W dniu 28 stycznia obchodzimy Dzień Ochrony Danych Osobowych. W tym dniu, 40 lat temu, została sporządzona Konwencja 108 Rady Europy w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych. Jest to najstarszy akt prawny o  zasięgu międzynarodowym, który reguluje zagadnienia związane z ochroną danych osobowych.

Spotkanie UODO

Co roku, święto to jest szczególnie obchodzone przez Urząd Ochrony Danych Osobowych (UODO). W tym roku Prezes UODO organizuje konferencję online „Realna ochrona danych w zdalnej rzeczywistości”. 

Spotkanie zostało podzielone na trzy sesje tematyczne:

  1. „Jak chronić dane osobowe w czasach pandemii”
  2. „RODO w praktyce, czyli wyzwania dla małych i średnich przedsiębiorstw”
  3. „Sektor publiczny w nowej rzeczywistości”

Pod linkiem dostępny jest szczegółowy Program konferencji DODO. Wydarzenie będzie transmitowane za pośrednictwem strony internetowej UODO: www.uodo.gov.pl.

Podczas konferencji omówione zostaną bieżące problemy i wyzwania związane z tematyką ochrony danych osobowych takich, jak zagrożenia praw i wolności obywatelskich związane z rozwojem gospodarki cyfrowej, pandemia COVID-19, powszechne stosowanie zdalnych narzędzi komunikacji w pracy czy nauczaniu.

Zmiany…

Istotne zmiany w zakresie danych osobowych weszły z dniem 1 stycznia 2021 r. w związku z tym, iż zakończył się okres przejściowy dla wystąpienia Zjednoczonego Królestwa z Unii Europejskiej. Oznacza to, że od początku 2021 r. Zjednoczone Królestwo do przetwarzania danych osobowych nie będzie stosować przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) (zwanego popularnie “RODO“).

Pomimo, iż wejście w życie RODO było gorącym tematem w 2018 r. i chyba nie ma osoby, która o RODO nie słyszałaby – zdarza się, iż przedsiębiorcy trafiający po raz pierwszy do naszej kancelarii nie mają uregulowanych kwestii przetwarzania przez nich danych osobowych klientów, kontrahentów czy podwykonawców. Przypomnijmy zatem cele wprowadzenia RODO i jakie wynikają z niego najważniejsze regulacje.

 

Krótkie przypomnienie zasad wynikających z RODO

Celem RODO jest zharmonizowanie ochrony podstawowych praw i wolności osób fizycznych w związku z czynnościami przetwarzania oraz zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi Unii Europejskiej. Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacząco wzrosła. Dzięki technologii zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Istotne jest zapewnienie osobom fizycznym kontroli nad własnymi danymi osobowymi.

  • Dane osobowe, zgodnie z art. 4 pkt 1 oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
  • Natomiast przetwarzanie danych osobowych to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Wobec tego samo posiadanie przez przedsiębiorcę danych osobowych osoby fizycznej w jego rejestrach lub bazach będzie już przetwarzaniem tych danych.

Jedną z głównych zmian wprowadzonych przez RODO jest m.in. sposób wyrażenia zgody na przetwarzanie danych.

  • Zgoda oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. W związku z tak przedstawioną definicją zgody konieczne stało się wprowadzenie obowiązku pozyskiwania różnych zgód w zależności od celu przetwarzania danych oraz wykluczenia zastosowania domyślnego zaznaczenia wyrażenia zgody.

Na jakich zasadach będzie dochodziło do przekazywania danych do Zjednoczonego Królestwa i ich przetwarzania?

W Zjednoczonym Królestwie będą obowiązywać odrębne ramy prawne dotyczące ochrony danych. Wobec tego obecnie każde przekazywanie danych osobowych między podmiotami z UE, które obowiązuje RODO a podmiotami ze Zjednoczonego Królestwa będzie stanowić przekazanie danych osobowych do państwa trzeciego.

Wobec braku wydania decyzji stwierdzającej odpowiedni stopień ochrony danych w odniesieniu do Zjednoczonego Królestwa przez Komisję Europejską, zgodnie z art. 45 RODO, przekazanie danych do Zjednoczonego Królestwa będzie wymagało odpowiednich zabezpieczeń, jak również egzekwowalnych praw oraz skutecznych środków ochrony prawnej osób, których dane dotyczą, zgodnie z art. 46 RODO.

Transfer danych poza Europejski Obszar Gospodarczy (EOG) uzależniony jest od spełnienia określonych warunków wskazanych w rozdziale V RODO.. Istnieją 3 podstawy, w oparciu o które administrator danych może przekazywać dane osobowe poza EOG:

  1. decyzja Komisji Europejskiej  (KE) (art. 45 RODO) stwierdzająca, że dane państwo zapewnia odpowiedni stopień ochrony, przekazanie danych w oparciu o taką decyzję nie wymaga specjalnego zezwolenia – która jak wspominano powyżej nie została wydana
  2. razie braku decyzji KE administrator może przekazać dane osobowe poza EOG wyłącznie, gdy dane państwo zapewni odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej (art. 46 RODO).

Zapewnienie odpowiednich zabezpieczeń możliwe jest za pomocą np. standardowych klauzul ochrony danych przyjętych przez KE na podstawie decyzji w sprawie klauzul standardowych (SCC).

  1. W przypadku braku decyzji KE (pkt 1) oraz odpowiednich zabezpieczeń (pkt 2), transfer zostać oparty jedynie o konkretne przesłanki, takie jak m.in.:
    • zgodę osoby, której dane mają być przetwarzane;
    • konieczność wykonania umowy zawartej pomiędzy podmiotem danych a administratorem;
    • zawarcie lub wykonanie umowy zawartej w interesie podmiotu danych;
    • niezbędność transferu danych ze względu na ważne interesy publiczne.

Szczegółowy katalog został określony w art. 49 RODO. Więcej o zasadach i regulacjach dotyczących przekazywania danych osobowych do państwa trzeciego możesz przeczytać w naszym wpisie o wyroku Schrems II.

________________

Jeżeli nie masz pewności czy przetwarzasz dane osobowe zgodnie z przepisami albo czy nie przekazujesz danych poza EOG bez odpowiedniej postawy do dokonywania transferu skorzystaj z e-porady dostępnej w sklepie albo skontaktuj się z nami za pomocą formularza kontaktowego.

Świętuj dzień danych osobowych codziennie przetwarzając je zgodnie z prawem, a jeśli jeszcze nie uregulowałeś/aś RODO w firmie, nie odwlekaj … możesz skorzystać z gotowego pakietu dokumentów wymaganych przez rozporządzenie RODO, gotowej umowy powierzenia przetwarzania danych osobowych lub wzoru polityki prywatności a także szablonu zgody na przetwarzanie danych osobowych z klauzulą informacyjną.

Photo by Nick Fewings on Unsplash
Udostępnij