Sygnalizowaliśmy już nadchodzące zmiany w zakresie ochrony danych osobowych. Czas przyjrzeć im się bliżej i odpowiedzieć sobie na podstawowe pytania w tym zakresie.
W maju 2018 roku zmienią się zasady dotyczące przetwarzania danych osobowych. Wejdzie wtedy w życie unijne ogólne rozporządzenie o ochronie danych osobowych – RODO (2016/679) oraz wciąż jeszcze tworzona na jego podstawie nowa ustawa o ochronie danych osobowych.
Przez dane osobowe, w świetle wyżej wymienionych regulacji prawnych, należy rozumieć wszelkie informacje, które mogą choćby pośrednio umożliwiać zidentyfikowanie konkretnej osoby, a więc np. imię i nazwisko, numery identyfikacyjne (np. PESEL czy PKK), dane adresowe, numer telefonu czy adres e-mail.
Przez przetwarzanie należy natomiast rozumieć wszelkie czynności wykonywane na danych osobowych lub ich zestawieniach, w tym: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Czy mnie to dotyczy?
Kluczowe pytanie – czy mnie to dotyczy? Zakładając, że prowadzisz działalność, której istotnym elementem jest przetwarzanie danych osobowych, np. klientów – tak, dotyczy.
Działalność OS i OSK jest nieodzownie związana z przetwarzaniem danych osobowych osób szkolonych i przechowywaniem ich nawet przez dekadę. To zaś już obecnie rodzi obowiązki, których wielu przedsiębiorców nie zna. W związku z powyższym nowe regulacje w sprawie ochrony danych osobowych z pewnością dotyczą OS i OSK.
Co przewidują przepisy?
Przetwarzanie danych osobowych wiąże się z szeregiem warunków, obowiązków i zagrożeń. Nowe przepisy zmienią je znacząco w porównaniu z tym, co wynika z aktualnie obowiązującej ustawy o ochronie danych osobowych. Zaznaczyć jednak należy, że podstawowe warunki przetwarzania są zbieżne z obecnymi. W pewnym skrócie i uproszczeniu można wskazać kluczowe aspekty przetwarzania danych w świetle nowych przepisów:
– pełna odpowiedzialność administratora danych (w przypadku danych osób szkolonych będzie to przedsiębiorca prowadzący OS lub OSK – jako podmiot decydujący o przetwarzaniu danych). Administrator odpowiada również do pewnego stopnia za podmioty, którym powierzy dane.
– konieczność spełnienia warunku legalności przetwarzania. Przetwarzanie jest dopuszczalne tylko wtedy, kiedy występuje przynajmniej jedna ze wskazanych w art. 6 RODO podstaw; może nią być np. wyrażona na określonych zasadach zgoda osoby, której dane dotyczą lub fakt, że przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego, a z taką sytuacją mamy w ośrodkach do czynienia choćby podczas przyjmowania klienta na szkolenie czy sporządzania obowiązkowych zgłoszeń o rozpoczęciu szkoleń.
– konieczność zapewnienia zgodnych z przepisami warunków technicznych przetwarzania – od warunków lokalowych po zabezpieczenia informatyczne, a nawet odpowiednie formaty danych. Problemem może okazać się choćby niewłaściwe ustawienie monitora, pozwalające osobom postronnym uzyskać łatwy wgląd do przetwarzanych danych osobowych.
– konieczność uwzględniania praw osób, których dane dotyczą. Powinny one uzyskać o tym wyczerpującą, zgodną z przepisami informację, mieć możliwość dostępu do tych danych, ich sprostowania, ograniczenia przetwarzania, sprzeciwu wobec przetwarzania, a także usunięcia swoich danych. W przypadku działalności OS i OSK prawa te ograniczone są oczywiście obowiązkami związanymi z dokumentacją szkolenia.
– minimalizacja danych i ograniczenie celu i czasu przetwarzania. Przetwarzane mogą być tylko niezbędne dane i tylko w celu, do którego zostały zgodnie z prawem zebrane. Tak długo, jak to jest uzasadnione i konieczne.
– konieczność prowadzenia „rejestru czynności przetwarzania danych”. Zastąpi on wymagane obecnie zgłoszenia zbiorów do GIODO. Zgłoszeniu podlegać będą tylko stwierdzone przypadki naruszeń w zakresie przetwarzania danych osobowych. Rejestr może być prowadzony w formie tradycyjnego dokumentu albo w formie elektronicznej. Ma obejmować szczegółowe dane administratora oraz informacje o przetwarzanych danych – jakie kategorie danych są przetwarzane, gdzie dane trafiają, jak są chronione, a nawet planowane terminy ich usunięcia.
