Rozporządzenie GDPR (RODO), które będzie mieć zastosowanie już w maju, w dalszym ciągu dla wielu osób i firm stanowi kompletną niewiadomą. W drugiej części cyklu artykułów skupiamy się na prawach osób, których dane są przetwarzane oraz obowiązkach przedsiębiorstw.
Usiądź wygodnie i przygotuj się na gimnastykę umysłową – temat nie jest łatwy. W niniejszym wpisie zagłębimy się w szczegóły konkretnych pojęć, przepisów i sformułowań w GDPR, przede wszystkim tych dotyczących zasad zbierania i przetwarzania samych danych osobowych.
Wstępne informacje o GDPR, a także kilka słów o założeniach niniejszego cyklu artykułów, znajdziesz we wpisie pilotowym, który przeczytasz tu.
Wpis pierwszy, o podstawowych założeniach GDPR i polskich ustawach dostosowujących nasze prawo do nowych przepisów, przeczytasz tu.
Przeczytaj też dwa wpisy o ePrivacy, czyli rozporządzeniu towarzyszącemu RODO. Są tu: wpis 1 i wpis 2.
Jeszcze uwaga techniczna – określeń RODO i GDPR będziemy w niniejszym artykule używać zamiennie. Oznaczają one to samo rozporządzenie, a ponieważ oba pojawiają się w dyskusjach, warto, abyś był „oswojony” z obydwoma terminami.
Podobnie jak w poprzednich artykułach o RODO i ePrivacy, poprosiliśmy o wpis gościnny i obszerny komentarz Panią Joannę Swaryczewską-Dede z kancelarii Porębski i Wspólnicy, specjalizującą się między innymi w zagadnieniach związanych z przetwarzaniem danych osobowych, oraz zajmującą się przygotowywaniem dokumentacji wewnętrznej dla przedsiębiorców, prowadzeniem audytów, a także doradztwem z zakresu ochrony danych osobowych.
Sposób pozyskiwania zgody na przetwarzanie danych
Zgoda na przetwarzanie danych jest na tyle złożonym tematem, że poświęcimy jej osobny rozdział. GDPR precyzuje i jasno określa zasady pozyskiwania takiej zgody przez administratora.
Według GDPR, zgoda może mieć formę nie tylko oświadczenia, ale również wyraźnego działania potwierdzającego. Według obecnych przepisów jest to niedopuszczalne, gdyż Ustawa o ochronie danych osobowych zawiera sformułowanie, iż „zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści”.
Stanowi to w istocie złagodzenie wymogów w stosunku do obecnych przepisów.
W GDPR podano przykłady form wyrażenia zgody (pisemne, elektroniczne lub ustne oświadczenie). Wprost wskazano, że milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny być interpretowane jako zgoda.
Klauzule zgody powinny być sformułowane jasnym i czytelnym językiem, tj. w sposób zrozumiały dla osoby, której dane dotyczą. Zawiłe, nieprecyzyjne i zbyt skomplikowane formularze mogą okazać się wadliwe, a zgoda – uznana za wyrażoną w sposób nieskuteczny.
Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
Pozyskiwanie zgody na przetwarzanie danych – komentarz prawnika
„Zwracam również uwagę, że aby zgoda została uznana za skuteczną, musi zostać ona wyrażona dobrowolnie. Oznacza to, że osoba, której dane dotyczą powinna mieć rzeczywistą swobodę wyboru. Wywieranie jakiegokolwiek wpływu, presji lub przymusu na podmiot danych w celu uzyskania zgody jest zabronione. Dodatkowo, odmowa wyrażenia zgody lub jej wycofanie nie może powodować niekorzystnych konsekwencji dla podmiotu danych.
Zgoda nie może stanowić podstawy prawnej przetwarzania w przypadku wyraźnej nierówności pomiędzy osobą, której dane dotyczą, a administratorem. Przykładowo w stosunkach pracowniczych – przetwarzanie danych osobowych pracowników nie powinno odbywać się na podstawie zgody.”
Wycofanie zgody i przetwarzanie danych dzieci
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać udzieloną zgodę.
W takim przypadku, jeśli administrator danych nie ma innej podstawy przetwarzania (którą może być np. niezbędność dla wykonania umowy, szczególna podstawa prawna), należy zaprzestać przetwarzania danych.
Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
O możliwości wycofania zgody należy poinformować jeszcze przed jej wyrażeniem (np. jako część klauzuli zgody). Przy czym wycofanie zgody musi być równie łatwe jak jej wyrażenie, np. jeśli zgoda odbierana jest telefonicznie, najlepiej umożliwić taką samą formę jej odwołania.
