News

Wraz z wejściem w życie rozporządzenia unijnego dotyczącego ochrony danych osobowych, osoby fizyczne nabędą nowe, poetycko brzmiące „prawo do bycia zapomnianym”. Prawo usunięcia danych pozwala osobie, której dane dotyczą, wystąpić do administratora danych z żądaniem bezzwłocznego usunięcia jej danych osobowych, do czego administrator zostaje w świetle przepisów zobowiązany.

Prawo do bycia zapomnianym jest ważnym narzędziem. Pozwala chronić kwestie prywatności i ograniczyć dostęp do treści np. publikowanych w Internecie, które będąc nieaktualne lub nieprawdziwe, naruszają sferę życia prywatnego. Zgodnie z wyrokiem TSUE z 2014r., niedopuszczalne jest uzyskiwanie „ustrukturyzowanego przeglądu dotyczących osoby informacji” po wpisaniu w okno przeglądarki zaledwie jej imienia i nazwiska. Co za tym idzie, prawo do usunięcia danych mocno ogranicza kwestię niewłaściwego przetwarzania danych osobowych, dając możliwość ograniczenia tej czynności, przez interwencję samych osób zainteresowanych, umocowanych prawem do bycia zapomnianym.

Jakie przypadki obligują administratora do usunięcia danych osobowych?
Są to sytuacje gdy m.in.:

• dane osobowe nie są już administratorowi niezbędne;
• były one przetwarzane niezgodnie z prawem;
• osoba, której dane dotyczą cofnęła zgodę na ich przetwarzanie lub wniosła sprzeciw do ich dalszego przetwarzania.   

Administrator danych, po otrzymaniu żądania opartego na prawie do bycia zapomnianym nie tylko usuwa administrowane przez siebie dane, ale także ma obowiązek poinformować innych administratorów danych, którym dane udostępnił lub przekazał, o konieczności ich usunięcia. Może się tak zdarzyć np. w sytuacji, gdy dane zostały zamieszczone na stronie internetowej, lub w inny sposób upublicznione, a następnie doszło do ich powtórnego wykorzystania.

Prawo do usunięcia danych obejmuje wszystkie osoby, które przekazały swoje dane osobowe, ale także te osoby, których dane zostały pozyskane przez administratora w inny sposób, niż bezpośrednio od podmiotów danych.

Ocena skutków przetwarzania stanowi nowe podejście do procesu przetwarzania danych osobowych. Dotychczasowe podejście oparte było o checklistę, na podstawie której dokonywano oceny, czy dany administrator danych spełnia wymogi prawne, czy też nie. W ujęciu RODO jest to podejście oparte na analizie ryzyka. Administratorzy danych już na etapie projektowania procesu przetwarzania danych będą musieli dokonać analizy danego procesu w celu określenia wszystkich zagrożeń, ryzyk z nim związanych i zastosowania adekwatnych zabezpieczeń organizacyjnych, fizycznych i technicznych.

DPIA jest narzędziem, które ma pomóc administratorowi danych w zapewnieniu zgodności przetwarzania z rozporządzeniem oraz stanowi podstawę do zapewnienia rozliczalności. Przeprowadzenie tego procesu będzie wymagało zaangażowania zarówno ze strony Zarządu,
jak i DPO oraz ekspertów zewnętrznych.

Ocenę skutków dla ochrony danych należy przeprowadzić wówczas kiedy:

• istnieje duże prawdopodobieństwo wysokiego ryzyka dla praw lub wolności osób fizycznych (art. 35 ust. 1 RODO),
• gdy operacja przetwarzania znajduje się w wykazie operacji objętych obowiązkiem DPIA, prowadzonym przez organ nadzorczy (art. 35 ust. 4 RODO),
• w przypadkach wskazanych w RODO (art. 35 ust. 3).

