Główny obowiązek ADO

GDPR opiera się na zupełnie nowym modelu ochrony danych osobowych. Podmiotem odpowiedzialnym za przetwarzanie danych jest administrator i to on deleguje obowiązku inspektorom ochrony danych oraz swoim pracownikom. Na administratorze ciąży odpowiedzialność prawna za wywiązanie się ze swoich obowiązków w związku z przetwarzaniem danych osobowych przez niego samego lub w jego imieniu.

Podstawowym obowiązkiem administratora jest dbanie o to aby przetwarzanie odbywało się zgodnie z rozporządzeniem GDPR i aby móc to wykazać.

W tym celu, ma on wdrażać odpowiednie i skuteczne środki techniczne i organizacyjne:

1) mają one zapewniać najwyższy znany i możliwy w chwili przetwarzania danych, poziom ochrony;

2) nie może być to czynność jednorazowa, środki te są w razie potrzeby poddawane przeglądom i uaktualniane;

3) dokonuje on tego, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia;

4) jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki te, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Rozporządzenie GDPR nie definiuje precyzyjnie czym jest charakter danych osobowych. Przepisy rozporządzenia w motywach wskazują jedynie, że charakter może być systematyczny lub niesystematyczny, oraz że dane mogą mieć charakter danych szczególnych i zwykłych.

Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń:

1) może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, jeżeli przetwarzanie:

a) dotyczy danych wielkoskalowych (dużej ilości danych osobowych); i

b) wpływa na dużą liczbę osób, których dane dotyczą),

w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa; jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych; lub jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci; jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą,

2) należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.

Rozporządzenie wskazuje również jakie kryteria należy wziąć szczególności pod uwagę, przy ocenie czy administrator wywiązał się ze swoich obowiązków. Stosowanie zatwierdzonych kodeksów postępowania, lub zatwierdzonego mechanizmu certyfikacji, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków. Są one przydatne, w szczególności jeżeli chodzi o identyfikowanie ryzyka związanego z przetwarzaniem, o jego ocenę pod kątem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia oraz o najlepsze praktyki pozwalające zminimalizować to ryzyko.

Pozostałe, wynikające z rozporządzenia GDPR obowiązki ADO

Ponadto, trzeba pokrótce wspomnieć o, omówionych przy okazji obowiązku informacyjnego i praw osoby, której dane dotyczą, obowiązkach ADO.

Odnośnie obowiązku informacyjnego, administrator danych:

1) prowadzi komunikację z podmiotem danych i przekazuje mu informacje w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępny,

2) ułatwia podmiotom danych wykonywanie ich praw,

3) nieodpłatnie udziela podmiotom danych informacji, również na ich żądanie, czas na udzielenie informacji przez ADO to maksymalnie miesiąc,

4) weryfikuje tożsamość osób wnoszących żądania udzielenia informacji.

Odnośnie praw osoby, której dane dotyczą:

1) potwierdza czy przetwarzane są dane osobowe dotyczące danej osoby fizycznej, a jeżeli ma to miejsce, udziela wskazanych rozporządzeniem informacji;

2) ułatwia osobie, której dane dotyczą wykonywanie jej praw z art. 15–22;

3) informuje osobę, której dane dotyczą, o działaniach jakie podjął, w związku z jej żądaniami opartymi o art. 15-22;

4) uzasadnienia odrzucenie żądania osoby, której dane dotyczą i poucza ją o prawie skargi;

5) umożliwia dostęp do jej danych osobie, której one dotyczą;

6) dokonuje sprostowania i uzupełniane danych;

7) usuwa dane;

8) ogranicza przetwarzanie danych;

9) powiadamia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu ich przetwarzania;

10) dokonuje przenoszenia danych.

Porównanie przepisów UODO/GDPR

Uodo

GDPR

Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

3. (uchylony)

Artykuł 24 Obowiązki administratora

1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

 

Related Post