Oferteo

Aplikacja Oferteo
Znajdź Wykonawcę!

Uścisk dłoni wykonawcy z zleceniodawcą, zwiastujący udaną współpracę.

Ogólne Rozporządzenie o Ochronie Danych (RODO) - komentarz praktyczny

Ogólne Rozporządzenie o Ochronie Danych (RODO) - komentarz praktyczny

Z uwagi na docierające do mnie od Państwa, jako moich klientów, zapytania oraz sygnały związane ze zbliżającym się wejściem w życie Ogólnego rozporządzenia o ochronie danych, postanowiłem przygotować dla Państwa zwięzły komentarz, który pomoże się Państwu odnaleźć w regulacji RODO oraz wprowadzić potrzebne zmiany w działalności Państwa przedsiębiorstwa (jednostki organizacyjnej). Staram się w nim uciec od teoretyzowania, przywołania koncepcji czy ogólników, jakich jest pełno w ogólnie dostępnych publikacjach, webinariach czy też podobnych materiałach. Na pewno nie jest to jednak możliwe w pełnym zakresie – RODO w sferach istotnych z praktycznego punktu widzenia posługuje się przede wszystkim ogólnikami właśnie, pojęciami niedookreślonymi lub klauzulami generalnymi, które będą dopiero precyzowane w czasie jego obowiązywania.

author box img

Tomasz Ciesielski
Zaktualizowano: 29 sierpnia 2018 29.08.2018 Czas lektury: 19min

Z poradnika dowiesz się

Ponad 4890 Adwokatów blisko Ciebie

Prawdą jest jednak, co często się podkreśla w różnych publikacjach, że RODO wprowadza nowy sposób pojmowania ochrony danych osobowych. O ile bowiem z wagi ochrony tych danych zdawał sobie sprawę chyba każdy na gruncie dotychczasowej regulacji, o tyle celem RODO jest wprowadzenie rzeczywistej ochrony tych danych oraz egzekwowania realizacji określonych w nim obowiązków administratora danych osobowych oraz uprawnień osób, których dane dotyczą.

Przed przejściem do dalszych rozważań, muszę podkreślić, że wdrożenie i stosowanie RODO jest stałym procesem, funkcjonującym w pewnym cyklu. Wszystkie komentarze, manuale i procedury muszą być stale aktualizowane. Oznacza to, że niniejszy podręcznik oraz załączone do niego wzory dokumentów nie mają charakteru ostatecznego i będą musiały ulegać zmianom. Pierwszym momentem, w którym na pewno taka aktualizacja okaże się konieczna, będzie publikacja nowej ustawy o ochronie danych osobowych oraz rozporządzeń wykonawczych – wówczas trzeba będzie powrócić do tematu i niestety ponownie przeprowadzić „kroki”, które przedstawię poniżej.

RODO – wiadomości ogólne

Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które wejdzie w życie 25 maja 2018 r. i będzie w całości bezpośrednio stosowane na terenie państw członkowskich Unii Europejskiej, bez potrzeby implementacji do prawa krajowego. Innymi słowy, nawet jeśli do tego czasu nie zostanie uchwalona i nie wejdzie w życie nowa ustawa o ochronie danych osobowych – i tak trzeba będzie stosować RODO.

Kto jest objęty obowiązkiem stosowania RODO?

Każdy, kto przetwarza dane w związku z prowadzoną działalnością, inną niż o charakterze prywatnym, zarówno gdy przetwarzanie odbywa się na terytorium UE, jak i wówczas, gdy działalność prowadzona jest na tym terytorium, jednakże przetwarzanie odbywa się poza granicami UE. Nie wnikając w szczegóły, jeżeli otrzymali Państwo ten manual, to podlegacie na pewno RODO.

Jakie dane osobowe są chronione na gruncie RODO?

