logo

W dniu 25 maja bieżącego roku w polskim prawie pojawi się wiele nowych instrumentów dotyczących przetwarzania danych osobowych. Gwarantować je będzie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Spośród wielu obowiązków obciążających administratora danych (czyli, bardziej po ludzku, przedsiębiorcę) za najważniejsze uznać należy niewątpliwie dwa: 

• obowiązek zabezpieczenia należytego przetwarzania danych osobowych oraz

• należyty wybór podmiotu, za pośrednictwem którego dane będziemy przetwarzać. 

 

Co do pierwszego z obowiązków – zabezpieczenia należytego przetwarzania danych osobowych – należy stwierdzić, że administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z prawem. Powinien także pamiętać, że ciężar wykazania, że dane przetwarzane są zgodnie z prawem, spoczywa na nim. Stąd też, w razie zagrożenia bezpieczeństwa danych, ani organ, który będzie miał go ukarać, ani osoba, której dane dotyczą, nie będą ustalać, czy dane przetwarzano z należytym zabezpieczeniem – ten obowiązek spoczywa wyłącznie na administratorze. 

 

Jakie działania powinien podjąć administrator w celu wypełnienia tego obowiązku? Administrator powinien rozważyć przede wszystkich przyjęcie określonych „polityk ochrony danych osobowych”, czyli dokumentu, w którym określa zasady, którymi rządzi się przetwarzanie danych w jego firmie.  

 

Pewną formą zabezpieczenia się przez administratora jest niewątpliwie także powołanie w firmie specjalisty z zakresu RODO – inspektora ochrony danych osobowych. Pamiętajmy, że powinien on być niezwłocznie wprowadzony we wszelkie sprawy dotyczące ochrony danych osobowych w naszej firmie i nie jest związany naszymi instrukcjami i nie może być karany za wypełnianie swoich zadań. 

 

Inspektor ochrony danych osobowych może być jednym z pracowników, któremu dodatkowo, przy okazji, przydziela się nowe zadania. Należy jednak pamiętać, że nie może to być pracownik z tzw. „łapanki”, ale ktoś, kto rzeczywiście zgłębił zagadnienia ochrony danych osobowych. Może być to także osoba spoza naszej firmy, dysponująca odpowiednią wiedzą z zakresu przepisów o ochronie danych osobowych. 

 

Ważnymi sposobami zabezpieczenia ochrony danych osobowych są: pseudonimizacja danych, ich szyfrowanie, zapewnienie ich poufności, czy regularne sprawdzanie, czy dane są bezpieczne. Przy czym RODO nie tworzy zamkniętego katalogu środków, które należy przedsiębrać w tym zakresie. Dobór środków zależy od celów przetwarzania, ryzyka naruszenia praw osób, których dane są przetwarzane, a przede wszystkim – kosztów wdrażania określonych środków ochrony. 

 

RODO umożliwia także powierzenie przetwarzania danych osobowych firmie zewnętrznej. Firma taka nazywana jest przez rozporządzenie podmiotem przetwarzającym. W tym przypadku odpowiedzialność za zgodność z prawem i rzetelność przetwarzania danych będzie spoczywać przede wszystkim na tym  ostatnim podmiocie. Jeżeli decydujemy się na takie rozwiązanie, należy koniecznie pamiętać o spisaniu umowy dotyczącej powierzenia przetwarzania danych. Jasno wskaże ona bowiem zakres obowiązków podmiotu przetwarzającego, oferowane przez niego gwarancje wdrożenia odpowiednich środków technicznych itd. Rozwiązanie to dotyczyć będzie jednak nie drobnych przedsiębiorców, ale większych firm, w których baza klientów bądź też osób, do których mają być kierowane oferty, jest ogromna. 

 

Jeżeli są Państwo zainteresowani uzyskaniem większej liczby informacji na temat praw i obowiązków wynikających z RODO, zapraszamy do kontaktu pod adresem mailowym kancelaria@andrzejpaduch.pl lub pod numerem telefonu 668180871 (telefon jest czynny w godzinach otwarcia kancelarii tj. od poniedziałku do czwartku w godzinach od 7 do 17 oraz w piątek w godzinach od 9 do 15).