Baza wiedzy
Czym jest RODO?
Czym jest RODO?
09.03.2018

Piotr Ukowski

Z dniem 25 maja 2018 roku zaczyna obowiązywać europejskie prawo o ochronie danych osobowych: Ogólne Rozporządzenie o Ochronie Danych (General Data Protection Regulation – GDPR), powszechnie nazywane RODO. Czym jest? Jak wpływa na prowadzoną działalność? Jakie ma wymagania względem systemów informatycznych?

RODO to nowa regulacja w zakresie ochrony danych osobowych, obowiązująca w całej Unii Europejskiej. Zastępuje wcześniejsze przepisy i zapewnia poszczególnym osobom większą kontrolę nad ich danymi osobowymi, przejrzystość w zakresie wykorzystywania tych danych i wymaga od organizacji przetwarzających dane osobowe wprowadzenia mechanizmów bezpieczeństwa i kontroli, mających na celu zapewnienie odpowiedniej ochrony tych danych – bez względu na to, gdzie są one przesyłane, przetwarzane czy przechowywane.

Dane osobowe

Dane osobowe, w rozumieniu RODO, oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Rozporządzenie nie dotyczy przetwarzania danych osób prawnych (w szczególności przedsiębiorstw będących osobami prawnymi – w tym danych o firmie, danych kontaktowych itp.).

Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie imienia i nazwiska, numeru PESEL, danych o lokalizacji, identyfikatorów internetowych (adresy IP, identyfikatory plików cookie, etykiety RFID itd.) itp.

RODO wyróżnia też „szczególne kategorie danych osobowych” – dane wrażliwe (sensytywne), które ujawniają specyficzne, prywatne informacje. Należą do nich m.in.: pochodzenie rasowe i etniczne, przekonania religijne czy światopoglądowe, przynależność do związków zawodowych czy partii, poglądy polityczne, stan zdrowia, kod genetyczny, dane biometryczne czy dane o seksualności lub orientacji seksualnej.

Administrator danych osobowych

RODO definiuje Administratora jako „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”.

RODO z założenia unika wskazania konkretnych rozwiązań po to, by utrzymać aktualność w zmieniającym się otoczeniu i przy gwałtownym rozwoju technologii. Stawia tylko cele i wymagania, a na Administratora nakłada obowiązek „wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z (…) rozporządzeniem i aby móc to wykazać”.

To na Administratorze zatem spoczywa obowiązek identyfikacji i implementacji metod obsługi procesów przetwarzania danych osobowych w organizacji:

  • Mają one zapewniać najwyższy, znany i możliwy w chwili przetwarzania danych, poziom ochrony
  • Nie może być to czynność jednorazowa, środki te są w razie potrzeby poddawane przeglądom i uaktualniane
  • Dokonuje on tego uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia

RODO znosi natomiast obowiązek rejestracji posiadanych zasobów danych osobowych, nie definiuje sposobu rejestracji i ewidencji procesów przetwarzania danych, ale wymaga wykazania zgodności wewnętrznych zasad z rozporządzeniem w wypadku kontroli.

Kluczowe zasady RODO

RODO opiera się na następujących zasadach:

  • Wymóg zapewnienia przejrzystości przetwarzania i wykorzystywania danych osobowych
  • Ograniczenie przetwarzania danych osobowych do określonych, zgodnych z prawem celów
  • Ograniczenie gromadzenia i przechowywania danych osobowych do celów zgodnych z przeznaczeniem
  • Umożliwienie osobom fizycznym poprawiania lub wnioskowania o usunięcie ich danych osobowych
  • Ograniczenie czasu przechowywania danych osobowych do okresu, w którym jest to niezbędne do celu zgodnego z przeznaczeniem
  • Zapewnienie ochrony danych osobowych przy zastosowaniu odpowiednich praktyk w zakresie bezpieczeństwa

Rejestr czynności przetwarzania

Administrator ma obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych oraz udostępnienia go na każde żądanie organu nadzorującego.

Wyłączone z obowiązku prowadzenia rejestru są podmioty zatrudniające mniej niż 250 osób, o ile przetwarzanie, którego dokonują:

  • Nie powoduje ryzyka naruszenia praw lub wolności osób, których dane dotyczą; nie ma charakteru sporadycznego
  • Nie obejmuje danych szczególnie wrażliwych, genetycznych lub biometrycznych
  • Nie obejmuje danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

W rejestrze czynności przetwarzania danych osobowych zamieszcza się następujące informacje:

  • Imię i nazwisko lub nazwę oraz dane kontaktowe Administratora
  • Cele przetwarzania
  • Opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych
  • Kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych
  • Gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej
  • Jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych
  • Jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa tj.: pseudonimizacja i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularność testowania i oceniania skuteczności ww. środków.