– powołanie inspektora danych osobowych. W przypadku działalności takiej jak OS czy OSK nie będzie obowiązkowe, ale nawet w przypadkach, w których nie jest wymagane – jest zalecane. Inspektor przetwarzania danych osobowych nie przejmuje odpowiedzialności za dane od administratora, wykonuje jednak w przedsiębiorstwie zadania związane ze zgodnym z prawem przetwarzaniem danych, dysponując przede wszystkim znajomością przepisów w tym zakresie, które niestety są dość złożone i nie zawsze wystarczająco jasne, by mogły nadawać się do bezpośredniego stosowania przez laika. Inspektorem może być pracownik, ale można też powierzyć tę funkcję osobie z zewnątrz. Nie ma też przeszkód, by jeden inspektor obsługiwał więcej niż jednego przedsiębiorcę.
– ocena skutków przetwarzania dla ochrony danych. Szczegółowa analiza zagrożeń związanych z przetwarzaniem danych osobowych, obowiązkowa tylko w przypadku niektórych podmiotów, ale nawet dla OS i OSK może okazać się pomocna.
– kontrole. Według nowych przepisów nadzór nad przetwarzaniem danych sprawować będzie już nie GIODO, ale Urząd Ochrony Danych Osobowych, który będzie prowadził planowane kontrole z urzędu.
– kary. Przesłanki ich nakładania i maksymalne wysokości wynikają wprost z RODO i mogą szokować. Rozporządzenie przewiduje bowiem nakładanie kar nawet w wysokości do 20.000.000 euro albo – w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym stosowana ma być wyższa z tych dwóch kwot. Poza karami administracyjnymi trzeba się będzie liczyć również z roszczeniami cywilnymi osób, których prawa w zakresie danych osobowych zostaną naruszone.
Jak się przygotować?
Pierwszym krokiem będzie uświadomienie sobie tego, co oznaczają w praktyce przytoczone w uproszczeniu na początku tego tekstu definicje danych osobowych i ich przetwarzania. Punktem wyjścia do przetwarzania danych zgodnie z prawem jest bowiem świadomość tego, że przetwarzaniem danych będzie zarówno pobranie informacji z PKK, jak i wpisanie jazdy z danym kursantem do kalendarza, nie wspominając już o publikacji w mediach społecznościowych arkusza przebiegu egzaminu praktycznego. Warto się też zastanowić, czy na pewno przetwarzamy dane w takim zakresie, jaki jest z jednej strony potrzebny, z drugiej – dopuszczalny i czy któreś z wykonywanych z danymi czynności nie powodują ryzyka. Skuteczna ochrona danych osobowych w zgodzie z przepisami nie będzie możliwa bez odpowiedniego przeszkolenia pracowników, którzy mogą mieć w przedsiębiorstwie dostęp do danych osobowych. W dalszej kolejności konieczne jest zweryfikowanie tego, jak gromadzone i przechowywane są dane oraz tego, gdzie trafiają. Kluczowe znaczenie po wejściu nowych regulacji w życie będzie miało korzystanie ze sprawdzonych usługodawców, takich jak e-kierowca. Bo to one gwarantują bezpieczeństwo danych osobowych i przestrzeganie przepisów. Rozwiązania informatyczne firmy e-kierowca, takie jak platforma SPS Admi, zapewniają pełną zgodność z już obowiązującymi przepisami, a w przyszłości pozwolą na pełne dostosowanie się i przygotowanie do RODO. Nowe przepisy przewidują certyfikację w tym zakresie, choć na obecnym etapie polskich prac legislacyjnych uzyskanie certyfikatów nie jest jeszcze oczywiście możliwe. Kolejnym krokiem będzie przygotowanie przedsiębiorstwa w zakresie dokumentacji, ale również np. wzorów informacji o przetwarzaniu danych czy zgód na przetwarzanie danych, jeśli planujemy ich wykorzystanie. Warte rozważenia będzie też z pewnością zapewnienie sobie wykwalifikowanego inspektora ochrony danych osobowych, który pomoże w zapewnieniu bezpiecznych, zgodnych z prawem warunków przetwarzania danych.
Radosław Biernat
Nic z tego nie rozumiem.
Pingback: where to buy psilocybin denver
Pingback: article
Pingback: quik
Pingback: steenslagfolie
Pingback: Acquista ossicodone online Texas, Acquista Xanax online, Commander Oxycodone 30 mg, dove acquistare ossicodone in linea, Il posto migliore per acquistare Ossicodone in linea, Livraison Oxycodone 30 mg, Ordina Acquista ossicodone online senza prescrizione,
Pingback: ล่องเรือเจ้าพระยา
Możliwość komentowania została wyłączona.