Na administratorze danych spoczywa obowiązek kontrolowania warunków wyrażenia zgody. Administrator danych musi być w stanie wykazać, że osoba której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych (jeżeli to zgoda jest podstawą przetwarzania). Musi także być w stanie wykazać, że osoba, która wyraziła zgodę na przetwarzanie danych osobowych, była wcześniej poinformowana o prawie do cofnięcia zgody.
Dodatkowo w sytuacji, gdy administrator przetwarza w ramach usług społeczeństwa informacyjnego dane osoby poniżej 16 roku życia na podstawie zgody, zgoda ta musi być wyrażona lub zaaprobowana przez rodzica lub opiekuna prawnego. W związku z tym administrator musi wprowadzić procedurę działania, poprzez którą wykaże, że uzyskał zgodę na przetwarzanie danych dziecka przez rodziców lub opiekunów.
Warto pamiętać, że w naszym kraju granica wieku, co do wyrażenia zgody jest taka sama, jak w RODO, czyli dotyczy 16 roku życia.
Administrator danych musi podać osobie, której dane będą przetwarzane informację, która zrealizuje obwiązek informacyjny wynikający z art. 13 lub 14 RODO. Zgodnie z motywem 60 preambuły RODO:
Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych. Ponadto należy poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania. Jeżeli gromadzi się dane osobowe od osoby, której dane dotyczą, należy ją też poinformować, czy ma ona obowiązek je podać, oraz o konsekwencjach ich niepodania.
RODO w przypadku zbierania danych od osoby, której one dotyczą (art. 13 RODO), wymaga, aby administrator podał m.in.:
Zwolnienie z obowiązku informacyjnego, gdy dane zbiera się osoby bezpośrednio możliwe jest, gdy osoba, której dane dotyczą, dysponuje już wszystkimi powyższymi informacjami.
Natomiast zwolnienie z obowiązku informowania o przetwarzaniu danych, gdy zbiera się je ze źródeł trzecich (nie bezpośrednio od osoby), możliwe jest w czterech przypadkach:
Na administratorze danych będzie ciążył obowiązek poinformowania osoby, której dane dotyczą o profilowaniu oraz o jego skutkach, jak też o możliwości wniesienia sprzeciwu (motyw 60 i 70 preambuły RODO, art. 13 ust. 2 lit. f RODO, art. 14 ust. 2 lit. g RODO).
„Profilowanie” według zasad ustanowionych przez RODO:
RODO co do zasady wprowadza obowiązek prowadzenia rejestru przetwarzania. Wynika to z art. 30 RODO, przy czym istnieją pewne wyjątki dla poszczególnych grup administratorów danych. Co do zawartości takiego rejestru to można wyróżnić ich dwa typy: rejestry czynności przetwarzania, prowadzone przez administratorów danych i rejestry kategorii czynności przetwarzania, prowadzone przez podmioty przetwarzające.
W sytuacji stwierdzenia przez administratora naruszenia ochrony danych osobowych występuje obowiązek zgłoszenia tego faktu organowi nadzorczemu w terminie:
Administrator może być zwolniony z obowiązku, gdy istnieje małe prawdopodobieństwo, by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Zgłoszenie musi zawierać co najmniej (art. 33 ust. 3 RODO): charakter naruszenia, dane Inspektora Ochrony Danych, konsekwencje naruszenia, środki podjęte w celu zaradzenia naruszeniu ochrony danych.
Podmiot przetwarzający zobligowany jest również do tego, aby po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłosić ten fakt administratorowi.
Istnieją dwie przesłanki do zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony jej danych osobowych (spełnione łącznie):
W przypadku zaistnienia powyższych przesłanek administrator danych zobowiązany jest w terminie bez zbędnej zwłoki do zawiadomienia osoby, której dane dotyczą o takim naruszeniu.
Jakie warunki musi spełniać zawiadomienie?
Zwolnienie z obowiązku zawiadomienia możliwe jest w poniższych sytuacjach (art. 34 ust. 3 RODO):
W przypadku niezawiadomienia osoby, której dane dotyczą:
Administrator danych ponosi odpowiedzialność cywilnoprawną. Co warto wiedzieć o prawie do odszkodowania?