RODO pojęcie danych osobowych odnosi do tych informacji, które dotyczą zidentyfikowanej osoby fizycznej lub osoby fizycznej możliwej do zidentyfikowania. Z definicji tej wyprowadzić można kilka wniosków:

RODO nie dotyczy osób prawnych (np. sp. z o.o.; fundacji itp.) lub tzw. ułomnych osób prawnych (sp.j.; sp.k.), ale będzie dotyczyć już reprezentantów (członków organów lub wspólników) lub pracowników takich podmiotów. Na przykład mail otrzymany od pani „Kasi Kowalskiej” (dane przypadkowe), pracownika kontrahenta, powinien być chroniony na zasadach określonych w RODO, ponieważ zawiera już dane osobowe w postaci informacji, że pani Kasia jest pracownikiem (czyli informacja, że jest osobą pracującą, np. na etacie), zatrudnionym na jakimś stanowisku, u określonego pracodawcy.

Informacja dotycząca zidentyfikowanej osoby, to np. imię, nazwisko i adres – podchodząc fundamentalnie do zagadnienia, to nawet zaadresowana koperta przed jej wysyłką stanowi przedmiot podlegający określonym w RODO wymaganiom co do ochrony.

Informacje, które dotyczą możliwej do zidentyfikowania osoby, to informacje, które można określić jako „pośrednie”. Choć same w sobie nie wskazują, kogo dotyczą, to przy użyciu szerszego zasobu informacji można taką osobę zidentyfikować. Taką informacją jest, na przykład, numer PESEL – osoba posiadająca dostęp do bazy PESEL ma możliwość ustalenia personaliów jego posiadacza.

Informacje pośrednie tracą charakter danych osobowych, jeżeli zidentyfikowanie na ich podstawie osoby fizycznej wymaga tak skomplikowanych zabiegów lub zaangażowania tak poważnych zasobów, że rozsądnie oceniając, nikt spoza organizacji nie podejmowałby nawet takiej próby.

Pozostałe istotne definicje (skrótowo):

  • Przetwarzanie danych osobowych – obejmuje wszystkie czynności związane z danymi osobowymi, nawet jeśli nie polegają na działaniu i nie odnoszą skutku poza firmą, np. również przechowywanie lub niszczenie.
  • Administrator – jest oznaczeniem Państwa jako podmiotu dysponującego danymi osobowymi.
  • Podmiot przetwarzający – oznacza podmiot, któremu powierzają Państwo przetwarzanie danych osobowych, np. biuro rachunkowe albo mnie jako osobę, która zapewnia obsługę prawną.
  • Odbiorca – osoba, której Państwo przekazują dane osobowe, z wyjątkiem organów administracji publicznej, którym przekazanie odbywa się w wykonaniu obowiązku wynikającego z przepisów prawa.

Istotne definicje odnajdą Państwo także we wzorze „Polityka bezpieczeństwa – ochrony danych osobowych”, przesłanym Państwu wraz z niniejszym komentarzem.

Jakie dyrektywy postępowania z danymi osobowymi przewiduje RODO?

RODO posługuje się kilkoma zasadami odzwierciedlającymi „ducha” tej regulacji. Jest to przede wszystkim:

  • Zasada przejrzystości – osoba, której dotyczą dane osobowe, ma posiadać pełną wiedzę, w jakim zakresie i w jakim celu będą przetwarzane jej dane, a ponadto informacje w tym zakresie mają być jej przedstawione w sposób dostępny i łatwy do zrozumienia.
  • Zasada, że przetwarzanie danych osobowych musi mieć podstawę – będzie nią zawsze albo przepis prawa (np. przetwarzanie danych przeciwnika procesowego na potrzeby windykacji od niego należności), albo zgoda osoby, której dotyczą. Zgoda taka musi być jednak wyrażone w sposób dobrowolny oraz wyraźny.
  • Zasada ograniczenia zakresu danych osobowych i okresu ich przechowywania do minimum – oznacza ona, że pobierać można tylko niezbędne dane, a niezwłocznie po tym, jak staną się zbędne, trzeba je usunąć lub zniszczyć (w sposób zgodny z prawem, a w szczególności z RODO, ale również za zgodą osoby, której dotyczą). Poprzez zbędność należy rozumieć również upływ wymaganego przepisami prawa terminu przechowywania dokumentów (np. ewidencji czasu pracy kierowców).
  • Zasada uwzględniania ochrony danych osobowych w fazie projektowania – ma ona taki walor praktyczny, że nakazuje, aby przy każdym przedsięwzięciu traktować ochronę danych osobowych jako jego element składowy, zamiast następczego regulowania tych kwestii, już po rozpoczęciu działalności. Brzmi to trywialnie, ale ma znaczenie praktyczne, np. jeżeli planuje się otworzenie nowej placówki firmy, już na etapie jej organizacji trzeba się zastanowić, jak będzie wyglądał obieg dokumentacji zawierającej dane osobowe, np. list obecności.
  • Zasada stosowania środków zapewniających odpowiednie bezpieczeństwo danych osobowych – oznacza, że należy stosować takie środki techniczne, organizacyjne lub prawne, które są rozsądne, biorąc pod uwagę charakterystykę przetwarzania danych osobowych w ramach danej organizacji, ale przede wszystkim zapewniają możliwie najlepszą ich ochronę.
  • Zasada rozliczalności – którą ujmowałbym w dwóch aspektach: w możliwości przypisania konkretnemu podmiotowi danej czynności przetwarzania danych osobowych, jak również w posiadaniu przez administratora możliwości wykazania w razie kontroli lub naruszenia, że podjął właściwe kroki i skorzystał ze słusznych środków w celu zabezpieczenia danych osobowych.