Przeprowadzenie takiej oceny nie jest obowiązkowe, jeśli:

• nie istnieje duże prawdopodobieństwo wysokiego ryzyka dla praw lub wolności osób fizycznych,
• gdy operacja przetwarzania znajduje się w wykazie operacji niepodlegających DPIA (art. 35 ust. 5 RODO),
• gdy przetwarzanie ma podstawę prawną w prawie UE lub państwa członkowskiego,
• gdy charakter, kontekst i cele przetwarzania są bardzo podobne do przetwarzania, dla którego została dokonana ocena skutków przetwarzania (DPIA).

Obowiązek dokonania DPIA dotyczy operacji przetwarzania rozpoczętych po 25 maja 2018 r., ale również dla procesów przetwarzania, które rozpoczęły się przed tą datą i mają swój ciąg dalszy po tym terminie. Natomiast dla operacji przetwarzania, które zakończyły się przed
25 maja 2018 r. nie stosujemy DPIA.

Za przeprowadzenie DPIA odpowiedzialny jest administrator danych. Może konsultować się z inspektorem ochrony danych osobowych, jeśli takowy został wyznaczony. Taka konsultacja, jak i decyzja podjęta na jej podstawie, powinny zostać odnotowane w DPIA. W przypadku kiedy przetwarzanie całkowicie lub częściowo dokonywane jest przez podmiot przetwarzający, wówczas podmiot ten powinien uczestniczyć w ocenie skutków dla ochrony danych.

RODO określa jaki powinien być minimalny zakres DPIA:

• opis planowanych operacji przetwarzania;
• opis celów przetwarzania;
• ocena niezbędności i proporcjonalności operacji;
• ocena ryzyka naruszenia praw lub wolności podmiotów danych;
• działania do podjęcia w celu minimalizacji ryzyk.

Wyniki przeprowadzonej oceny muszą być konsultowane z organem nadzorczym kiedy ryzyko szczątkowe jest nadal wysokie, mimo zastosowanych środków lub gdy prawo państwa członkowskiego wymaga, aby administratorzy konsultowali się z organem nadzorczym.

W kręgu zainteresowań  Generalnego Inspektora Ochrony Danych Osobowych oraz Ministerstwa Edukacji Narodowej znalazła się kwestia zasad prowadzenia monitoringu na terenie szkół. Temat ten jest szczególnie nośny ze względu na brak szczegółowych uregulowań dot. prowadzenia monitoringu na poziomie ustawowym oraz zbliżającym się wejście w życie RODO, które kładzie duży nacisk na kwestie prywatności a także wykonywanie obowiązku informacyjnego wobec podmiotu danych.

Wydaje się, że użytecznym będzie przedstawienie zaleceń GIODO w formie instrukcyjnej, ułatwiającej ich wprowadzenie w życie przez administratorów danych osobowych w szkołach.

Administratorem  Danych przetwarzanych w ramach monitoringu jest Szkoła, a reprezentujący ją Dyrektor Szkoły odpowiada  za prawidłowość przetwarzania danych uczniów i ich opiekunów, nauczycieli i innych osób przebywających na terenie szkoły. Dane przetwarzane są na podstawie art. 23 ust. pkt. 5 ustawy o ochronie danych osobowych. Zbiór danych zawierający dane pochodzące z monitoringu, podlega obowiązkowi rejestracji w rejestrze prowadzonym przez GIODO, lub przez ABI, w przypadku jego powołania.

W stosunku do osób przebywających w strefie monitorowanej, należy spełnić obowiązek  informacyjny.  Informacja powinna być widoczna, czytelna i umieszczona w strefie objętym monitoringiem, np. na obrzeżu strefy tak, aby była  widoczna przed wejściem w strefę monitoringu.

Komunikat powinien zawierać następujące  informacje:

• kto prowadzi monitoring (nazwa szkoły),
• w jakim celu (np. ochrony osób i mienia),
• o obszarze monitoringu (dokładne wskazanie obszaru),
• o możliwości uzyskania dokładniejszych informacji o monitoringu np. : numer telefonu , adres poczty e-mail, czy adres strony internetowej szkoły.

