Dane osobowe po nowemu (10), czyli obowiązki zgłoszeniowe po wejściu w życie RODO

Konieczność rejestracji zbiorów danych osobowych stanowiła dotychczas najbardziej uciążliwy obowiązek związany z ochroną danych osobowych. Nawet Generalny Inspektor Ochrony Danych Osobowych wyrażał wątpliwości co do sensu rejestrowania zbiorów danych i nazywał go nadmierną biurokracją. RODO we właściwy sposób przywiązuje wagę już nie do samych zbiorów danych osobowych, ale do procesów zbierania danych, ich przetwarzania oraz przekazywania innym podmiotom.  Przerzuca więc ciężar ochrony danych na procesy dynamiczne i tam doszukuje się największych niebezpieczeństw dla ochrony danych.

Data breach notification

Notyfikacja naruszeń w ochronie danych osobowych będzie nowym obowiązkiem każdego administratora danych. Zgodnie z przepisami RODO, w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki, ale najpóźniej w ciągu 72 godzin od stwierdzenia naruszenia, notyfikuje organowi nadzorczemu (GIODO) fakt naruszenia. Nie trzeba jednak będzie zgłaszać każdego incydentu, a jedynie takie, których efektem jest naruszenie bezpieczeństwa danych.

Zgłoszenie naruszenia w swojej treści będzie musiało zawierać określone informacje, tj.:

• opis charakteru naruszenia, w tym – o ile jest to możliwe – wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą,
• imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (o tej funkcji pisaliśmy tutaj),
• opis możliwych konsekwencji naruszenia ochrony danych osobowych,
• opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu oraz minimalizowaniu negatywnych jego skutków.

RODO przewiduje także, iż w przypadku gdy dane naruszenie skutkuje niewielkim prawdopodobieństwem zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych, nie ma potrzeby jego zgłaszania.

Impact assessment

Tzw. ocena skutków czy inaczej ocena wpływu to nowa procedura, która polega na dokonaniu przez administratora kompleksowej oceny jego zamierzenia (przedsięwzięcia) pod kątem ochrony danych osobowych oraz obowiązków wynikających z RODO. Co istotne, również w przypadku zmiany procedur w przedsiębiorstwie może okazać się konieczne ponowne przeprowadzenie oceny wpływu.

Do niezbędnych elementów takiej oceny należą:

• systematyczny opis planowanych operacji przetwarzania i celów tego przetwarzanie, w tym opis prawnie uzasadnionych interesów administratora w przetwarzaniu danych osobowych,
• ocena czy operacje przetwarzania są niezbędne oraz proporcjonalne do celów ich przetwarzania,
• ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
• opis środków planowanych w celu zaradzenia ryzyku, w tym mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO.

Wnioski wynikające oceny skutków należy stosować w praktyce, bowiem podjęcie konkretnych działań określonych w wynikach oceny pomoże wykazać, że przedsiębiorca działa zgodnie z przepisami RODO.

Prior consultation

W przypadku gdy w ocenie wpływu poziom ryzyka naruszenia praw lub wolności osób, których dotyczą przetwarzane dane, oceniono jako wysoki, konieczne jest przeprowadzenie procedury tzw. uprzednich konsultacji z organem nadzorczym (GIODO). Procedura ta polega na przekazaniu co najmniej następujących informacji:

• określeniu obowiązków administratora, współadministratorów oraz podmiotów przetwarzających, w szczególności w ramach grup kapitałowych,
• wskazaniu celów i sposobów zamierzonego przetwarzania danych osobowych,
• określeniu jakie środki i zabezpieczenia zostaną zastosowane w celu ochrony praw i wolności osób, których dane dotyczą,
• podaniu danych kontaktowych inspektora ochrony danych;
• ocenę skutków dla ochrony danych (impact assessment).

Ponadto organ nadzorczy może zwracać się o udzielenie każdej innej informacji dotyczącej ochrony danych osobowych. Efektem takich konsultacji będzie udzielenie przez GIODO pisemnych wytycznych w zakresie ochrony danych osobowych, dzięki czemu GIODO stanie się także w pewnym sensie doradcą biznesu co do ochrony danych osobowych.  Wypełnianie wytycznych GIODO będzie bowiem chroniło przedsiębiorcę przed karami pieniężnymi za naruszenie obowiązków wynikających z RODO.

Photo by Mario Alberto Magallanes Trejo