Praktyka w ramach organizacji

Właściwe kroki

Pomijając szeroki opis założeń RODO i celów tej regulacji, trzeba dojść do najważniejszej konkluzji, tj. odpowiedzi na pytanie: „co powinienem zrobić, aby wdrożyć RODO w mojej firmie i aby później nikt nie mógł postawić mi jakichkolwiek zarzutów w tej kwestii?”. Na wstępie zmuszony jestem uprzedzić, że nie ma katalogu „właściwych kroków”, uniwersalnych dla każdej organizacji. Poszukując jednak jakiegokolwiek wspólnego mianownika, odniósłbym się do „cyklu życia” danych osobowych w ramach prowadzonej firmy, na który składa się: przyjęcie danych osobowych – ich wykorzystanie – pozbycie się ich jako zbędnych. Jeżeli natomiast chcę przyjąć takie dane, to muszę również z góry się do tego przygotować, choćby poprzez zinwentaryzowanie posiadanych zasobów i środków oraz ustalenie stosownych procedur postępowania. Z tego względu, moim zdaniem, wdrożenie RODO w organizacji polegać powinno na podjęciu następujących działań:

  • Na dokładnym zapoznaniu się we własnym zakresie z RODO – bez znajomości regulacji nie jest możliwe jej stosowanie.
  • Na przeprowadzeniu inwentaryzacji, jakie dane osobowe są pozyskiwane i przetwarzane w ramach prowadzonej działalności.
  • Na ustaleniu, jakie środki techniczne i informatyczne są wykorzystywane w ramach przedsiębiorstwa.
  • Na oszacowaniu zagrożeń i ryzyka powstania naruszeń.
  • Na opracowaniu i wprowadzeniu polityki bezpieczeństwa danych osobowych w ramach funkcjonującej firmy wraz z procedurą postępowania z danymi osobowymi. Procedura taka powinna obejmować również wzory ewidencji lub dokumentów, które będą wykorzystywane w ramach działalności.
  • Na dostosowaniu istniejącej działalności do wymogów RODO – wskazówki odnajdą Państwo w załączonym formularzu inwentaryzacji danych osobowych, środków technicznych i informatycznych, a także oszacowania zagrożeń i ryzyka powstania naruszeń.
  • Inwentaryzacja zasobów, środków oraz posiadanych danych osobowych oraz ocena ryzyka powstania naruszeń.

RODO nie wymaga stworzenia formalnego dokumentu zawierającego informacje o zakresie przetwarzanych informacji, dotychczasowym sposobie wykonywania operacji na tych danych, czy też ich przechowywania, niemniej taki dokument na pewno będzie potrzebny dla zebrania informacji istotnych dla Państwa samych w procesie wdrożenia tej regulacji, jak również dla wykazania zachowania należytej staranności przed organami nadzoru.