Piktogramy mogą być traktowane jako informacja uzupełniająca, a nie jako podstawowy sposób informowania o monitoringu.

Prowadzenie monitoringu oraz jego zakres powinien być konsultowany ze środowiskiem szkoły. Warto rozważyć również wprowadzenie  Regulaminu Monitoringu zatwierdzonego przez Dyrektora Szkoły  i sygnowanego przez Radę Rodziców.

Monitoring instaluje się w miejscach , gdzie istnieje duże prawdopodobieństwo zajścia incydentów,  których równocześnie nie można objąć inną formą nadzoru. Monitoring nie może jednak obejmować obszarów przebieralni, szatni, toalet, natrysków czy łazienek. Nie powinien również obejmować  ekranów komputerów pracowników szkoły. Nie powinien być też stosowany do oceny pracy pracowników szkoły.

Co ciekawe, zgodnie z opinią GIODO powinno być zabronione instalowanie atrap kamer.

GIODO  stoi na stanowisku, że okres przechowywania nagrań nie powinien być dłuższy niż kilka dni. Okres ten jednak może być zbyt krótki, np. w sytuacji, gdy zdarzenie wystąpiło w piątek rano, to zgłoszeniu incydentu w poniedziałek popołudniu powoduje brak możliwości odtworzenia nagrania ze zdarzenia. Wydaje się, że okres retencji danych powinien być określony indywidualnie i wahać się w przedziale 7-14 dni. Wydłużenie okresu retencji należy wziąć pod uwagę, kiedy strefą monitoringu objęte są ogólnodostępne szkolne obiekty sportowe, czynne również w okresie ferii czy wakacji. Należy pamiętać, że wydłużenie czasu retencji powinno mieć racjonalne uzasadnienie.

Stosując monitoring, administrator powinien pamiętać o wydaniu upoważnień dla osób mających dostęp do systemu monitoringu, prowadzeniu ewidencji upoważnień, zabezpieczeniu urządzeń nagrywających przed dostępem osób nieupoważnionych (np. poprzez hasło do systemu i/lub fizyczne ograniczenie dostępu do pomieszczenia gdzie zlokalizowane jest urządzenie nagrywające). Jeśli do obsługi monitoringu angażujemy podmioty zewnętrzne, należy z nimi zawrzeć umowę powierzenia przetwarzania danych osobowych.

W opinii GIODO, stosowanie monitoringu w szkołach powinno być ograniczone do niezbędnego minimum – jedynie w sytuacjach, kiedy nie ma innych możliwości zapewnienia bezpieczeństwa, adekwatnie do celu jego zastosowania,  przy akceptacji całego środowiska związanego ze szkołą.

Od dnia 25 maja 2018 roku zastosowanie będzie miało ogólne Rozporządzenie o ochronie danych osobowych („RODO”), które zastąpi obecnie obowiązującą ustawę o ochronie danych osobowych. RODO wprowadza szereg zmian, również w zakresie sankcji za nieprzestrzeganie przepisów o ochronie danych osobowych. Przepisy te mogą mieć znaczący wpływ na funkcjonowanie przedsiębiorstwa, dlatego należy zwrócić na nie szczególną uwagę.

Administracyjne kary pieniężne

Za nieprzestrzeganie przepisów RODO grożą surowe kary pieniężne. Maksymalny wymiar kary administracyjnej wynosi do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kara wyższa).

Administracyjne uprawnienia organu nadzorczego

Oprócz administracyjnych kar pieniężnych, organ nadzorczy został wyposażony w szereg uprawnień. Organ nadzorczy może wysyłać między innymi upomnienia, ostrzeżenia, nakazać spełnienie żądania osoby, której dane dotyczą. Zgodnie z projektem ustawy o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych zastępujący funkcjonującego dziś GIODO będzie odpowiedzialny za przeprowadzenie postępowań kontrolnych w przedmiocie przestrzegania danych osobowych i wszcząć postępowanie w przypadku stwierdzenia ich naruszenia.

