Co musisz wiedzieć o przetwarzaniu danych osobowych?

Data publikacji: 11.01.2018

Sygnalizowaliśmy już  nadchodzące zmiany w zakresie ochrony danych osobowych. Czas przyjrzeć im się bliżej i odpowiedzieć sobie na podstawowe pytania w tym zakresie.

W maju 2018 roku zmienią się zasady dotyczące przetwarzania danych osobowych. Wejdzie wtedy w życie unijne ogólne rozporządzenie o ochronie danych osobowych – RODO (2016/679) oraz wciąż jeszcze tworzona na jego podstawie nowa ustawa o ochronie danych osobowych.

Przez dane osobowe, w świetle wyżej wymienionych regulacji prawnych, należy rozumieć wszelkie informacje, które mogą choćby pośrednio umożliwiać zidentyfikowanie konkretnej osoby, a więc np. imię i nazwisko, numery identyfikacyjne (np. PESEL czy PKK), dane adresowe, numer telefonu czy adres e-mail.

Przez przetwarzanie należy natomiast rozumieć wszelkie czynności wykonywane na danych osobowych lub ich zestawieniach, w tym: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Czy mnie to dotyczy?

Kluczowe pytanie – czy mnie to dotyczy? Zakładając, że prowadzisz działalność, której istotnym elementem jest przetwarzanie danych osobowych, np. klientów – tak, dotyczy.

Działalność OS i OSK jest nieodzownie związana z przetwarzaniem danych osobowych osób szkolonych i przechowywaniem ich nawet przez dekadę. To zaś już obecnie rodzi obowiązki, których wielu przedsiębiorców nie zna. W związku z powyższym nowe regulacje w sprawie ochrony danych osobowych z pewnością dotyczą OS i OSK.

Co przewidują przepisy?

Przetwarzanie danych osobowych wiąże się z szeregiem warunków, obowiązków i zagrożeń. Nowe przepisy zmienią je znacząco w porównaniu z tym, co wynika z aktualnie obowiązującej ustawy o ochronie danych osobowych. Zaznaczyć jednak należy, że podstawowe warunki przetwarzania są zbieżne z obecnymi. W pewnym skrócie i uproszczeniu można wskazać kluczowe aspekty przetwarzania danych w świetle nowych przepisów:

- pełna odpowiedzialność administratora danych (w przypadku danych osób szkolonych będzie to przedsiębiorca prowadzący OS lub OSK – jako podmiot decydujący o przetwarzaniu danych). Administrator odpowiada również do pewnego stopnia za podmioty, którym powierzy dane.

- konieczność spełnienia warunku legalności przetwarzania. Przetwarzanie jest dopuszczalne tylko wtedy, kiedy występuje przynajmniej jedna ze wskazanych w art. 6 RODO podstaw; może nią być np. wyrażona na określonych zasadach zgoda osoby, której dane dotyczą lub fakt, że przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego, a z taką sytuacją mamy w ośrodkach do czynienia choćby podczas przyjmowania klienta na szkolenie czy sporządzania obowiązkowych zgłoszeń o rozpoczęciu szkoleń.

- konieczność zapewnienia zgodnych z przepisami warunków technicznych przetwarzania – od warunków lokalowych po zabezpieczenia informatyczne, a nawet odpowiednie formaty danych. Problemem może okazać się choćby niewłaściwe ustawienie monitora, pozwalające osobom postronnym uzyskać łatwy wgląd do przetwarzanych danych osobowych.

- konieczność uwzględniania praw osób, których dane dotyczą. Powinny one uzyskać o tym wyczerpującą, zgodną z przepisami informację, mieć możliwość dostępu do tych danych, ich sprostowania, ograniczenia przetwarzania, sprzeciwu wobec przetwarzania, a także usunięcia swoich danych. W przypadku działalności OS i OSK prawa te ograniczone są oczywiście obowiązkami związanymi z dokumentacją szkolenia.

- minimalizacja danych i ograniczenie celu i czasu przetwarzania. Przetwarzane mogą być tylko niezbędne dane i tylko w celu, do którego zostały zgodnie z prawem zebrane. Tak długo, jak to jest uzasadnione i konieczne.

- konieczność prowadzenia „rejestru czynności przetwarzania danych”. Zastąpi on wymagane obecnie zgłoszenia zbiorów do GIODO. Zgłoszeniu podlegać będą tylko stwierdzone przypadki naruszeń w zakresie przetwarzania danych osobowych. Rejestr może być prowadzony w formie tradycyjnego dokumentu albo w formie elektronicznej. Ma obejmować szczegółowe dane administratora oraz informacje o przetwarzanych danych – jakie kategorie danych są przetwarzane, gdzie dane trafiają, jak są chronione, a nawet planowane terminy ich usunięcia.