Inne niż prawnicze środki ochrony danych osobowych

Samo uzupełnienie dołączonych do niniejszego przewodnika wzorów dokumentów raczej nigdy nie będzie wystarczające dla wdrożenia RODO w Państwa firmie. Dokumentacja jest niewątpliwie istotna dla wykazania spełniania sporej części wprost wyartykułowanych w rozporządzeniu obowiązków – w szczególności co do zachowania uprawnień osób, których dane dotyczą, sama w sobie nie zabezpieczy Państwa jednak przed powstaniem naruszenia ochrony danych osobowych, polegającego np. na uzyskaniu dostępu do danych osobowych przez osobę nieuprawnioną.

Właściwe, inne niż prawnicze, środki ochrony danych osobowych pozostają zawsze związane ze sposobem przechowywania danych osobowych lub nośników zawierających takie dane, np.:

  • Jeżeli dane są przechowywane na papierowych nośnikach, to warto zadbać o to, aby znajdowały się w wydzielonym miejscu, do którego dostęp ma ograniczony i łatwy do zewidencjonowania i zidentyfikowania krąg osób. Ważne również, aby w odpowiedni sposób usuwać takie nośniki, tj. nie wyrzucać ich choćby do pojemników na odpady komunalne, a posługiwać się niszczarką (przy czym przekazanie osobie trzeciej takich nośników do zniszczenia oznacza już ich przekazanie podmiotowi przetwarzającemu, co z kolei wymaga zawarcia umowy uwzględniającej objęcie tego podmiotu obowiązkami z zakresu ochrony danych osobowych).
  • Jeżeli dane są przechowywane na nośnikach cyfrowych, np. na dysku komputera albo dyskach przenośnych, to właściwe ich zabezpieczenie oznacza nie tylko np. zablokowanie dostępu do systemu, aplikacji lub pliku przy użyciu hasła, ale również zainstalowanie na używanych komputerach oprogramowania tzw. antywirusowego, stale aktualizowanego i zabezpieczającego przed nieuprawnionym dostępem do przechowywanych danych.

Ustalenie powyższych środków pozostaje natomiast konieczne dla właściwego przygotowania dokumentu Polityki ochrony danych.

Polityka ochrony danych

Wedle art. 24 ust. 1 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o rożnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Ust. 2 tego artykułu precyzuje jednak, że jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Granica pomiędzy brakiem i obowiązkiem wdrożenia polityki ochrony danych jest niewyraźna, dlatego przekazują Państwu wzór takiej polityki wraz ze wzorami załączników. Co istotne, jeżeli we wzorach załączników wstawione są jakiekolwiek dane w kursywie – oznacza to przykład brzmienia informacji zawieranych w tych wzorach. Opis, czego dotyczą poszczególne załączniki odnajdą Państwo w treści polityki bezpieczeństwa – ochrony danych osobowych.

Uprawnienia osoby, której dotyczą dane osobowe

RODO przewiduje po stronie osoby, której dane dotyczą, szereg uprawnień, których możliwość realizacji trzeba jej zapewnić – o ile przepisy RODO nie przewidują ograniczeń. Będą to:

  • Uprawnienie do uzyskania w przejrzystej, zrozumiałej i łatwo dostępnej formie oraz w jasnym i prostym języku informacji związanych z przetwarzaniem danych osobowych (art. 12-14 RODO).
  • Prawo do uzyskania potwierdzenia, czy przetwarzane są jej dane osobowe, uzyskania do nich dostępu oraz dodatkowych informacji lub kopii danych – zgodnie z art. 15 RODO, jeżeli ktoś podejrzewa, że posiadają Państwo jego dane osobowe, może zwrócić się do Państwa z zapytaniem w tej kwestii. Jeżeli zostanie potwierdzone, że takie dane faktycznie są przez Państwa przetwarzane, to wówczas osoba ta może dokonać wglądu w te dane, a ponadto żądać od Państwa informacji, np. w jakim celu przetwarzają Państwo jej dane, w jaki sposób zostały uzyskane, komu są przekazywane i jak długo będą przechowywane. Ponadto, osoba ta może również zażądać kopii danych osobowych, które znajdują się w Państwa posiadaniu, przy czym pierwsza kopia jest bezpłatna.
  • Prawo do sprostowania lub uzupełnienia danych (art. 16 RODO).