Odpowiedzialność cywilna

Należy pamiętać, iż oprócz odpowiedzialności administracyjnej na administratorze oraz podmiocie przetwarzającym ciąży również odpowiedzialność cywilna.

W przypadku naruszenia przepisów o ochronie danych osobowych, administrator danych lub podmiot przetwarzający może zostać zmuszony do zapłaty odszkodowania za szkodę, która wynikła w wyniku naruszenia przepisów RODO. Ponadto zgodnie z projektem nowej ustawy o ochronie danych osobowych, osoba, która uważa, iż jej prawa dotyczące ochrony danych osobowych zostały naruszone może wystąpić z roszczeniem o zaniechanie takiego działania lub żądać usunięcia jego skutków.

Nie przestrzegając przepisów o ochronie danych osobowych może dojść również do naruszenia dóbr osobistych i w konsekwencji do wystąpienia przez osobę, której dobra osobiste zostały naruszone z roszczeniem o zadośćuczynienie.

Odpowiedzialność karna

RODO nie przewiduje sankcji karnych, natomiast państwa członkowskie mogą ustanowić również inne sankcje niż te, które przewiduje RODO. Projekt ustawy o ochronie danych osobowych przewiduje odpowiedzialność karną za udaremnianie lub utrudnianie prowadzenia postępowania kontrolnego, oraz przetwarzanie bez podstawy prawnej tzw. szczególnej kategorii danych czyli danych wrażliwych.

Nowe Rozporządzenie w zakresie ochrony danych osobowych (GDPR/RODO) wymaga, aby system został zaprojektowany adekwatnie do ryzyka związanego z przetwarzaniem danych osobowych. Aby sprostać wymaganiom jednym z elementów Audytu przygotowującego do wdrożenia RODO powinna być weryfikacja posiadanych systemów w tym aplikacji w kierunku podatności mogących mieć wpływ na wyciek danych osobowych.

Trzeba również pamiętać, iż Rozporządzenie wymaga, aby środowisko było w sposób ciągły poddawane testom na podatności.
W celu wykonania analizy podatności i zagrożeń aplikacji, dla których posiadamy prawa autorskie, możemy skorzystać z rozwiązań pozwalających na wykonanie statycznej analizy kodu źródłowego. Wskażą nam one miejsca gdzie aplikacja jest napisana w sposób niezgodny ze standardami bezpieczeństwa. Rozwiązania te określą nam luki oraz zagrożenia wraz z możliwością ich poprawy. Analizę taką należy wykonywać w każdym momencie, gdy wprowadzamy zmiany do aplikacji oraz za każdym razem, gdy pojawia się nowa wersja oprogramowania, którym dokonujemy statycznej analizy kodu, ponieważ wraz z nową wersją implementowane są nowo poznane podatności.

W przypadku, gdy aplikacja jest dostarczana przez dostawcę zewnętrznego i nie posiadamy praw autorskich do kodu możemy żądać raportu ze statycznej analizy kodu źródłowego przez dostawcę. Raport taki powinien być udostępniony zarówno na etapie pierwszego audytu jak i później okresowo w trakcie użytkowania aplikacji.

W fazie wyboru aplikacji należy zadbać o to, aby software house, który ma dostarczyć dla nas aplikacje wytwarzał je w środowisku Secure-SDLC. Takie podejście gwarantować powinno zaimplementowanie wymagań GDPR związanych z privacy/secure by design po stronie software house’u i weryfikację jakości kodu aplikacji pod kątem bezpieczeństwa, właściwe zarządzanie zmianą oraz możliwość reagowania na nowo wykryte podatności.

Z jakich rozwiązań korzystać dla procesu statycznej analizy kodu ?

Na pewno powinny być to rozwiązania komercyjne, dzięki którym jesteśmy wstanie w razie nieszczęśliwego zdarzenia udowodnić, iż dopełniliśmy należytej staranności w procesie wytwarzania czy odbioru aplikacji. Rozwiązanie ma wspierać odpowiednie, uznane standardy bezpieczeństwa OWASP TOP-10, SANS-25, czy PCI-DSS dla aplikacji mających dostęp do systemów transakcyjnych. Producent powinien jak najczęściej udostępniać nowe wersje oprogramowania, biorąc pod uwagę jak często pojawiają się informacje o nowych podatnościach. Wydaje się, iż niezbędne minimum to update cztery razy do roku.

Jeżeli będziemy realizować statyczną analizę kodu źródłowego we własnym zakresie to rozwiązanie musi być dla nas jak najbardziej przyjazne, nie powinno wymagać dużego nakładu pracy na konfigurację, ma dawać możliwość szybkiego i łatwego przeglądu znalezionych podatności oraz umożliwiać testy inkrementalne tak, aby skrócić czas oczekiwania na wynik. Ponadto musimy mieć możliwość konfiguracji naszych wymagań biznesowych względem aplikacji takich jak ograniczanie liczby danych przetwarzanych w aplikacji.

Pamiętać należy, że mamy prawo umieścić odpowiednie zapisy w procesie zakupowym, tak, aby na etapie procesu zakupowego odpowiednimi zapisami w umowie zagwarantować sobie, że wykorzystywane oprogramowanie będzie pozbawione podatności i możliwość wycieku danych z aplikacji. Dostarczenie aplikacji jest swego rodzaju outsourcingiem.

Podsumowując mamy obowiązek:

1. w architekturze IT w procesie dostarczania aplikacji uwzględnić statyczną analizę kodu źródłowego;
2. dokonać przeglądu umów z zewnętrznymi software house’mi i umieścić w nich stosowne zapisy;
3. testować okresowo aplikacje do których posiadamy kody źródłowe;
4. wymagać dostarczenia stosownych raportów od zewnętrznych dostawców.

Dla wszystkich Administratorów Danych prowadzących Rejestr Zbiorów, twórcy RODO mają dobrą wiadomość: obowiązek rejestracji zbiorów danych znika! Jednak w związku z prawdziwością powiedzenia, że „w przyrodzie nic nie ginie”, obowiązek prowadzenia Rejestru Zbiorów nie znika zupełnie, a zostaje zastąpiony obowiązkiem prowadzenia Rejestru Czynności Przetwarzania.

Czym rejestr ten będzie się różnił od swojego poprzednika?

Przede wszystkim, każdy administrator oraz procesor jest zobowiązany rejestr prowadzić. W każdym rejestrze powinny znaleźć się informacje dotyczące administratora oraz współadministratorów, przedstawiciela administratora oraz inspektora ochrony danych. Nie może zabraknąć też informacji o celu i sposobach technicznych zabezpieczających przetwarzanie, kategoriach osób, których dane dotyczą i co oczywiste, kategoriach samych danych. Wymienić należy także kategorie odbiorców, którym dane zostaną ujawnione i przekazane, zwłaszcza tych w państwach trzecich. Co ciekawe, w Rejestrze powinny znaleźć się także informacje dot. planowanego terminu usunięcia poszczególnych kategorii danych.

Rejestr może być prowadzony zarówno w sposób elektroniczny, jak i papierowy. Ważne, by można było go w razie kontroli organu uprawnionego, bez przeszkód udostępnić. Organ nadzorczy będzie dokonywał kontroli rejestrów w ramach monitorowania prowadzonych operacji związanych z przetwarzaniem.

Od obowiązku prowadzenia rejestru istnieją wyjątki. Przepisy zwalniają z konieczności prowadzenia Rejestru administratorów, którzy zatrudniają mniej niż 250 pracowników. Ponadto, zwolnienie z obowiązku będzie dotyczyło administratorów, którzy przetwarzają dane w sposób sporadyczny, przetwarzanie nie niesie za sobą ryzyka naruszenia praw lub wolności osób, których dane dotyczą, przetwarzanie nie obejmuje szczególnych kategorii danych osobowych lub kategorii danych dotyczących wyroków skazujących i naruszeń prawa, zgodnie z art. 10 RODO.