W praktyce, na skutek wycofania zgody, dane powinny zostać usunięte ze wszystkich systemów danego przedsiębiorcy.
Przetwarzanie danych dzieci – według GDPR w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, przetwarzanie danych dzieci w wieku do 16 lat odbywać się może jedynie za zgodą wyrażoną lub zaaprobowaną przez rodziców lub opiekunów.
Jest to jeden z obszarów, w którym państwom członkowskim pozostawiono pewną dowolność. Określono tylko widełki granicy wieku.
W Polsce wiek, w którym dziecko może samo wyrazić zgodę na przetwarzanie swoich danych osobowych, zostanie najprawdopodobniej ustalony na 13 lat.
Przetwarzanie danych dzieci – komentarz prawnika
„W motywach RODO wskazano, że dane osobowe dzieci wymagają szczególnej ochrony. Wynika to z faktu, że mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych. Taka szczególna ochrona powinna mieć zastosowanie przede wszystkim do wykorzystywania danych osobowych dzieci do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich.
Administratorzy świadczący usługi tzw. społeczeństwa informacyjnego czyli np. portale społecznościowe, czy sklepy internetowe będą musieli weryfikować wiek osoby korzystającej z ich usług, a także zapewnić możliwość wyrażenia lub zaaprobowania zgody udzielonej przez rodzica, czy opiekuna małoletniego usługobiorcy.”
Prawa osoby, której dane są, lub mają być, przetwarzane
Poza prawem do wycofania zgody na przetwarzanie danych, opisanym powyżej, osobom których te dane dotyczą, przysługuje szereg innych uprawnień. W ten sposób GDPR realizuje wspomniane założenie pełnej kontroli każdego nad swoimi danymi osobowymi.
Pojawia się tu słynne i bardzo chętnie przytaczane „prawo do bycia zapomnianym”.
- Prawo do sprostowania, ograniczenia przetwarzania.
- Prawo do uzyskania dostępu – prawo do informacji na temat przetwarzania danych oraz prawo do uzyskania kopii wszelkich danych przetwarzanych przez administratora dotyczących konkretnej osoby.
- Prawo do przenoszenia danych osobowych – ułatwienie dla podmiotów danych w postaci prawa do otrzymania danych w odpowiednim formacie oraz przesłania ich innemu administratorowi w przypadku zmiany podmiotów świadczących usługi społeczeństwa informacyjnego.
- Prawo do bycia zapomnianym/usunięcia.
- Prawo do sprzeciwu.
- Prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu (pod pewnymi warunkami).
Obowiązki przedsiębiorstw
GDPR nakłada na przedsiębiorstwa znaczne obowiązki w zakresie przetwarzania danych oraz ich ochrony, samooceny, oceny podwykonawców oraz własnej kontroli wewnętrznej.
Tu pojawiają się szerokie możliwości interpretacji i nieporozumień, stąd wspomniane wcześniej certyfikacje i akredytacje, ujęte w polskim projekcie ustawy o ochronie danych, mające pomóc w przestrzeganiu przepisów.
Privacy by design and default (uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych) – w praktyce oznacza to, że zasady ochrony prywatności powinny zostać uwzględniane podczas projektowania określonego systemu lub procesu zakładającego przetwarzanie danych osobowych.
Odbywać się to ma w taki sposób, aby od samego początku istnienia systemu ochrona prywatności stanowiła jego część składową.
Konieczność wdrożenia odpowiednich środków technicznych i organizacyjnych, takie jak psuedonimizacja i wymóg szyfrowania danych
Minimalizacja – wdrożenie odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.
Rozszerzenie obowiązku informacyjnego administratora (art. 12 -14 GDPR). GDPR wprost wskazuje, że spełnienie obowiązku informacyjnego musi nastąpić w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
Obowiązek prowadzenia rejestru przetwarzania danych – nałożony zarówno na administratora, jak i procesora.
Z obowiązku zwolnieni są przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.
Prawa i obowiązki – komentarz prawnika
„GDPR ustanawia nowe nieznane dotąd uprawnienie osobom, których dane dotyczą. Szczególne emocje budzi „prawo do bycia zapomnianym” oraz „prawo do przenoszenia danych.”
Istotą „prawa do bycia zapomnianym” jest uprawnienie do żądania od administratora usunięcia danych, a także w przypadku, gdy dane zostały upublicznione – obowiązek administratora dołożenia starań, aby poinformować innych administratorów o żądaniu usunięcia danych (np. linków do tych danych, czy ich kopii).