Prawo do usunięcia danych (prawo do bycia „zapomnianym” – art. 17 RODO) – uprawnienie to nie ma jednak charakteru absolutnego i przysługuje wówczas, gdy:

  • dane nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,
  • osoba, której dane dotyczą cofnęła zgodę na przetwarzanie, a brak jest innej podstawy ich przetwarzania,
  • osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania i brak jest określonych RODO podstaw dalszego przetwarzania,
  • dane osobowe były przetwarzane niezgodnie z prawem,
  • dane osobowe muszą być usunięte w celu wywiązywania się z obowiązku prawnego, któremu podlega administrator,
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o którym mowa w art. 8 RODO.

Ponadto, uprawnienie to nie przysługuje wówczas, gdy przetwarzanie jest niezbędne dla realizacji obowiązków wynikających z przepisów prawa, czy też dla ustalenia, dochodzenia lub obrony roszczeń. Dla przykładu: pracownik nie może żądać usunięcia jego danych osobowych zawartych w aktach osobowych, ponieważ obowiązek prowadzenia i przechowywania takich akt spoczywa na pracodawcy – administratorze z mocy prawa. Podobnie klient, na rzecz którego została wykonana usługa, nie może żądać zaprzestania przechowywania dokumentów potwierdzających bezusterkowe wykonanie usługi, które są potrzebne dla dochodzenia lub obrony przed roszczeniami.

Prawo do ograniczenia przetwarzania (art. 18 RODO) – stanowi niejako środek zabezpieczający, wiążąc się z czynnościami zmierzającymi do weryfikacji prawidłowości przetwarzania danych osobowych lub ich usunięcia. Ograniczenie przetwarzania oznacza w istocie, że każda inna niż przechowywanie czynność przetwarzania danych osobowych wymaga dodatkowej zgody osoby, której te dane dotyczą – z wyjątkiem ich wykorzystania do ustalenia, dochodzenia lub obrony roszczeń.

Prawo do przenoszenia danych (art. 20 RODO) – jeżeli przetwarzają Państwo dane osobowe na podstawie zgody osoby, której dotyczą lub też w sposób zautomatyzowany, osobie tej przysługuje uprawnienie do żądania, aby wydali Państwo jej te dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się odczytu maszynowego (np. w pliku bazy SQL albo Excel) lub też od razu taki plik z danymi przesłali innemu administratorowi.

Prawo do sprzeciwu (art. 21 RODO) – osoba, której dane dotyczą, z przyczyn związanych z jej szczególną sytuacją, może w dowolnej chwili wnieść sprzeciw wobec przetwarzania jej danych, opartego na przesłankach z art. 6 ust. 1 lit. e) i f), tj. wówczas gdy:

  • przetwarzanie jest niezbędne dla wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez osobę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.

Z praktycznego punktu widzenia, prawo do sprzeciwu może dotyczyć sytuacji, w której posiadają Państwo dane osobowe uzyskane w związku ze świadczeniem usług, dotyczące osób trzecich, które są jednak potrzebne dla wykazania wykonania usługi. Na przykład firma kominiarska na zlecenie wspólnoty mieszkaniowej przeprowadza przeglądy instalacji kominowej w lokalach, każdorazowo sporządzając protokoły zawierające dane osobowe właścicieli lokali, które przekazuje później do wspólnoty w celu rozliczenia usługi.

W przypadku wniesienia sprzeciwu administrator powinien natychmiast zaprzestać przetwarzania danych osobowych, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Wykonanie wyżej opisanych żądań osoby, której dotyczą przetwarzane dane osobowe, powinno nastąpić bez zbędnej zwłoki, a najpóźniej w terminie miesiąca od otrzymania żądania. W takim samym terminie, należy poinformować tę osobę o nie podjęciu działań w celu realizacji jej żądania, ze wskazaniem powodów zaniechania oraz pouczeniem o możliwości wniesienia skargi do organu nadzorczego. W szczególnie uzasadnionych przypadkach, wynikających ze skomplikowanego charakteru żądania lub liczby żądań, realizacja żądania może być przedłużona o dalsze dwa miesiące, przy czym w podstawowym terminie należy zawiadomić zgłaszającego żądanie o takim przedłużeniu terminu wraz z podaniem przyczyn opóźnienia.

