"Rok do RODO" – poznaj wskazówki GIODO w sprawie wdrażania unijnego rozporządzenia o ochronie danych

Cykl „Rok do RODO – sprawdzian gotowości” przygotowany przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) składa się łącznie z 17 krótkich artykułów, w których omówione są najważniejsze zmiany wprowadzane przez rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych lub rodo). We wskazówkach tych Generalny Inspektor Ochrony Danych Osobowych rekomenduje również konkretne kroki, które należy przedsięwziąć przed rozpoczęciem stosowania ogólnego rozporządzenia o ochronie danych.
Dwa pierwsze artykuły z cyklu „Rok do RODO” odnoszą się ogólnych kwestii związanych ze stosowaniem stosowania ogólnego rozporządzenia o ochronie danych, a kolejne piętnaście artykułów dotyczy szczegółowych obowiązków wynikających ze stosowania ogólnego rozporządzenia o ochronie danych, takich jak: 
  • obowiązek informacyjny, 
  • ocena skutków dla ochrony danych, 
  • automatyczne przetwarzanie danych oparte na profilowaniu, 
  • naruszenia ochrony danych,
  • powierzenia przetwarzania,
  • zakres przetwarzanych informacji,
  • uprawnienia osób, których dane dotyczą,
  • zgoda na przetwarzanie danych osobowych,
  • zabezpieczenia danych osobowych,
  • dokumentacja przetwarzania danych,
  • zasady privacy by design i privacy by default,
  • dane osobowe dzieci,
  • inspektor ochrony danych,
  • transgraniczne przetwarzanie danych,
  • podnoszenie wiedzy na temat rodo.

Powierzenie danych osobowych

„Administratorzy danych coraz częściej decydują się na powierzanie przetwarzania danych osobowych innym podmiotom, które w ich imieniu wykonują część operacji na danych. […]
Ważne jest, by podpisując umowę powierzenia, nie stracić kontroli nad danymi osobowymi, czyli nie dopuścić do sytuacji, w której powierzone dane będą wykorzystywane w innym celu niż ten określony przez samego administratora. Pamiętaj więc, aby powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać wyłącznie z usług podmiotów przetwarzających posiadających odpowiednią wiedzę fachową, wiarygodność i zasoby. W szczególności, jeżeli chodzi o gwarancje wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom ogólnego rozporządzenia o ochronie danych osobowych, w tym wymogom bezpieczeństwa przetwarzania. Mogą to być na przykład podmioty, które posiadać będą odpowiednie certyfikaty wydane na podstawie rozporządzenia.
 
Powierzenie danych powinno być regulowane umową lub innym instrumentem prawnym, określającym przedmiot i czas trwania przetwarzania, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie osób, których dane dotyczą. Ta umowa lub inny instrument prawny powinny również uwzględniać konkretne zadania i obowiązki podmiotu przetwarzającego w kontekście planowanego przetwarzania oraz ryzyko naruszenia praw lub wolności osoby, której dane dotyczą”.

KOMENTARZ

Warto już teraz rozpocząć proces dostosowywania do wymogów ogólnego rozporządzenia o ochronie danych tych umów powierzenia przetwarzania danych osobowych, które mają obowiązywać także po 25 maja 2018 r. Oznacza to nałożenie na podmioty przetwarzające nowych obowiązków wynikających z ogólnego rozporządzenia o ochronie danych, np. wdrażanie odpowiednich środków zabezpieczających dane lub możliwość podpowierzania przetwarzania danych osobowych tylko po uzyskaniu pisemnej zgody administratora.
W zależności od charakteru przetwarzania możliwe jest też nałożenie na procesora obowiązków związanych ze spełnianiem obowiązku informacyjnego (np. gdy to głównie procesor ma kontakt z osobą, której dane dotyczą) lub z odpowiadaniem na żądania osób, których dane dotyczą. Bardzo istotne jest też ustalenie kryteriów wyboru podmiotu przetwarzającego – administrator może powierzać przetwarzanie danych osobowych tylko takim podmiotom, które zapewniają wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie było zgodne z ogólnym rozporządzeniem o ochronie danych.
Praktyczne komentarze do wszystkich wskazówek GIODO przeczytasz w wydaniu specjalnym "Ochrony danych osobowych".


Katarzyna Syska, adwokat, prawnik w Kancelarii Prawnej Traple, Konarski, Podrecki i Wspólnicy

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji »
W jaki sposób zawiadomić o wyznaczeniu IOD

W jaki sposób zawiadomić o wyznaczeniu IOD »
Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie?

Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie? »
Array ( [docId] => 49947 )

Array ( [docId] => 49947 )
Array ( [docId] => 49947 )