RODO wymaga nie tylko procedur, regulaminów, umów i zabezpieczeń informatycznych. Menedżerowi i kierownicy administracyjni powinni być świadomi zmian, jakie powinni wprowadzić w wyposażeniu biur, gabinetów, budynków użyteczności publicznej. Wyjaśniamy, dlaczego powinni o to zadbać.

Podstawa prawna

Rozporządzenie RODO nie wymienia bezpośrednio środków zabezpieczeń, jakie musi zastosować organizator biura. Czy w takim razie są one wymagane? Odpowiedź na to pytanie jest oczywiście twierdząca. Przyjrzyjmy się artykułowi 24 rozporządzenia, w którym są opisane Obowiązki administratora.

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki  te są w razie potrzeby poddawane przeglądom i uaktualniane.

Przytoczony fragment ma zwrócić uwagę, iż ustawodawca wskazuje na obowiązek zastosowania odpowiednich środków technicznych, które pozwolą na realizację ochrony danych osobowych. Całość rozporządzenia można znaleźć na stronie Urzędu Ochrony Danych Osobowych.

Czy warto przejmować się RODO?

W ciągu pierwszych 3 tygodni obowiązywania przepisów RODO do Urzędu Ochrony Danych Osobowych wpłynęło ok. 500 skarg i ok. 150 zgłoszeń naruszeń bezpieczeństwa procesu przetwarzania danych. W swojej wypowiedzi dla serwisu lex.pl z dnia 15.06.2018 Paulina Dawidczyk, Dyrektor Zespołu ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa UODO informuje, że dokładnych statystyk skarg nie sposób określić po tak krótkim czasie, gdyż ich zasadność jest sprawdzana pod kątem formalnym.
Liczba zgłoszeń, które wpłynęły do UODO, rozwiewa wszelkie wątpliwości co do tego, czy warto bagatelizować wdrożenie RODO w firmie.

Kary za naruszenia w ochronie danych osobowych

Kary związane z naruszeniami RODO określone są w Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych. Artykuł 107 tego dokumentu brzmi:

1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

 

Warto zwrócić szczególną uwagę na wyższy wymiar kary, który będzie dotyczyć zaniedbań w postępowaniu z danymi osobowymi wrażliwymi (sensytywnymi). Na menedżerach gabinetów lekarskich, przychodni, klinik mogą ciążyć większe sankcje ze względu na profil przetwarzanych danych, niż ich odpowiedników pracujących w branży motoryzacyjnej, spożywczej.

Kluczowe pojęcia – dane osobowe zwykłe vs dane osobowe wrażliwe

Rozporządzenie o ochronie danych osobowych nie określa ścisłego podziału na dane osobowe zwykłe i wrażliwe. Definiuje jedynie samo pojęcie danych osobowych. 

"dane osobowe" oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Jednocześnie w artykule 9 wskazuje się na szczególne kategorie danych osobowych, które w przeciwieństwie do informacji mogących być zaklasyfikowane jako zwykłe są niejawne, ich właściciele nie podają ich i nie wykorzystują tak często, jak np. numer PESEL.

Co rozumiemy przez pojęcie "przetwarzanie danych"

Potoczne użycie słowa "przetwarzanie" niestety tylko w minimalnym zakresie odnosi się do jego wykorzystania w rozporządzeniu RODO. Przeciętnemu Kowalskiemu wydaje się, że by przetwarzać dane, trzeba je zbierać, modyfikować, a następnie wykorzystywać w działaniach marketingowych. RODO jasno wymienia wszelkie działania, jakie podlegają analizie ochrony danych regulowanych przez rozporządzenie. Warto zwrócić uwagę, że znajdziemy tam takie czynności jak przeglądanie, przechowywanie.
Pełna definicja „przetwarzania” wygląda następująco:

"przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie

Zachęcamy do zapoznania się z konkretnymi zmianami w wyposażeniu biur związanych z wprowadzeniem RODO, które opisaliśmy w drugiej części tego artykułu: RODO w biurze, gabinecie, instytucji publicznej – cz. 2 – Jak technicznie realizować wymogi ustawy o ochronie danych osobowych?

 

 

 

źródła:

www.uodo.gov.pl
serwis www.lex.pl

DARLOG Sp. z o.o. Sp. k.
ul. Pokrzywno 16A
61-315 Poznań

Kontakt z nami