Jak przygotować się do wejścia RODO.

Skarga do sądu administracyjnego na miejscowy plan zagospodarowania przestrzennego.
11 grudnia 2017
Odszkodowania za zmianę planu zagospodarowania przestrzennego.
10 stycznia 2018

Przepisy rozporządzenia Parlamentu Europejskiego i Rady dotyczące ochrony danych osobowych, zwane w skrócie RODO, już wkrótce zaczną obowiązywać i choć z założenia mają ujednolicić i uprościć regulacje w tym zakresie we wszystkich państwach członkowskich, to zaznaczyć należy, że przyjęte rozwiązania znacznie różnią się od obecnie obowiązujących przepisów ustawy o ochronie danych osobowych.

Oznacza to więc, że każdy podmiot przetwarzający dane osobowe musi podjąć działania w zakresie m.in. przetwarzania danych osobowych, które będą zgodne z rozporządzeniem i sprostają jego wymogom, naruszenie wskazanych regulacji może bowiem skutkować nałożeniem dotkliwej kary finansowej.

W pierwszej kolejności zauważyć należy, iż RODO przyznaje więcej uprawnień osobie, której dane są przetwarzane, a co za tym idzie, podmiot, który te dane gromadzi i je przetwarza, ma względem takiej osoby więcej obowiązków. Zgodnie bowiem z przepisami rozporządzenia, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą oraz muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.

W dalszych przepisach rozporządzenie stanowi z kolei, że jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Obowiązek udowodnienia, iż zgoda została udzielona obciąża więc administratora, dlatego zadbać należy o właściwe udokumentowanie i potwierdzenie tego faktu.

Ponadto, jeżeli osoba, której dane dotyczą, wyraża zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Konieczne zatem stanie się opracowanie klauzul informacyjnych, z których osoba, której dane będą przetwarzane, będzie mogła uzyskać informację, np. w jakim celu jej dane będą przetwarzane oraz przez kogo.

Bardzo istotne jest, że informacja ta nie może być zakamuflowana, czy sformułowana w sposób niezrozumiały bądź niejednoznaczny, przepisy rozporządzenia jasno bowiem stanowią o obowiązku informacyjnym. Osoba, której dane dotyczą będzie mieć prawo nie tylko do uzyskania informacji czy jej dane są przetwarzane, lecz również będzie mogła żądać od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe oraz niezwłocznego usunięcia dotyczących jej danych osobowych, jeżeli np.: dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane lub osoba, której dane dotyczą, cofnęła zgodę.

Podmioty przetwarzające dane będą więc musiały wdrożyć nowe procedury i zmodyfikować swoje systemy tak, aby realizacja tych praw była możliwa.

Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora będą mieć obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które będą odpowiadać. W takim rejestrze umieszczać będzie trzeba m.in. informacje na temat celów przetwarzania danych oraz komu te dane osobowe zostały lub zostaną ujawnione. Ponadto, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – będzie mieć obowiązek jego zgłoszenia organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin konieczne będzie dołączenie wyjaśnień przyczyn opóźnienia, żeby więc uczynić zadość wskazanemu obowiązkowi, zasadne będzie stworzenie procedur dotyczących zgłaszania naruszeń. Jeżeli zaś dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania, będzie mieć obowiązek dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

W niektórych przypadkach konieczne będzie również wyznaczenie inspektora danych osobowych. Zgodnie bowiem z przepisami rozporządzenia, administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy: przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

Jako wyspecjalizowana Kancelaria Adwokacka prowadząca obsługę prawną firm oferujemy kompleksowe drożenia Rodo a także niezbędne szkolenia personelu. Zapraszamy do kontaktu już dziś

Kontakt

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *