Za nami ponad pół roku ochrony danych osobowych pod rządami nowego prawa – RODO oraz zupełnie nowej ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku.
Co wydarzyło się w ciągu tych kilku miesięcy, kiedy opadł już nieco kurz związany z wejściem w życie RODO?
Przede wszystkim nowe przepisy znacznie restrykcyjniej niż poprzednie regulacje podchodzą do wszelkich incydentów zagrażających danym osobowym. Co prawda ustawa z 1997 roku zawierała przepisy karne za naruszenie warunków przetwarzania, to nie przewidywała tak wysokich kar finansowych, jak unijne rozporządzenie. Naruszenia przepisów RODO podlegają administracyjnej karze pieniężnej w wysokości do 20 mln EURO, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Tak wysokie kary mają zatem pełnić przede wszystkim rolę prewencyjną i zachęcać do przetwarzania danych osobowych zgodnie z prawem – brak należytej dbałości o dane jest po prostu nieopłacalny dla firm i instytucji.
Chyba właśnie wymiar finansowy zmotywował znaczną część naszych rodzimych przedsiębiorstw oraz instytucji przetwarzających dane osobowe do przeprowadzenia audytów prawidłowości przetwarzania danych osobowych oraz wdrożenia stosownych procedur, a także rozwiązań programowo – sprzętowych mających na celu zapewnienie poziomu ochrony zgodnego z obowiązującymi przepisami. I choć dziś wiele instytucji nie ma nawet obowiązku powoływania inspektorów ochrony danych osobowych, to jednak czynią to, by mieć pewność, iż wdrożone w ich strukturach procedury będą przestrzegane.
Na szczęście szaleństwo związane z RODO, które w maju opanowało cały kraj już minęło i dziś pozostaje pielęgnowanie nowych standardów bezpieczeństwa wdrożonych wraz z RODO.
Większa ochrona osób fizycznych i jasne uprawnienia osób, których dane dotyczą
Dzięki szumowi medialnemu towarzyszącemu wejściu w życie nowych przepisów, także osoby fizyczne, których dane przetwarzane są niemal na każdym kroku zyskały większą świadomość przysługujących im uprawnień. Chociaż część osób nadal pozostaje niedoinformowanych – co prawda coś słyszały o RODO, ale nie do końca wiedzą jakie przysługują im uprawnienia, dlatego na wszelki wypadek przy każdej możliwej okazji zasłaniają się RODO i przychodząc np. do serwisu zajmującego się naprawą sprzętu komputerowego nie chcą podawać swoich danych niezbędnych do podpisania i realizacji umowy związanej z serwisem urządzenia, powołując się właśnie na RODO. A przecież realizacja umowy jest jednym z podstawowych warunków dopuszczalności przetwarzania danych osobowych. Dlatego warto przypomnieć, jakie są podstawy przetwarzania danych osobowych, zgodnie a artykułem 6 pkt 1 RODO:
1.Zgoda osoby, której dane dotyczą
2.Przetwarzanie jest niezbędne do wykonania umowy
3.Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze
4.Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej (klęski żywiołowe, monitorowanie epidemii)
5.Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej
6.Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą jest dzieckiem
RODO zwiększyło także kontrolę nad przetwarzaniem danych, dzięki czemu osoba, której dane dotyczą ma prawo do:
1.Informacji – co oznacza, iż należy poinformować osobę, której dane są przetwarzane, m.in. o tym, kto jest administratorem danych oraz jakie są podstawy przetwarzania danych
2.Dostępu do danych – co oznacza, że osoba, której dane dotyczą jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz informacji o celu i sposobie przetwarzania
3.Bycia zapomnianym – co oznacza, że osoba, której dane dotyczą ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z okoliczności wymienionych w rozporządzeniu, m.in.:
- dane osobowe nie są już niezbędne do celów, w których zostały zebrane,
- osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania,
- dane osobowe były przetwarzane niezgodnie z prawem
4.Ograniczenia przetwarzania – co może mieć miejsce, gdy:
- osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
- administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
- osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
5.Uzupełnienia oraz sprostowania danych – co oznacza, że osoba której dane dotyczą może żądać sprostowania dotyczących jej danych osobowych, które są nieprawidłowe, a także uzupełnienia niekompletnych danych osobowych.
6.Sprzeciwu wobec przetwarzania danych – co oznacza, że administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń
7.Kopii – co oznacza, że administrator musi dostarczyć na żądanie osoby, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu.
8.Przekazania danych innemu podmiotowi – co oznacza, że osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora jeżeli dane przetwarzane są w sposób zautomatyzowany, na podstawie zgody, bądź umowy.
Oczywiście rozporządzenie reguluje każde z tych uprawnień w sposób znacznie bardziej szczegółowy niż przedstawiamy w niniejszym opracowaniu. Intencją prawodawcy było, aby przetwarzanie danych odbywało się w sposób rzetelny, przejrzysty oraz rozliczalny, tak by osoby których dane dotyczą zawsze wiedziały kto i w jakim celu korzysta z informacji o nich.