Przekazywanie danych na zewnątrz

W ramach inwentaryzacji przetwarzanych danych osobowych oraz oszacowania zagrożeń i ryzyka powstania naruszeń należy również ustalić, jakie dane są przekazywane na zewnątrz, poza ramy Państwa organizacji.

Jeżeli Państwo nie dokonują obrotu danymi osobowymi – nie zajmują się sprzedażą baz danych itp., to przekazywanie danych osobowych poza organizację następować będzie przede wszystkim na rzecz podmiotów przetwarzających, zdefiniowanych w RODO jako osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Podmiotem takim będzie w szczególności:

  • biuro prowadzące obsługę podatkową lub kadrowo-płacową Państwa firmy,
  • kancelaria adwokacka prowadząca obsługę prawną Państwa firmy, jak również:
  • podmiot utrzymujący serwery, na których umieszczona jest wykorzystywana przez Państwa poczta elektroniczna,
  • podmiot utrzymujący serwery, na których przechowują Państwo dane informatyczne w tzw. „chmurze”.

W art. 28, RODO przewiduje wymogi związane z powierzeniem przetwarzania danych podmiotowi:

  • Administrator może korzystać z usług wyłącznie takich podmiotów, które zapewniają gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi rozporządzenia.
  • Podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej Państwa zgody.
  • Przetwarzanie danych osobowych przez podmiot przetwarzający powinno odbywać się na podstawie umowy zawartej przez administratora z tym podmiotem, określającej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Co do umowy z podmiotem przetwarzającym, wiem, że wielu moich klientów otrzymało już wzory takich umów od swoich kontrahentów. Na przełomie kwietnia i maja 2018 r. przedstawię Państwu projekt takiej umowy do zawarcia między nami. Proszę również zwrócić się do innych podmiotów świadczących na Państwa rzecz usługi, z którymi wiąże się przekazywanie im danych osobowych, o przedstawienie wzorca takiej umowy.

Pozostałe kwestie

Zgłaszanie naruszeń

RODO odmiennie, niż dotychczasowa regulacja, przewiduje obowiązek autodenuncjacji. W przypadku stwierdzenia naruszenia ochrony danych osobowych, jesteście Państwo zobowiązani bez zbędnej zwłoki – nie później, niż w terminie 72 godzin po stwierdzeniu naruszenia, zawiadomić organ nadzoru. W przypadku przekroczenia tego terminu zgłoszenie powinno zawierać również wskazanie przyczyn opóźnienia.

Ponadto, jeżeli naruszenie ochrony danych osobowych może skutkować naruszeniem dóbr osobistych albo wolności osoby, której dane dotyczą, jesteście Państwo zobowiązani powiadomić o naruszeniu również tę osobę, chyba że:

  • dane, których dotyczy naruszenie, zostały zabezpieczone w sposób uniemożliwiający odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,
  • zastosowali Państwo następnie środki eliminujące wysokie ryzyko naruszenia praw lub wolności osoby, której dotyczą,
  • zawiadomienie wymagało niewspółmiernego wysiłku, wówczas powinni Państwo upublicznić komunikat lub zastosować podobny środek.

Wyznaczenie inspektora ochrony danych

W załącznikach do przekazanego Państwu wzoru Polityki bezpieczeństwa – ochrony danych osobowych (konkretnie w formularzach informacji) wskazana jest rubryka co do danych kontaktowych inspektora ochrony danych.

Obowiązek powołania takiego inspektora spoczywa na Państwu, zgodnie z art. 37 RODO, wówczas gdy:

  • Państwa główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub
  • główna Państwa działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO (tzw. dane wrażliwe) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Zakładam, że w przypadku większości z Państwa wyżej opisane sytuacje nie zachodzą, wobec czego nie ma potrzeby ustanawiania inspektora ochrony danych. W takiej sytuacji rubryki w załącznikach dotyczące jego danych kontaktowych należy usunąć.

