Rozporządzenie o ochronie danych osobowych – kompendium wiedzy

Z dniem 25 maja 2018 roku weszło w życie rozporządzenie o ochronie danych osobowych. Nowe regulacje dotyczą wszystkich podmiotów przetwarzających dane na terenie Unii Europejskiej w sposób zautomatyzowany. Oznacza to, że administratorzy danych są zobowiązani do realizowania nowych obowiązków, a osoby fizyczne otrzymały dodatkowe uprawnienia. Jednym z głównych powodów zaostrzenia przepisów dotyczących ochrony danych osobowych w firmie jest społeczno-gospodarcza integracja państw europejskich, która doprowadziła do istotnego wzrostu transgranicznych przepływów danych osobowych. Celem wprowadzenia rozporządzenia o ochronie danych osobowych było usunięcie przeszkód hamujących swobodny i bezpieczny przepływ danych osobowych na rynku wewnętrznym, a także uniemożliwienie dostępu do tychże danych podmiotom nieuprawnionym.

Ochrona danych osobowych w firmie – rozszerzona definicja danych osobowych

Niniejsze rozporządzenie wprowadza nowe zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w przedsiębiorstwach i urzędach, a także rozszerza samo pojęcie danych osobowych, by uwzględniało nowe formy identyfikacji, powstające wskutek rozwoju nowych technologii. Art. 6 ust. 1 ustawy o ochronie danych osobowych i art. 4 pkt 1 RODO definiuje dane osobowe jako informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W myśl obowiązujących przepisów – dane osobowe to nie tylko imię i nazwisko, adres, data urodzenia, miejsce zamieszkania, PESEL, e-mail czy numer telefonu należący do osoby fizycznej, ale także numery ID, informacje dotyczące zdrowia fizycznego i psychicznego, statusu majątkowego oraz społecznego, a nawet dane genetyczne czy biometryczne, służące identyfikacji konkretnej osoby.

Ochrona danych osobowych – RODO a zgoda na przetwarzanie danych osobowych

Przepisy rozporządzenia o ochronie danych osobowych nie ograniczają ani nie zakazują swobodnego przepływu danych osobowych w Unii Europejskiej z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, lecz ujednolicają podstawę prawną obowiązującą na terenie wszystkich państw członkowskich. Jednym z najważniejszych wymogów dotyczących ochrony danych osobowych w firmie jest konieczność zapewnienia zgodności przetwarzania informacji z aktualnymi regulacjami. Administratorzy danych muszą zweryfikować każdy proces, w którym przetwarzane są informacje pozyskane od osób fizycznych, a następnie ustalić podstawę ich przetwarzania. Zgoda na przetwarzanie danych osobowych może zostać udzielona w określonym celu, wynikać z obowiązku prawnego lub być warunkiem wykonania danej umowy. Z obowiązkiem tym wiąże się konieczność opracowania klauzul informacyjnych dla osób, których dane są pozyskiwane.

Warto dodać, że rozporządzenie o ochronie danych osobowych nie zrewolucjonizowało dotychczas obowiązującej definicji zgody na przetwarzanie danych osobowych, rozumianej jako oświadczenie woli, lecz wprowadziło kilka elementów, niezbędnych do wyrażenia zgody. Art. 4 RODO wskazuje, że zgoda na przetwarzanie danych osobowych powinna być dobrowolna, konkretna, świadoma i jednoznaczna.

Wygasa rejestr zbiorów danych osobowych zgłaszany w GIODO

Kolejnym nowym obowiązkiem administratora danych jest prowadzenie rejestru czynności przetwarzania danych osobowych, który zastąpił dotychczasowy rejestr zbiorów danych osobowych. Wraz z wejściem nowych przepisów nie ma konieczności, ani nawet możliwości zgłoszenia rejestru zbiorów danych osobowych do GIODO. Rejestr czynności przetwarzania jest wewnętrznym, firmowym dokumentem, sporządzanym w elektronicznej lub pisemnej formie.

Wygaśnięcie obowiązku zgłaszania rejestru zbiorów danych osobowych do GIODO nie wymaga od administratora danych podejmowania dodatkowych działań. Nie trzeba składać wniosku do Generalnego Inspektora Ochrony Danych Osobowych o wykreślenie dotychczas dostarczonych zbiorów.

Ochrona danych osobowych – RODO a obowiązek prowadzenia rejestru czynności przetwarzania danych

Sporządzenie rejestru czynności przetwarzania danych to wymagany środek bezpieczeństwa o charakterze organizacyjnym, służący ochronie danych osobowych – RODO nakłada na administratora danych i podmiot przetwarzający obowiązek prowadzenia ewidencji wszystkich operacji realizowanych na danych osobowych, przechowywanych przez konkretny podmiot. Ponadto, dla skuteczniejszej ochrony danych osobowych w firmie i zachowania zgodności z przepisami RODO, administrator danych i podmiot przetwarzający dane powinni współpracować z organem nadzorczym i na jego żądanie udostępniać rzeczony rejestr w celu monitorowania dokonywanych operacji przetwarzania. Ochrona danych osobowych w firmie wiąże się też z obowiązkiem wykazania, że przyjęte rozwiązania, środki organizacyjne i techniczne są adekwatne do konkretnych przypadków przetwarzania danych osobowych.

powrót

Zobacz również: