Dlaczego tak się stało?
Wejście w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w skrócie: RODO) spowodowało konieczność wprowadzenia zmian w sposobie przetwarzania danych osobowych.
Przedsiębiorcy nie chcą się zgodzić z tym, że całkowita kompatybilność procesu przetwarzania danych z postanowieniami rozporządzenia wymaga przeprowadzenia żmudnego procesu analizy gromadzonych danych, podstawy prawnej czynności przetwarzania oraz obowiązków wynikających z unijnych przepisów.
Wdrażając rozwiązania dotyczące ochrony danych osobowych podkreślam, że pierwszym krokiem jest weryfikacja rodzaju danych osobowych, które podlegają przetwarzaniu oraz uzyskanie szczegółowych informacji o tym skąd te dane pochodzą.
Pochodzenie danych staje się istotne w kontekście obowiązków informacyjnych przewidzianych w art. 13 i 14 RODO ze względu na różnice wynikające ze źródła pochodzenia danych – czy zostały zebrane od osoby, której dotyczą czy też w odmienny sposób.
W dalszej kolejności niezbędne jest ustalenie celu przetwarzania dane osobowe. Każda firma ma inny, zindywidualizowany cel ukształtowany przez prowadzoną działalność. Niezrozumienie tej zależności potrafi unieważnić cały proces wdrażania RODO.
Następną istotną kwestią jest przetwarzanie danych w sposób zgodny z zasadami przewidzianymi w dyrektywie. Dane osobowe winny być przetwarzane zgodnie z prawem, w sposób rzetelny i przejrzysty dla osoby, której dotyczą. Dodatkowo dane musza być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz dla tych celów adekwatne i niezbędne.
Na gruncie RODO to do obowiązków administratora/podmiotu przetwarzającego należy przyjęcie odpowiednich rozwiązań, które zapewnią pełną realizację zasad oraz całkowite bezpieczeństwo w zakresie obrotu danymi.
Poza zapewnieniem przestrzegania zasad, wskazanych szczegółowo w treści art. 5 RODO, należy zadbać o to aby dane osobowy były po odpowiednim czasie usunięte ze zbiorów podmiotu, który dokonuje przetwarzania. Czas przetwarzania może wynikać z odpowiednich przepisów regulujących stosunek podstawowy (np. termin przedawnienia roszczeń) lub też z treści zgody udzielonej przez osobę, której dane dotyczą.
Na gruncie zmian przewidzianych przez dyrektywę konieczne jest istnienie wyraźnej podstawy przetwarzania danych osobowych. W zakresie działalności prowadzonej przez podmioty gospodarcze dane osobowe mogą być przetwarzane m.in. na podstawie umowy, której stroną jest osoba, której dane dotyczą, dla wypełnienia obowiązku prawnego ciążącego na administratorze czy też na podstawie zgody osoby, której dane dotyczą.
Jak wynika z art. 6 ust. 1 RODO – brak podstawy prawnej przetwarzania danych powoduje, że przetwarzanie jest niezgodne z prawem. Błędem jest wskazywanie zgody jako podstawy prawnej przetwarzania danych osobowych. Jest to najczęściej wybierana podstawa, chociaż pozyskanie zgody może powodowa niedogodności. Warto więc poszukiwać innych podstaw.
Podsumowanie: 5 miesięcy obowiązywania Dyrektywy
Pierwsze 5 miesięcy pokazały niezrozumienie tych podstawowych zasad. Zauważyłam, że podmioty, aby uniknąć roszczeń i kar przewidzianych w RODO decydują na wręcz radykalne ograniczenie przetwarzania danych osobowych. Dzieje się tak pomimo konkretyzacji obowiązków wynikających z ogólnego rozporządzenia o ochronie danych pozwalających na odpowiednie i zgodne z prawem przetwarzanie danych osobowych w działalności podmiotów gospodarczych.
Autor: Katarzyna Lebiedowicz – Grzanka – radca prawny, właściciel KLG Kancelarii, zajmującej się obsługą prawną firm i dbającej o bezpieczeństwo prawne biznesu. Specjalista z zakresu prawa autorskiego. www.klgkancelaria.pl
