Jak stosować RODO – wskazówki dla administratora

Jak stosować RODO – wskazówki dla administratora

Jak już wspomniałem w poprzednim wpisie minęło już pół roku od wejścia w życie RODO. Mimo to wielu administratorów nadal nie radzi sobie z nowymi regulacjami. Postanowiłem więc niniejszy tekst poświęcić na przedstawienie wskazówek dla administratorów, które pomogą w moim odczuciu w stosowaniu RODO na co dzień.

 

Nie tylko zgoda

Podejmując lub planując pozyskanie i podjęcie przetwarzania danych osobowych należy pamiętać, że konieczne jest ustalenie właściwej podstawy prawnej zbierania i wykorzystywania tych danych. Należy przy tym pamiętać, że zgoda nie jest jedyną podstawą uprawniającą do przetwarzania danych osobowych. W praktyce (choć na pierwszy rzut oka wydaje się, że jest inaczej) do bardzo wielu procesów zgoda ta nie będzie wymagana. Trzeba pamiętać, że art. 6 ust. 1 zawiera wiele innych  przesłanek legitymizujących przetwarzanie.

Zgody nie pozyskujemy m.in. gdy do zbierania i wykorzystywania danych osobowych, uprawnia nas przepis prawa, lub gdy dane są niezbędne do zawarcia umowy. Pozyskiwanie zgody w takim przypadku może mylnie sugerować osobie, której dane dotyczą, że przysługuje jej prawo do wycofania zgody.

 

Analizuj ryzyko

RODO wymaga, aby podejmując przetwarzanie danych osobowych (projektując taki proces) administrator przeprowadził analizę ryzyka (ryzyk), które niesie ze sobą takie przetwarzanie. Ryzyko należy analizować nie tylko pod kątem bezpieczeństwa danych, ale przede wszystkim należy zwracać uwagę na ryzyka naruszenia praw i wolności osób, których przetwarzane dane dotyczą.

 

Dopełniaj obowiązku informacyjnego – w sposób przejrzysty

Rozporządzenie wprowadziło także istotne zmiany dotyczące dopełniania tzw. obowiązku informacyjnego.

Administrator zobowiązany jest podać osobom, których dane przetwarza, więcej informacji. Mowa tutaj m.in. o obowiązku wskazania podstawy prawnej przetwarzania czy okresu, przez który będzie przechowywał dane. Musi też przekazać więcej informacji o prawach osób – m.in. o możliwości wycofania zgody oraz prawie wniesienia skargi do Prezesa UODO.

Należy przy tym pamiętać, że Rozporządzenie wprowadza tzw.  zasadę przejrzystości. Zgodnie nią na każdym etapie przetwarzanie powinno odbywać się w sposób transparentny dla osoby, której danych dotyczy. Przesądza ona, że wszelkie informacje i wszelkie komunikaty mają być zwięzłe, przejrzyste i zrozumiałe oraz sformułowane jasnym i prostym językiem. Mają też być łatwo dostępne. Zatem należy odpowiednio zorganizować proces komunikacji.