zapewnią pełną realizację zasad oraz całkowite bezpieczeństwo w zakresie obrotu danymi.

Poza zapewnieniem przestrzegania zasad, wskazanych szczegółowo w treści art. 5 RODO, należy zadbać o to aby dane osobowy były po odpowiednim czasie usunięte ze zbiorów podmiotu, który dokonuje przetwarzania. Czas przetwarzania może wynikać z odpowiednich przepisów regulujących stosunek podstawowy (np. termin przedawnienia roszczeń) lub też z treści zgody udzielonej przez osobę, której dane dotyczą. Należy pamiętać, że okres przetwarzania danych nie może być jednak dłuższy niż jest to niezbędne do celów, w których dane są przetwarzane.

Dodatkowo podmiot, który przetwarza dane osobowe ma obowiązek zapewnić tzw. rozliczalność. Oznacza to, że konieczna jest możliwość wykazania przez administratora/podmiot przetwarzający należytej realizacji obowiązków wynikających z RODO.

 

  1. Wybór podstawy prawnej przetwarzania danych osobowych.

Na gruncie zmian przewidzianych przez Rozporządzenie konieczne jest istnienie wyraźnej podstawy przetwarzania danych osobowych. W zakresie działalności prowadzonej przez prywatne podmioty gospodarcze dane „zwykłe” mogą być przetwarzane m.in. na podstawie umowy, której stroną jest osoba, której dane dotyczą, dla wypełnienia obowiązku prawnego ciążącego na administratorze czy też na podstawie zgody osoby, której dane dotyczą.

Jak wynika z art. 9 ust. 1 RODO – brak podstawy prawnej przetwarzania danych powoduje, że przetwarzanie jest niezgodne z prawem, wobec czego należy skrupulatnie zbadać katalog podstaw prawnych przewidziany w treści Rozporządzenia i zadbać o to, aby przetwarzanie w każdym przypadku miało swoje uzasadnienie.

Warto zwrócić uwagę, że w przypadku przetwarzania danych należących do kategorii szczególnych danych osobowych, zgodnie z art. 9 RODO, takie jak pochodzenie rasowe, poglądy polityczne, dane biometryczne, genetyczne czy dane dotyczące zdrowia – podstawy przetwarzania są znacznie bardziej rygorystyczne.

 

  1. Obowiązek informacyjny.

W dalszej kolejności należy zwrócić uwagę na realizację praw osoby, której dane dotyczą. Administrator danych osobowych ma obowiązek w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie udzielić osobie, której dane dotyczą wszelkich informacji związanych z procesem przetwarzania danych. Są to np. informacje dotyczące tożsamości i danych kontaktowych administratora, cel i okres przetwarzania danych, a także informacje o prawie wniesienia skargi w przypadku nieprawidłowości przetwarzania.

Co więcej RODO precyzuje również obowiązek umożliwienia dostępu do danych osobowych osobie, której dane dotyczą, a także prawo do żądania sprostowania lub usunięcia danych. Należy bezwarunkowo zadbać o prawidłową realizację tych uprawnień.

Zapewnienie właściwej konkretyzacji obowiązków wynikających z ogólnego rozporządzenia o ochronie danych pozwoli na odpowiednie i zgodne z prawem ich przetwarzanie oraz pozwoli zapobiec ewentualnym roszczeniom oraz karom przewidzianym w przypadku braku wdrożenia przepisów RODO w działalności podmiotów gospodarczych.

 

 

Karolina Butryn
Specjalista ds. prawnych
Prawnik