Mając na uwadze powyższe wyliczenia, zdecydowana większość administratorów danych osobowych będzie zobowiązana prowadzić Rejestr Czynności Przetwarzania. Co do procesorów, przepisy RODO nie przewidują zwolnienia ich z obowiązku prowadzenia Rejestru, tak więc muszą go prowadzić w każdym przypadku.

Reforma unijnych regulacji ochrony danych osobowych daje osobom, których dane są przetwarzane, nowe uprawnienia i tym samym niesie nowe wyzwania dla firm i organizacji przetwarzających dane. Zagadnienie jest istotne dla administratora danych osobowych, gdyż po jego stronie istnieje obowiązek zapewnienia możliwości realizacji praw podmiotu danych. W sytuacji, gdy wdrożone przez administratora rozwiązania okażą się niewystarczające, osoba może skorzystać z innych sposobów egzekwowania swoich praw. Stwierdzenie naruszenia praw może prowadzić do pociągnięcia administratora do odpowiedzialności i nałożenia sankcji, przykładowo w postaci administracyjnej kary pieniężnej.

RODO wprowadza obowiązkową, przejrzystą komunikację na linii administrator – podmiot danych w kwestii informowania i ułatwiania wykonania praw przez podmioty danych. Administrator danych jest więc zobowiązany do udzielenia odpowiedzi na żądania podmiotu danych bez zbędnej zwłoki tj. w terminie do  14 dni, jednak nie później niż w ciągu miesiąca. Jeśli administrator nie zamierza spełnić żądania musi podać tego powody i wskazać możliwości wniesienia skargi do organu nadzorczego lub wejścia na drogę sądową. Tak skonstruowany obowiązek stanowić będzie ciężar dla administratora , zwłaszcza w przypadku dużej ilości wniesionych zapytań. Jest szansą na wyjaśnienie wątpliwości podmiotu danych i załatwienie sprawy zanim zajdzie konieczność skierowania jej do właściwego organu.

Jeżeli natomiast załatwienie sprawy poprzez bezpośrednią komunikację pomiędzy administratorem i osobą nie będzie możliwe to osoba, której dane dotyczą ma prawo zwrócić się do:

• organu nadzorczego – W Polsce organem właściwym do spraw związanych z ochroną danych osobowych będzie Urząd Ochrony Danych Osobowych,
• sądu właściwego dla administratora danych osobowych lub podmiotu przetwarzającego lub sądu właściwego ze względu na miejsce swojego zwykłego pobytu.

Osoba może dochodzić swoich praw przed sądem niezależnie od postępowania toczącego się przed organem nadzorczym. Rozstrzygnięcia wydane przez organ nadzorczy mogą stać się przedmiotem postępowania sądowego zarówno z inicjatywy osoby, jak i administratora. Dodatkowo podmiot danych może zaskarżyć organ nadzorczy do sądu, jeżeli ten nie rozpatrzy jego sprawy lub nie poinformuje podmiotu danych o postępach w ciągu trzech miesięcy.

Poza sankcjami nakładanymi przez organ nadzorczy na administratora danych każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku danego naruszenia ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę na drodze cywilnej.

Podobnie jak dotychczas, powierzenie przetwarzania danych osobowych podmiotom przetwarzającym w świetle przepisów RODO, będzie odbywało się na podstawie umowy. Jednak rozporządzenie unijne wprowadza nowe, bardzo istotne zmiany odnośnie reguł zawierania takich umów. Administratorzy danych, przed podpisaniem umowy, będą musieli dokonać bardzo wnikliwej weryfikacji podmiotów przetwarzających, aby sprawdzić, jak procesorzy będą zabezpieczać powierzone im dane osobowe.