- powołanie inspektora danych osobowych. W przypadku działalności takiej jak OS czy OSK nie będzie obowiązkowe, ale nawet w przypadkach, w których nie jest wymagane – jest zalecane. Inspektor przetwarzania danych osobowych nie przejmuje odpowiedzialności za dane od administratora, wykonuje jednak w przedsiębiorstwie zadania związane ze zgodnym z prawem przetwarzaniem danych, dysponując przede wszystkim znajomością przepisów w tym zakresie, które niestety są dość złożone i nie zawsze wystarczająco jasne, by mogły nadawać się do bezpośredniego stosowania przez laika. Inspektorem może być pracownik, ale można też powierzyć tę funkcję osobie z zewnątrz. Nie ma też przeszkód, by jeden inspektor obsługiwał więcej niż jednego przedsiębiorcę.

- ocena skutków przetwarzania dla ochrony danych. Szczegółowa analiza zagrożeń związanych z przetwarzaniem danych osobowych, obowiązkowa tylko w przypadku niektórych podmiotów, ale nawet dla OS i OSK może okazać się pomocna.

- kontrole. Według nowych przepisów nadzór nad przetwarzaniem danych sprawować będzie już nie GIODO, ale Urząd Ochrony Danych Osobowych, który będzie prowadził planowane kontrole z urzędu.

- kary. Przesłanki ich nakładania i maksymalne wysokości wynikają wprost z RODO i mogą szokować. Rozporządzenie przewiduje bowiem nakładanie kar nawet w wysokości do 20.000.000 euro albo – w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym stosowana ma być wyższa z tych dwóch kwot. Poza karami administracyjnymi trzeba się będzie liczyć również z roszczeniami cywilnymi osób, których prawa w zakresie danych osobowych zostaną naruszone.

Jak się przygotować?

Pierwszym krokiem będzie uświadomienie sobie tego, co oznaczają w praktyce przytoczone w uproszczeniu na początku tego tekstu definicje danych osobowych i ich przetwarzania. Punktem wyjścia do przetwarzania danych zgodnie z prawem jest bowiem świadomość tego, że przetwarzaniem danych będzie zarówno pobranie informacji z PKK, jak i wpisanie jazdy z danym kursantem do kalendarza, nie wspominając już o publikacji w mediach społecznościowych arkusza przebiegu egzaminu praktycznego. Warto się też zastanowić, czy na pewno przetwarzamy dane w takim zakresie, jaki jest z jednej strony potrzebny, z drugiej – dopuszczalny i czy któreś z wykonywanych z danymi czynności nie powodują ryzyka. Skuteczna ochrona danych osobowych w zgodzie z przepisami nie będzie możliwa bez odpowiedniego przeszkolenia pracowników, którzy mogą mieć w przedsiębiorstwie dostęp do danych osobowych. W dalszej kolejności konieczne jest zweryfikowanie tego, jak gromadzone i przechowywane są dane oraz tego, gdzie trafiają. Kluczowe znaczenie po wejściu nowych regulacji w życie będzie miało korzystanie ze sprawdzonych usługodawców, takich jak e-kierowca. Bo to one gwarantują bezpieczeństwo danych osobowych i przestrzeganie przepisów. Rozwiązania informatyczne firmy e-kierowca, takie jak platforma SPS Admi, zapewniają pełną zgodność z już obowiązującymi przepisami, a w przyszłości pozwolą na pełne dostosowanie się i przygotowanie do RODO. Nowe przepisy przewidują certyfikację w tym zakresie, choć na obecnym etapie polskich prac legislacyjnych uzyskanie certyfikatów nie jest jeszcze oczywiście możliwe. Kolejnym krokiem będzie przygotowanie przedsiębiorstwa w zakresie dokumentacji, ale również np. wzorów informacji o przetwarzaniu danych czy zgód na przetwarzanie danych, jeśli planujemy ich wykorzystanie. Warte rozważenia będzie też z pewnością zapewnienie sobie wykwalifikowanego inspektora ochrony danych osobowych, który pomoże w zapewnieniu bezpiecznych, zgodnych z prawem warunków przetwarzania danych.

Radosław Biernat

aaa

« powrót

Wasze komentarze (1)

Dodaj komentarz
29359Dodany przez vks (11.01.2018, 12:47 PM)

Nic z tego nie rozumiem.