Odszkodowania i sankcje

RODO wprowadza odpowiedzialność odszkodowawczą administratora lub podmiotu przetwarzającego, w przypadku powstania po stronie osoby, której dotyczą dane osobowe, szkody majątkowej lub niemajątkowej na skutek naruszenia przepisów rozporządzenia. Kwestia ta posiada bardziej praktyczne znaczenie, nie mniej muszą Państwo pamiętać w szczególności o następujących rzeczach:

  • Jeżeli przetwarzają Państwo dane osobowe osób posiadających miejsce stałego pobytu poza granicami RP, to mogą być Państwo pozwani również przed tamtejszymi sądami (np. włoskimi czy hiszpańskimi).
  • Po wejściu w życie RODO można się spodziewać wysypu różnych organizacji lub stowarzyszeń, które będą twierdziły, że występują w imieniu osób, których dane osobowe są przez Państwa przetwarzane, a następnie próbowały Państwa zastraszyć i przez to uzyskać od Państwa jakieś należności pod tytułem odszkodowań, opłat za przygotowanie dokumentacji itp. Na gruncie RODO nie jest możliwe działanie przez stowarzyszenie lub organizację na rzecz ogólnego interesu, natomiast zgłaszanie jakichkolwiek roszczeń wymaga posiadania przez taki podmiot umocowania udzielonego przez konkretną osobę. Jeżeli zatem otrzymają Państwo jakąś podejrzaną korespondencję, proszę ją zignorować lub też zażądać pełnomocnictwa udzielonego przez osobę, której prawa lub wolności miały zostać rzekomo naruszone.

Art. 83 RODO przewiduje warunki nakładania administracyjnych kar pieniężnych za naruszenia jego postanowień, które streścić można następująco:

  • kary nakładane są na podstawie indywidualnych przesłanek, po przeprowadzeniu postępowania wyjaśniającego,
  • jeżeli w ramach tych samych lub powiązanych operacji zostanie naruszonych więcej obowiązków przewidzianych w RODO, całkowita wysokość kary nie przekracza kary za najpoważniejsze naruszenie,
  • za naruszenie „lżejszych”, enumeratywnie wyliczonych w art. 83 ust. 4 RODO obowiązków, kara może wynieść do 10 000 000 euro lub 2% całkowitego rocznego obrotu z poprzedniego roku, przy czym zastosowanie ma kwota wyższa,
  • za poważniejsze naruszenia, w szczególności podstawowych obowiązków (art. 83 ust. 5) kara może wynieść do 20 000 000 euro lub 4% całkowitego rocznego obrotu z poprzedniego roku, przy czym zastosowanie ma kwota wyższa,
  • ustawa krajowa może przewidywać dodatkowe kary lub sankcje.

Szczególne kwestie wymagające dodatkowych konsultacji

Wymogi dotyczące zabezpieczenia danych osobowych na gruncie dotychczasowej regulacji

Na chwilę obecną warunki, jakim podlega pod względem technicznym ochrona danych osobowych, regulowane są przede wszystkim rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Do czasu wejścia w życie nowej ustawy o ochronie danych osobowych i wydanych na jej podstawie rozporządzeń wykonawczych, należy stosować postanowienia tego rozporządzenia.

Dane wrażliwe

Podobnie, jak wcześniejsza regulacja, tak i RODO przewiduje kategorię danych „wrażliwych”, z których przetwarzaniem wiążą się dodatkowe obowiązki administratora. Katalog tych danych zawiera art. 9 ust. 1 RODO i należą do nich dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a ponadto dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, jak również dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.

Jeżeli Państwo przetwarzają dane tego rodzaju, do kwestii wdrożenia RODO trzeba podejść bardziej indywidualnie.

Profilowanie

RODO definiuje profilowanie jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Podobnie, jeżeli Państwo wykonują takie operacje na danych osobowych, wdrożenie RODO wymaga indywidualnego podejścia.

Materiał dodany na Oferteo.pl jest przeznaczony wyłącznie dla klientów Kancelarii Adwokackiej Przemysław Przytuła.

Opracował:

adw. Przemysław Przytuła

LS Lex System Spółka z ograniczoną odpowiedzialnością

Dodano: 17 września 2018 Zaktualizowano: 29 sierpnia 2018

Jak oceniasz ten poradnik?

Dziękujemy za Twoją opinię!

Twoja opinia pozwala nam tworzyć lepsze treści

Co moglibyśmy poprawić lub dodać?

Więcej poradników o adwokatach

Zniesławienie w Internecie - art 212 k.k. Zniesławienie w Internecie - art 212 k.k.