Celem reformy ochrony danych osobowych było m.in. umożliwienie żądanie usunięcia z obiegu w Internecie danych osobowych umieszczonych w sieci przez osobę, której dane dotyczą lub przez podmiot trzeci. Powszechne jest dzisiaj myślenie, że jeżeli coś trafi do Internetu, to pozostanie w sieci na zawsze.
Prawo do bycia zapomnianym służyć ma sytuacjom, w których przykładowo podmiot danych udostępnił swoje dane lub wyraził zgodę na ich przetwarzanie za pośrednictwem Internetu nie mając świadomości, że negatywnie wpłynie to w przyszłości np. na jego karierę zawodową.
Powyższe obowiązki administratora nie będą miały zastosowania jeśli przetwarzanie danych jest niezbędne:
- do korzystania z prawa do wolności wypowiedzi i informacji;
- do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;
- do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, lub
- do ustalenia, dochodzenia lub obrony roszczeń.
Prawo do przenoszenia danych również stanowi nowość w porównaniu z poprzednim stanem prawnym. Jeżeli przetwarzanie odbywa się w sposób zautomatyzowany oraz w oparciu o zgodę lub na podstawie umowy osoba, której dane dotyczą ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi.
Dodatkowo, w sytuacji gdy jest to technicznie możliwe, podmiot danych ma prawo żądać aby administrator przesłał je bezpośrednio innemu administratorowi.
Prawo do przenoszenia danych jest jednym z rozwiązań, które mają odpowiadać na potrzeby nowych technologii. Uprawnienie to ułatwi transfer danych np. pomiędzy portalami społecznościowymi.„
Samoocena i samokontrola
Samoocena ryzyka na wypadek incydentu bezpieczeństwa – i wdrożenie odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
Ocena skutków planowanych operacji przetwarzania dla ochrony danych osobowych oraz ewentualne konsultacje z organem nadzorczym.
Obowiązek obszernego zgłaszania każdego naruszenia czy incydentu (w ciągu 72 godzin od jego wykrycia) organom nadzorującym.
W przypadkach o wysokim ryzyku naruszenia praw prywatności – również poinformowanie podmiotów których dane są przetwarzane.
Przedsiębiorca będzie miał także obowiązek dokumentowania naruszeń (zgodnie z art. 33 ust. 5 GDPR „Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.”).
Korzystanie z podwykonawców spełniających przepisy – GDPR precyzuje umowę powierzenia przetwarzania danych. Musi się w niej znaleźć wiele dodatkowych postanowień niewymaganych na gruncie aktualnie obowiązującej ustawy o ochronie danych osobowych.
W skrócie, administrator ma obowiązek zweryfikować, czy procesor spełnia wymagania RODO. Jeżeli nie zweryfikuje, naraża się na sankcje prawne.
Powołanie inspektora danych osobowych w strukturze firmy. Wymóg ten dotyczy:
- organów i podmiotów publicznych z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
- podmiotów, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę oraz
- podmiotów, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa .
Samoocena i samokontrola – komentarz prawnika
„Istotną nowością jest zobowiązanie administratorów i procesorów do samodzielnego szacowania ryzyka naruszenia praw lub wolności osób, których dane dotyczą oraz obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych odpowiadających temu ryzyku.
Aktualnie środki techniczne i organizacyjne, które powinny być stosowane w celu zapobieżenia naruszeniom ochrony danych określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
W nowym stanie prawnym administratorzy i procesorzy będą musieli nie tylko dobrać środki adekwatne do charakteru, zakresu, kontekstu i celów przetwarzania oraz prawdopodobieństwa wystąpienia i wagi naruszeń, ale również na bieżąco kontrolować czy środki te są odpowiednie oraz w razie potrzeby dostosować je do nowych zagrożeń, czy wdrożyć nowe niezbędne środki.
Wywiązanie się z wyżej wskazanych obowiązków będzie można wykazać poprzez stosowanie zatwierdzonego kodeksu postępowania, czy zatwierdzonego mechanizmu certyfikacji. Skorzystanie z tych rozwiązań będzie jednak możliwe po wejściu w życie nowej ustawy o ochronie danych osobowych.”
Masz już obraz wymogów RODO dotyczących obowiązków przedsiębiorców w zakresie przetwarzania danych oraz praw osób, których dane są przetwarzane. W kolejnym wpisie przeczytasz o tym, czym w kontekście RODO jesteśmy najczęściej straszeni – kontroli i karach, grożących za nieprzestrzeganie nowego prawa. Kliknij tu, by przeczytać wpis „Jakie kary grożą za naruszenie przepisów GDPR”!