RODO przewiduje administracyjne kary pieniężne. Według przepisów kara ma być skuteczna, proporcjonalna i odstraszająca. Karę pieniężną nakłada się w zależności od okoliczności każdego indywidualnego przypadku, biorąc pod uwagę:
Wysokość kary obliczana jest na trzy różne sposoby.
Odpowiedzialność karna – art. 84 RODO
Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83 RODO, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.
Tego typu sankcje reguluje ustawa o ochronie danych osobowych.
RODO wprowadza obowiązek wyznaczenia Inspektora Ochrony Danych przez administratora danych w przypadku, gdy:
W pozostałych przypadkach wyznaczenie IOD jest fakultatywne.
RODO przewiduje, że grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych (IOD), o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Administrator oraz podmiot przetwarzający powinni zapewnić, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
IOD współpracuje z organem nadzorczym, jest również punktem kontaktowym dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych, a także dla osób skarżących – w tym sensie może pełnić swego rodzaju funkcję pośrednika i pierwszy punkt wsparcia w sprawach dotyczących ochrony danych osobowych.
Administrator danych zobowiązany jest do zbadania umów w zakresie czy dają one gwarancję wdrożenia odpowiednich środków technicznych oraz organizacyjnych, jakie wymagane są przez RODO. W związku z tym konieczne jest sprawdzenie wszystkich zawieranych umów, w szczególności umów powierzenia, pod kątem tego, czy spełniają one warunki z art. 28 RODO.
Niezbędne jest także stworzenie odpowiedniej procedury, która będzie zawiera wskazania, kiedy podmiot przetwarzający będzie można uznać za taki, który gwarantuje wdrożenie odpowiednich środków technicznych i organizacyjnych wymaganych przez RODO.
RODO przewiduje m.in. konieczność zapewnienia przez administratora danych uprawnień do przeprowadzenia audytów i/lub inspekcji u podmiotów przetwarzających.
Przesłankami do dokonania oceny skutków planowanych operacji przetwarzania danych osobowych są: prawdopodobieństwo spowodowania wysokiego ryzyka naruszenia wolności lub praw osób fizycznych oraz rodzaj przetwarzania danych osobowych, szczególnie użycie w tym celu nowych technologii.
W przypadku wystąpienia powyższych przesłanek administrator danych ma obowiązek przed rozpoczęciem przetwarzania dokonać oceny skutków planowanych operacji przetwarzania danych osobowych. Warto dodać, że jeśli został wyznaczony Inspektor Ochrony Danych, to administrator danych powinien z nim konsultować DPIA. Pewnym ułatwieniem jest to, że RODO pozwala dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem przeprowadzić pojedynczą ocenę.
Obowiązek dokonania oceny skutków planowanych operacji przetwarzania danych osobowych wystąpi w przypadku wystąpienia w szczególności:
Wyżej wskazany katalog nie jest katalogiem zamkniętym, zawsze będzie trzeba dokonać oceny, jeżeli zajdzie prawdopodobieństwo spowodowania wysokiego ryzyka naruszenia wolności lub praw osób fizycznych.
Co musi zawierać ocena
Przygotowywana ocena obligatoryjnie musi obejmować:
W razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.
Prezes Urzędu Ochrony Danych podaje do publicznej wiadomości wykaz operacji, które podlegają wymogowi dokonania DPIA.
Administrator, jak tez podmiot przetwarzający musi analizować (szacować) ryzyko, czyli możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów. Ryzyko jest mierzone w szczególności wpływem (skutkami) danego zdarzenia na prawa i wolności osoby oraz prawdopodobieństwem wystąpienia.
Wśród środków technicznych i organizacyjnych, jakie RODO wymienia znajdują się w szczególności:
dlatego warto jest brać pod uwagę podczas analizy ryzyka potencjalną możliwość braku tego typu zabezpieczeń i wpływu ich braku na ochronę praw osób, których dane przetwarzamy.
Administrator danych analizując ryzyko może tego dokonać na trzech etapach:
Warto odnieść się bezpośrednio do RODO. Jak mówi motyw 75 z preambuły: Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: