Na administratorze danych spoczywa obowiązek kontrolowania warunków wyrażenia zgody. Administrator danych musi być w stanie wykazać, że osoba której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych. Musi także być w stanie wykazać, że osoba, która wyraziła zgodę na przetwarzanie danych osobowych, była wcześniej poinformowana o prawie do cofnięcia zgody.
Dodatkowo w sytuacji, gdy administrator danych przetwarza w ramach usług społeczeństwa informacyjnego dane osoby poniżej 16 roku życia na podstawie zgody, zgoda ta musi być wyrażona lub zaaprobowana przez rodzica lub opiekuna prawnego. W związku z tym administrator musi wprowadzić procedurę działania, poprzez którą wykaże, że uzyskał zgodę na przetwarzanie danych dziecka przez rodziców lub opiekunów.
Warto pamiętać, że w naszym kraju granica wieku, co do wyrażenia zgody jest taka sama, jak w RODO, czyli dotyczy 16 roku życia.
Administrator danych musi podać osobie, której dane będą przetwarzane informację, która zrealizuje obwiązek informacyjny wynikający z art. 13 i 14 RODO. Został on znacznie rozbudowany w stosunku do tego, który należało stosować na gruncie obecnie obowiązujących przepisów. Zgodnie z motywem 60 preambuły RODO:
Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych. Ponadto należy poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania. Jeżeli gromadzi się dane osobowe od osoby, której dane dotyczą, należy ją też poinformować, czy ma ona obowiązek je podać, oraz o konsekwencjach ich niepodania.
RODO w przypadku zbierania danych od osoby, której one dotyczą (art. 13 RODO), wymaga, aby administrator podał m.in.:
Zwolnienie z obowiązku informacyjnego możliwe jest w trzech przypadkach:
Na administratorze danych będzie ciążył obowiązek poinformowania osoby, której dane dotyczą o profilowaniu oraz o jego skutkach, jak też o możliwości wniesienia sprzeciwu (motyw 60 i 70 preambuły RODO, art. 13 ust. 2 litera F, art. 14 ust. 2 litera G RODO).
„Profilowanie” według zasad ustanowionych przez RODO:
RODO co do zasady wprowadza obowiązek prowadzenia rejestru przetwarzania. Wynika to z art. 30., przy czym istnieją pewne wyjątki dla poszczególnych grup administratorów danych. Co do zawartości takiego rejestru to można wyróżnić ich dwa typy: rejestry czynności przetwarzania, prowadzone przez administratorów danych i rejestry kategorii czynności przetwarzania, prowadzone przez podmioty przetwarzające.
W sytuacji stwierdzenia przez administratora naruszenia ochrony danych osobowych występuje obowiązek zgłoszenia tego faktu organowi nadzorczemu w terminie:
Administrator może być zwolniony z obowiązku, gdy istnieje małe prawdopodobieństwo, by naruszenie ochrony danych osobowych skutkowało ryzkiem naruszenia praw lub wolności osób fizycznych.
Zgłoszenie musi zawierać (art. 33 ust. 3 RODO): charakter naruszenia, dane Inspektora Ochrony Danych, konsekwencje naruszenia, środki podjęte w celu zaradzenia naruszeniu ochrony danych.
Podmiot przetwarzający zobligowany jest również do tego, aby po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłosić ten fakt administratorowi.
Istnieją dwie przesłanki do zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony jej danych osobowych:
W przypadku zaistnienia powyższych przesłanek administrator danych zobowiązany jest w terminie bez zbędnej zwłoki do zawiadomienia osoby której dane dotyczą o takim naruszeniu.
Jakie warunki musi spełniać zawiadomienie:
Zwolnienie z obowiązku zawiadomienia możliwe jest w poniższych sytuacjach (art. 34 ust. 3 RODO):
W przypadku niezawiadomienia osoby, której dane dotyczą:
Administrator danych ponosi odpowiedzialność cywilną. Co warto wiedzieć o prawie do odszkodowania.
RODO wprowadza administracyjne kary pieniężne. Według nowych przepisów kara ma być skuteczna, proporcjonalna i odstraszająca. Karę pieniężną nakłada się w zależności od okoliczności każdego indywidualnego przypadku, biorąc pod uwagę:
Wysokość kary obliczana jest na trzy różne sposoby.
Odpowiedzialność karna – art. 84 RODO
Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.
Tego typu sankcje zostaną wprowadzone do porządku prawnego poprzez nową ustawę o ochronie danych osobowych.
RODO wprowadza obowiązek wyznaczenia Inspektora Ochrony Danych przez administratora danych w przypadku, gdy:
W pozostałych przypadkach wyznaczenie IOD jest fakultatywne.
Nowością obecną w RODO jest to, że grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych (IOD), o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Administrator oraz podmiot przetwarzający powinni zapewnić, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
Jako nowe uprawnienia/zadania IOD można wskazać, że współpracuje z organem nadzorczym, jest również punktem kontaktowym dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych, a także dla osób skarżących – w tym sensie pełnić będzie swego rodzaju funkcję biura obsługi klienta.
Administrator danych zobowiązany będzie do zbadania umów powierzenia w zakresie czy dają one gwarancję wdrożenia odpowiednich środków technicznych oraz organizacyjnych, jakie wymagane są przez RODO. W związku z tym konieczne będzie prześwietlenie powyższych umów pod tym kątem i odpowiednie ich zmienianie, lub aneksowanie.
Wydaje się również, że niezbędne będzie stworzenie odpowiedniej procedury, która będzie zawierała wskazania, kiedy podmiot przetwarzający będzie można uznać za taki, który gwarantuje wdrożenie odpowiednich środków technicznych i organizacyjnych wymaganych przez RODO.
Nowe przepisy przewidują również konieczność zapewnienia sobie przez administratora danych uprawnień do przeprowadzenia audytów i/lub inspekcji u podmiotów przetwarzających.
Przesłankami do dokonania oceny skutków planowanych operacji przetwarzania danych osobowych są prawdopodobieństwo spowodowania wysokiego ryzyka naruszenia wolności lub praw osób fizycznych oraz rodzaj przetwarzania danych osobowych, szczególnie użycie w tym celu nowych technologii.
W przypadku wystąpienia powyższych przesłanek administrator danych ma obowiązek przed rozpoczęciem przetwarzania dokonać oceny skutków planowanych operacji przetwarzania danych osobowych. Warto dodać, że jeśli został wyznaczony Inspektor Ochrony Danych, to administrator danych powinien się z nim konsultować DPIA. Pewnym ułatwieniem jest to, że RODO pozwala dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem przeprowadzić pojedynczą ocenę.
Z kolei obowiązek dokonania oceny skutków planowanych operacji przetwarzania danych osobowych wystąpi w przypadku wystąpienia jednej z poniższych sytuacji:
Wyżej wskazany katalog nie jest katalogiem zamkniętym, zawsze będzie trzeba dokonać oceny, jeżeli zajdzie prawdopodobieństwo spowodowania wysokiego ryzyka naruszenia wolności lub praw osób fizycznych;
Co musi zawierać ocena
Przygotowywana ocena obligatoryjnie musi obejmować:
W razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.
Administrator danych będzie musiał analizować (szacować) ryzyko, czyli możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów. Ryzyko jest mierzone wpływem (skutkami) i prawdopodobieństwem wystąpienia.
Wśród środków technicznych i organizacyjnych RODO wymienia w szczególności:
Administrator danych analizując ryzyko będzie dokonywał tego na trzech etapach:
Warto odnieść się bezpośrednio do RODO. Jak mówi motyw 75 z preambuły: Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: