Aktualnie wytyczne zostały przygotowane w nawiązaniu do 4 odrębnych zagadnień wynikających z przepisów RODO i w niniejszym opracowaniu zostaną omówione kolejno. Grupa Robocza Art. 29 planuje wydawanie dalszych wytycznych lecz terminy ich publikacji nie są bliżej określone. Warto także wspomnieć iż Grupa Robocza Art. 29 przekształci się z dniem 25 maja 2018 roku w Europejską Radę Ochrony Danych.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Wytyczne dotyczące inspektorów ochrony danych.
Zgodnie z postanowieniami RODO wyznaczenie inspektora ochrony danych (dalej „IOD”) nie zawsze będzie konieczne. Niemniej jednak jak wskazuje Grupa Robocza Art. 29 warto go powołać nawet wtedy, gdy działanie takie nie jest koniecznością, a jedynie możliwością. Należy jednak pamiętać, że w przypadku powołania IOD gdy to nie jest konieczne z punktu widzenia obowiązujących przepisów, traktuje się jego powołanie tak, jakby było ono obowiązkowe. Co za tym idzie, ciążą na nim wszelkie prawa i obowiązki wynikające z przepisów. W ramach dobrych praktyk, zaleca się także powołanie IDO w podmiotach prywatnych realizujących zadania publiczne. Do pełnienia funkcji IOD może zostać powołany ktoś z organizacji, ale także usługa ta może zostać zlecona osobie niebędącej w strukturach firmy (outsourcing).
IOD będzie musiała powołać miedzy innymi spółka zajmująca się świadczeniem usług z zakresu ochrony osób i mienia, prowadząca monitoring w szeregu prywatnych centrów handlowych i przestrzeni publicznej. Będzie musiał zrobić to także bank, szpital, ubezpieczyciel, podmioty świadczące usługi telekomunikacyjne a także te, które przetwarzają dane geo-loklaizacyjne.
Jeżeli administrator podlega obowiązkowi powołania IOD nie oznacza to, że taki sam obowiązek ciążyć będzie na podmiocie przetwarzającym (procesorze). Każda jednostka odpowiednio do świadczonych przez siebie usług i sposobu ich świadczenia ocenia czy obowiązkowi takiemu podlega, czy jedynie dobrowolnie może powołać IOD.
Jednym z wymogów dotyczących powołania IOD jest zapewnienie łatwości nawiązania z nim kontaktu. Jeżeli jeden IOD jest wyznaczony dla podmiotów w różnych krajach musi władać językami w tych krajach obowiązującymi, aby kontakt w ogóle był możliwy. Dane kontaktowe IOD powinny zawierać takie informacje jak imię i nazwisko (co jest rekomendowane), adres korespondencyjny, telefon kontaktowy, dedykowany adres e-mail. Mogą zostać udostępnione także inne środki komunikacji jak formularz kontaktowy czy infolinia.
Do obowiązków IOD nie należy przeprowadzenie oceny skutków przetwarzania. Rola IOD przy wykonywaniu tego zadania powinna polegać na wsparciu i udzielaniu konsultacji.
Wytyczne dotyczące prawa do przenoszenia danych.
Nowym prawem, dotychczas nieznanym, a przysługującym osobom, których dane dotyczą, jest prawo do przenoszenia danych. Celem tego prawa jest przyznanie osobie, której dane dotyczą większej kontroli nad nimi, ale także ułatwienie zmiany dostawców usług. Format udostępnianych danych ma być taki, aby umożliwić ich przeniesienie z jednego środowiska IT do innego. Administratorzy w ramach wykonania tego prawa powinni umożliwić nie tylko bezpośrednie pobranie danych ale także przesłanie ich innemu administratorowi w sposób bezpośredni.
Obowiązek wykonania prawa do przenoszenia danych nie nakłada na administratorów obowiązku ich przechowywania jedynie na wypadek, gdyby osoba której dane dotyczą chciałaby z tego prawa skorzystać w przyszłości. Podmiot, który otrzyma dane na skutek ich przeniesienia staje się ich administratorem i należy pamiętać, że nie powinien przechowywać danych, które nie są mu konieczne do wykonania usługi na rzecz przenoszącego w przypadku gdyby się okazało, że prawo do przenoszenia objęło szerszy zakres danych.
Jeżeli osoba, której dane dotyczą skorzysta z prawa do przenoszenia danych, nie oznacza to że dotychczasowy administrator nie może nadal świadczyć usługi z wykorzystaniem danych przeniesionych. Do czasu skorzystania przez osobę z prawa do usunięcia danych, dane przeniesione pozostają również w zasobach dotychczasowego administratora.
W ramach prawa do przenoszenia danych można przenieść np. maile z poczty elektronicznej, listę utworów z serwisów strumieniowej transmisji muzyki, listę nabytych książek w księgarni on-line. Prawo do przenoszenia danych nie dotyczy danych w formie papierowej.
Przetwarzanie danych osobowych
pod kontrolą
Zanim będzie za późno.
Wytyczne dotyczące wiodącego organu nadzorczego.
Niezwykle istotnym zagadnieniem są kwestie związane z wyznaczeniem wiodącego organu nadzorczego. To administrator sam decyduje o tym, gdzie znajduje się jego centralna administracja, jednak może zdarzyć się tak że możliwym będzie ustalenie więcej niż jednego organu nadzorczego. Tak zdarzy się w przypadku gdy ośrodki podejmowania decyzji w ramach transgranicznego przetwarzania danych będą znajdowały się w odrębnych podmiotach należących do grupy przedsiębiorstw, znajdujących się w różnych krajach.
Jeśli natomiast administrator posiada jednostki organizacyjne w UE lecz nie posiada centralnej administracji w UE i nie ma jednostki która podejmowałaby decyzje co do przetwarzania rekomendowane jest wyznaczenie jednostki organizacyjnej, która będzie działać jako główna jednostka organizacyjna. W przypadku gdy przedsiębiorstwo nie posiada w ogóle jednostki organizacyjnej w UE, a jedynie przedstawiciela w państwie członkowskim właściwe będą lokalne organy nadzorcze.
Jeżeli zagadnienie mieszczące się w ramach przetwarzania transgranicznego będzie dotyczyło zarówno administratora jak i podmiotu przetwarzającego właściwym organem nadzorczym będzie organ właściwy dla administratora.
Wytyczne dotyczące oceny skutków dla ochrony danych.
Dla operacji przetwarzania dla których istnieje prawdopodobieństwo wysokiego ryzyka koniecznym jest przeprowadzenie oceny skutków przetwarzania. Jeśli natomiast nie ma pewności, czy dany rodzaj przetwarzania wymaga dokonania oceny skutków rekomendowane jest jej przeprowadzenie.
Katalog czynności wskazanych w RODO, dla których ocena skutków jest wymagana nie jest zamknięty. Oznacza to, że w praktyce mogą wystąpić inne czynności, niewymienione w RODO, dla których dokonanie oceny będzie konieczne. Wśród operacji wymagających przeprowadzenia oceny skutków wskazuje się przetwarzanie danych pacjentów przez szpital, wykorzystywanie kamer z wykorzystaniem inteligentnego systemu do wyodrębniania tablic celem monitorowania kierowców, monitorowania pracowników tj. stanowisk pracy i działań podejmowanych w Internecie. Wskazuje się że najprawdopodobniej nie będzie konieczne przeprowadzenie oceny skutków w przypadku wysyłania standardowego mailingu do subskrybentów.
E-learning RODO to już standard!
Grupa Robocza Art. 29 ze szczególnym naciskiem rekomenduje przeprowadzenie oceny skutków także dla czynności przetwarzania, które rozpoczęły się przed 25 maja 2018 roku, a powtarzać przedmiotową operację należy nie rzadziej niż raz na 3 lata. Należy jednakowoż, dodatkowo, mieć na uwadze, że ocena skutków powinna być działaniem regularnym, stałym, bowiem należy mieć baczenie czy ryzyko co do poszczególnych operacji, z uwagi zmienne okoliczności, nie rośnie.
Uwagi dodatkowe
Nie ulega wątpliwości, iż warto analizować wytyczne ze szczególną dokładnością bowiem stanowią one wsparcie w należytym zrozumieniu przepisów co do których nie mamy jeszcze wypracowanej praktyki ani orzecznictwa. Podczas lektury koniecznym jest jednak mieć na uwadze, iż jak wyżej wskazano, Grupa Robocza Art. 29 ma jedynie charakter doradczy. Wypowiadane przez nią stanowiska co do rozumienia pojęć i przedstawione analizy pewnych kwestii nie są wiążące, ani nie stanowią powszechnie obowiązującego prawa. Nie da się także przemilczeń faktu, iż zawarte w wytycznych interpretacje są niejednokrotnie na tyle daleko idące, iż stanowią de facto o nowych obowiązkach z RODO niewynikających. Z tym zastrzeżeniem do Grupy Roboczej Art. 29 już wystąpiono.