Zniesławienie w Internecie objęte jest sankcją karną wynikającą z art. 212 1 i lex specialis do zniesławienia w Internecie § 2 k.k.

20.05.2019

Dzielenie firmy po rozwodzie Dzielenie firmy po rozwodzie

Przy podziale majątku wspólnego po rozwodzie czy przy dziale spadku wartość przedsiębiorstwa liczy się bez długów, tak jakby ich nie było.

28.04.2020

Przesłanki sprawy o podział majątku Przesłanki sprawy o podział majątku

W momencie, gdy sąd orzeka o rozwodzie, ustaje wspólność majątkowa małżeńska, to odpowiedni moment, gdy byli już małżonkowie mogą wnieść o podział tego, czego dorobili się podczas trwania małżeństwa. W sytuacji, gdy małżonkowie nie zawarli małżeńskiej umowy o rozdzielności majątkowej, cały majątek zgromadzony podczas trwania związku małżeńskiego wchodzi do ich majątku wspólnego. W swojej praktyce zawodowej spotykam się często z sytuacjami, kiedy to jedna ze stron próbuje nieadekwatnie do poczynionego wkładu uzyskać większą część majątku, aniżeli wynikałoby to z przepisów prawa.

29.03.2021

Ile kosztuje rozwód? Koszt rozprawy rozwodowej Ile kosztuje rozwód? Koszt rozprawy rozwodowej

Ile kosztuje rozwód? To minimum 600 zł opłaty sądowej przy składaniu pozwu, choć może być ona zredukowana o połowę. Co istotne, możliwy jest rozwód na pierwszej rozprawie, ale sprawa może też ciągnąć się lata. Dlatego warto wiedzieć, co jeszcze może wpływać na wysokość kosztów sądowych przy sprawie rozwodowej. Sprawdź dokładnie, ile kosztuje rozwód w 2023 roku!

10.11.2023

Skutki procesowe ogłoszenia upadłości konsumenckiej na toczące się postępowania wobec upadłego Skutki procesowe ogłoszenia upadłości konsumenckiej na toczące się postępowania wobec upadłego

Bardzo często zdarza się tak, że dłużnik decyduje się na złożenie wniosku o ogłoszenie upadłości konsumenckiej, gdy nie może już regulować terminowo swoich zobowiązań finansowych z tytułu należności wobec kredytodawców, ZUS czy US. Wówczas instytucje finansowe (np. banki), od których uzyskał środki finansowe, kierują do sądu pozwy o wydanie stosownego orzeczenia (nakazu zapłaty) wobec dłużnika. Co wtedy dzieje się z postępowaniami sądowymi i egzekucyjnymi, gdy w międzyczasie sąd gospodarczy wyda orzeczenie (postanowienie) o ogłoszeniu upadłości konsumenckiej wobec dłużnika (pozwanego)? O tym poniżej.

05.11.2022

Wniosek dowodowy w postępowaniu karnym Wniosek dowodowy w postępowaniu karnym

Dowody w sprawie karnej mogą być przeprowadzane z urzędu lub na wniosek strony.

29.06.2018

Jak działa Oferteo?
Odpowiedz na kilka pytań

Powiedz nam czego potrzebujesz, abyśmy dostarczyli Ci właściwe oferty

Otrzymaj oferty

Poznaj dopasowane oferty specjalistów z Twojej okolicy

Wybierz najlepszą

Porównaj oferty i zadawaj pytania, bezpłatnie i niezobowiązująco

Oferteo S.A.
ul. Świeradowska 51-57/102A
50-559 Wrocław

NIP: 899-269-34-75
KRS: 0000913981
REGON: 021182878
Oferteo
Przydatne informacje
Potrzebujesz pomocy?
Skorzystaj z zakładki Pomoc

Biuro Obsługi Klienta odpowiada
na Państwa pytania w dni robocze
od 9:00 do 17:00
Bezpieczeństwo na oferteo
Pobierz aplikacje
Pobierz z App Store Pobierz z Google Play
Przeglądaj zlecenia z innych krajów: Oferteo.cz
Korzystanie z portalu oznacza akceptację Regulaminu.
© 2008 - 2024 Oferteo.pl