Zgodnie z art. 28 RODO „Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje (w szczególności jeśli chodzi o wiedzę fachową, wiarygodność i zasoby) wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą”. Oznacza to, iż na administratorach danych spoczywa dodatkowa odpowiedzialność. Podczas kontroli będą oni musieli wykazać, iż podmiot przetwarzający, który wybrali, spełnia wymagania RODO. Dlatego też istotne jest, aby w procesie weryfikacji procesora, administratorzy, w celach dowodowych, prosili te podmioty o przekazanie wszelkich dokumentów czy procedur wskazujących na właściwy poziom stosowanych przez nie zabezpieczeń.

Umowa z podmiotem przetwarzającym może być zawarta w formie pisemnej lub elektronicznej, podmioty mogą skorzystać z własnego wzoru takiej umowy lub według standardowych klauzul umowny. Możemy spodziewać się, iż Komisja Europejska przygotuje wzór standardowych klauzul, jakie powinny być zawarte w umowie. Powinna ona zawierać następujące informacje: przedmiot i czas trwania umowy, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora. Ponadto w umowie z administratorem należy zawrzeć zobowiązania przedmiotu przetwarzającego, zgodnie z którymi:

• przetwarza on dane osobowe, wyłącznie na udokumentowane polecenie administratora,
• wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku,
• zapewnia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy,
• przestrzega warunków korzystania z usług innego podmiotu przetwarzającego,
• pomaga administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą,
• pomaga administratorowi wywiązać się z obowiązków związanych z zapewnieniem bezpieczeństwa danych, zgłoszeniem naruszenia, zawiadamianiem osoby, której dane dotyczą, oceną skutków dla ochrony danych oraz uczestnictwem w uprzednich konsultacjach,
• umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzenie audytów, w tym inspekcji, i przyczynia się do nich,
• udostępnia administratorowi wszelkie informacje niezbędne do wykazania obowiązków wskazanych w umowie,
• po zakończeniu świadczenia usług, zależnie od decyzji administratora, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie.

Do 28 maja 2018 r. administratorzy muszą zweryfikować wszystkie umowy z procesorami
i ewentualnie je aneksować, aby zwierały wszystkie powyższe elementy.

Nowe przepisy również dla procesorów stanowią ogromne wyzwanie, gdyż będą musieli oni wykazać, iż spełniają nałożone na nich wymagania. Oprócz zobowiązań wskazanych powyżej, podmiot przetwarzający, podobnie jak administrator danych, będzie miał obowiązek:

• niezwłocznego informowania administratora, jeżeli zdaniem podmiotu przetwarzającego wydane mu polecenie stanowi naruszenie rozporządzenia lub innych przepisów,
• bez zbędnej zwłoki będzie musiał zgłosić administratorowi danych naruszenie ochrony danych osobowych,
• tylko za zgodą administratora będzie mógł korzystać z innego podmiotu przetwarzającego,
• prowadzić rejestr kategorii czynności przetwarzania danych (art. 37 RODO),
• udostępniać rejestr na żądanie organu nadzorczego,
• współpracować z organem nadzorczym (na jego żądanie)w ramach wykonywania przez niego swoich zadań,
• wyznaczenia inspektora ochrony danych (w określonych przypadkach),
• opublikowania danych kontaktowych inspektora ochrony danych i zawiadomienie o nich organu nadzorczego,
• spełnić warunki niezbędne do przekazywania danych osobowych do państwa trzeciego.

Niespełnienie któregoś z powyższych obowiązków obarczone jest oczywiście bardzo wysokimi sankcjami finansowymi.

W świetle przepisów RODO wybór procesora staje się dla administratorów danych wyzwaniem, które obarczone jest dużym ryzykiem. Będą oni musieli dokonać oceny, czy ryzyko dopuszczenia do współpracy danego podmiotu jest duże, dlatego też tak istotne jest, aby administratorzy uzbroili się w odpowiednie narzędzia, które pozwolą im kontrolować wykonywanie obowiązków przez podmioty przetwarzające. W tym celu w umowie z procesorem należy zawrzeć zapisy zobowiązujące go do:

• przeprowadzania wewnętrznych audytów, których wyniki będą przedstawione administratorowi,
• przeprowadzenia zewnętrznych audytów, których wyniki będą przedstawione administratorowi,
• przeprowadzania samodzielnych kontroli przez administratora danych,
• zapewnienia administratorowi możliwości weryfikacji poziomu bezpieczeństwa stosowanego przez podmiot przetwarzający.