Ochrona osób fizycznych

Głównym celem RODO jest ochrona osób fizycznych i zapewnienie, że osoby udzielające zgody na przetwarzanie danych osobowych są w pełni świadome celu, procesu i konsekwencji przetwarzania ich danych.

Rozporządzenie przyznaje wprost osobom fizycznym, których dane są przetwarzane, w szczególności następujące uprawnienia:

  • Prawo dostępu do danych i informacji
  • Prawo żądania sprostowania i uzupełnienia danych
  • Prawo sprzeciwu wobec przetwarzania danych
  • Prawo do przeniesienia danych
  • Prawo do bycia zapomnianym

Uprawnienia osób fizycznych są jednocześnie obowiązkami administratora danych.

Podstawą do legalnego przetwarzania danych osobowych jest zgoda osoby fizycznej – dobrowolne, konkretne, świadome i jednoznaczne okazanie woli przetwarzania danych osobowych. 
Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator musi być w stanie udowodnić, że osoba ta wyraziła zgodę na operacje przetwarzania.

Privacy by design, privacy by default

Privacy by design (zasada prywatności w procesie projektowania) – „uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikającego z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą”.

Privacy by default (zasada prywatności w ustawieniach domyślnych) – administrator jest zobowiązany wdrożyć takie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne w stosunku do każdego konkretnego celu przetwarzania. Dotyczy to ilości zbieranych danych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.

Bezpieczeństwo przetwarzania

Administrator i podmiot przetwarzający mają obowiązek zapewnić odpowiedni stopień bezpieczeństwa danych osobowych. W tym celu zobowiązani są wdrożyć odpowiednie środki techniczne i organizacyjne, np.:

  • Pseudonimizacja i szyfrowanie danych osobowych
  • Zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania
  • Regularne testowanie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

Zarządzanie ryzykiem

Każda jednostka, w zależności od realizowanych zadań, musi zdefiniować i określić własne ryzyka, które wiążą się z przetwarzaniem danych. Rodzaje zagrożeń mogą być związane z określonym sektorem działalności, wielkością podmiotu czy ilością przetwarzanych danych i wykorzystywanych do tego systemów. Administrator danych musi więc przeprowadzać analizę ryzyka dostosowaną do swojej działalności.

Analiza ryzyka powinna być procesem cyklicznym, ponieważ zagrożenia i ich źródła ulegają nieustannym zmianom.

Zgłaszanie naruszeń ochrony danych osobowych

W przypadku naruszenia ochrony danych osobowych administrator ocenia czy dana sytuacja objęta jest obowiązkiem zgłoszenia takiego faktu organowi nadzorczemu i dokonuje zgłoszenia bez zbędnej zwłoki, nie później niż w terminie 72h od stwierdzenia naruszenia.
Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym:

  • Okoliczności naruszenia ochrony danych osobowych
  • Jego skutki
  • Podjęte działania zaradcze

Dokumentacja ta musi być na tyle szczegółowa, by pozwolić organowi nadzorczemu na zweryfikowanie przestrzegania obowiązku zgłaszania naruszeń ochrony danych osobowych.

Do obowiązków Administratora (pod pewnymi warunkami) jest również zawiadomienie osoby, której dane dotyczą, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia jej praw lub wolności.

Kary

Naruszenie przepisów RODO może się wiązać z bardzo wysokimi karami, zależnymi od tego, które artykuły rozporządzenia nie zostały dotrzymane. Kary sięgają 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa.

Powyższy dokument jest komentarzem na temat Ogólnego Rozporządzenia o Ochronie Danych (RODO, GDPR), przedstawieniem w jaki sposób INTENSE Group interpretuje to prawo w dniu publikacji niniejszego dokumentu. Wdrożenie RODO dla każdego procesu i każdej organizacji jest bardzo indywidualne, a nie wszystkie aspekty i sposoby interpretacji artykułów są łatwe do rozstrzygnięcia.
W efekcie niniejszy dokument jest udostępniany wyłącznie w celach informacyjnych i nie powinien być traktowany jako porada prawna ani określenie sposobu, w jaki RODO może mieć zastosowanie do konkretnej organizacji.