Czy zdjęcie jest daną osobową? Czy fotografia pracownika jest jego daną osobową?

Zgodnie z definicją danych osobowych zawartą w RODO, wizerunek jest uznawany za daną osobową; dlatego też podlega ochronie na zasadach zawartych we wskazanym akcie prawnym.

Najczęstsze problemy powoduje przetwarzanie wizerunku przez pracodawcę lub przyszłego pracodawcę. Na etapie rekrutacji kandydaci do pracy przesyłają CV, załączając na nim swoje zdjęcie. Nie ma problemu, jeśli robią to dobrowolnie. Jeśli natomiast ogłoszenie o pracę zawiera informację, by do CV dołączyć zdjęcie, to będzie to niezgodne z przepisami. Przyszły pracodawca nie może żądać od kandydata do pracy danych wykraczających poza zakres wskazany w art. 22¹ Kodeksu Pracy oraz Rozporządzeniu Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika. Wskazane akty prawne dotyczą również zakresu danych pracownika przetwarzanych przez pracodawcę w trakcie trwania stosunku pracy. W żadnych z tych przypadków zdjęcie nie jest wymagane, dlatego pracodawca lub przyszły pracodawca nie może zdjęcia wymagać.

Jeśli pracodawca potrzebuje zdjęcia pracownika do umieszczenia go w Internecie, lub innym miejscu dostępnym powszechnie, pracownik musi zostać przez pracodawcę poinformowany, zgodnie z art. 81 ustawy o prawach autorskich i pokrewnych, o formie, miejscu, czasie przedstawienia jego wizerunku oraz o zestawieniu z innymi wizerunkami i towarzyszącymi wizerunkowi komentarzami. Mając pełną świadomość powyższych kwestii, pracownik wyraża zgodę lub też odmawia wykorzystania jego wizerunku. Jeśli wykorzystanie wizerunku pracownika wynika z wewnętrznych regulaminów, pracodawca musi w nich zawrzeć cel i wszystkie okoliczności dotyczące wykorzystania wizerunku pracownika. Zgoda pracownika musi być dobrowolna, co znaczy, że pracodawca nie może żądać od pracownika udostępnienia mu fotografii i rozpowszechniania jej, nawet wewnętrznie. Odmowa pracownika na wykorzystanie jego wizerunku nie może wiązać się z żadnymi przykrymi konsekwencjami zawodowymi względem pracownika.

Niektóre zawody wymagają jednak wykorzystania wizerunku pracownika, np. dla zachowania bezpieczeństwa. Przykładem może być identyfikator dla ochroniarza budynku. Są też zawody, gdzie wizerunek jest wymagany i przetwarzany na postawie przepisu prawa, np. legitymacja służbowa policjantów.

W przypadku ochrony wizerunku osoby fizycznej, wykorzystywanego w innym celu niż przez pracodawcę, zastosowanie ma ponownie ustawa o prawach autorskich i pokrewnych. Zgodnie z jej przepisami rozpowszechnianie wizerunku może odbywać się tylko na podstawie zgody osoby, którą przedstawia fotografia. Przy czym osoba ta musi posiadać informację o miejscu, czasie i formie rozpowszechnienia swojego wizerunku.

Zgody nie będzie wymagać rozpowszechnianie wizerunku przedstawiającego osobę powszechnie znaną, zwłaszcza w momencie pełnienia przez nią funkcji publicznych.

Zgodne z prawem będzie też rozpowszechnianie wizerunku osoby stanowiącej tylko część, szczegół większej całości, np. fotografie z wydarzeń plenerowych.