fbpx
Zaznacz stronę

Prawo do przenoszenia danych – na czym polega to nowe, wynikające z RODO prawo i kiedy będzie przysługiwać osobie, której dane dotyczą? Co to oznacza dla administratorów danych? Czy i kiedy muszą dokonać zmiany w istniejących systemach informatycznych służących do przetwarzania danych?

 

Na czym polega przenoszenie danych?

 

Ogólne rozporządzenie o ochronie danych (RODO), które zacznie obowiązywać 25 maja 2018 r. wśród praw, które przysługują osobom, których dane przetwarzamy, wymienia jedno z nowych praw – prawo do przenoszenia danych. RODO zapewnia osobom, których dane dotyczą, możliwość otrzymywania w ustrukturyzowanym, powszechnie używanym formacie ich danych osobowych.

 

Z tego też względu formaty .XML czy .CSV wydają się najrozsądniejsze, gdyż większość „nowych” administratorów danych będzie mogła je bez problemu odtworzyć i wprowadzić do swoich systemów informatycznych.

 

O jakim formacie mowa? RODO nie wskazuje jednoznacznie o jakiego rodzaju techniczne rozwiązania chodzi, jednak możemy się domyślać, że mogą do tego służyć formaty typu .XML lub .CSV, do których większość systemów informatycznych ma możliwość już teraz wyeksportować dane. Osoba, która poprosi nas o zrealizowanie względem niej prawa do przenoszenia danych będzie mogła w zamyśle RODO skorzystać z dwóch możliwości. Jedna z nich przewiduje, że będzie mogła przekazać dane osobowe, które w ten sposób uzyska, innemu administratorowi i nie będzie można jej w tym przeszkadzać. Druga z możliwości przyznaje osobie, której dane dotyczą, żądania przekazania tych danych bezpośrednio przez administratora do innego podmiotu – kolejnego administratora danych, którego ta osoba wskaże. W praktyce zatem, do przekazania danych na podstawie prawa do przenoszenia danych ma dochodzić także bez udziału osoby, której dane dotyczą, jeśli tylko sobie tego zażyczy. Wówczas „stary” i „nowy” administrator danych z założenia będą mieli obowiązek porozumienia się w tym zakresie. Z tego też względu formaty .XML czy .CSV wydają się najrozsądniejsze, gdyż większość „nowych” administratorów danych będzie mogła je bez problemu odtworzyć i wprowadzić do swoich systemów informatycznych. W takiej sytuacji przesłanie danych może nastąpić poprzez połączenie dwóch systemów, w sposób zabezpieczony i tylko wtedy, gdy administratorzy mają taką techniczną możliwość. Warto w tym miejscu zwrócić uwagę na jeden z zapisów RODO, który zachęca do opracowania formatów umożliwiających łatwe przenoszenie danych, ale nie nakłada obowiązku wprowadzenia systemów przetwarzania, które będą to bezwględnie umożliwiać.

 

 

Kiedy i kogo będzie to obowiązywało?

 

Zgodnie z art. 20 RODO – prawo do przenoszenia danych – obowiązuje jeśli przetwarzanie danych odbywa się na podstawie zgody osoby, której dane dotyczą (np. newsletter) lub na podstawie umowy (np. e-sklep).

 

Kiedy już wiemy na czym polega nowe prawo – prawo do przenoszenia danych, warto zastanowić się nad tym kogo i kiedy będzie obowiązywało, ponieważ nie jest to prawo wykonywane bezwględnie. Są dwa warunki, których spełnienie zaważy na tym, czy jako administrator danych będziemy zobowiązani do umożliwienia naszym klientom przenoszenia ich danych.

 

Zgodnie z art. 20 RODO – prawo do przenoszenia danych – obowiązuje jeśli przetwarzanie danych odbywa się na podstawie zgody osoby, której dane dotyczą (np. newsletter) lub na podstawie umowy (np. e-sklep). Te dwie przesłanki przetwarzania danych umożliwią prawo do przenoszenia danych, o ile zachodzi jeszcze jeden z warunków – to przetwarzanie odbywa się w sposób zautomatyzowany, w systemach informatycznych. Jeśli natomiast przetwarzanie danych ma miejsce np. na podstawie umowy, ale odbywa się wyłącznie w sposób tradycyjny, tzn. dane zawarte są na papierze i nie są przetwarzane w żadnym systemie, to wówczas prawo to nie będzie obowiązywało. Już dziś warto przyjrzeć się bliżej przetwarzaniu danych, które ma miejsce w naszej działalności, aby ustalić czy to prawo będzie przysługiwało osobom, których dane przetwarzamy, a jeśli tak, to odpowiednio przygotować się do jego wykonania.

 

Jak szybko musimy zareagować na wniosek o przeniesienie danych? Spełnienie żądania ma nastąpić niezwłocznie, ale nie później niż w ciągu miesiąca.

Dlaczego taka koncepcja znalazła się w RODO?

Prawo do przenoszenia danych miało ułatwić osobom, których dane przetwarzamy, kontrolę nad własnymi danymi. W związku z postępującą automatyzacją danych i rozwojem usług tzw. społeczeństwa informacyjnego zauważono potrzebę nadania osobom dodatkowych praw, aby przetwarzanie danych było transparentne i łatwe do skontrolowania. Nie możemy zapominać także o tym, że umożliwia to łatwy dostęp do danych, daje możliwość otrzymania kopii danych i swobodę ich przenoszenia od jednego usługodawcy do drugiego. Efektem tego podejścia jest m.in. prawo do przenoszenia danych.

 

 

A czy Twoja firma jest już gotowa na RODO? 

 

 Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

 

 CHCĘ POZNAĆ SZCZEGÓŁY KURSU!

 

Czy wszyscy pracownicy muszą mieć upoważnienia do przetwarzania danych? Kto właściwie powinien je otrzymać?

Upoważniamy zawsze osoby, które w ramach swoich obowiązków, stanowiska, czy pełnionej funkcji przetwarzają dane. Czynność przetwarzania powinna być tu niezbędna, aby mogli wykonać należycie swoje obowiązki. Momentem wyjścia będą więc opisy stanowisk, a w mniejszych firmach po prostu ustalenie zadań i obowiązków, które dla danej osoby wiążą się z przetwarzaniem danych.

Zobacz, jak to robią inni!  Joanna, właścicielka biura nieruchomości przyszła do mnie na konsultacje, ponieważ słyszała, że powinna wydać swoim pracownikom upoważnienia do przetwarzania danych osobowych klientów jej biura, ale nie wiedziała, czy rzeczywiście wszyscy muszą je mieć. Przekonaj się, jaką radę dałam Joannie i wykorzystaj u siebie. 

Joanna współpracuje na stałe z Martą, która jest jej asystentką i umawia klientów na prezentacje nieruchomości, a także odbiera firmową korespondencję, która przychodzi do biura. Marta jest zatrudniona na podstawie umowę o pracę. Joanna współpracuje także z dwiema osobami na podstawie umowy zlecenia, które dwa razy w tygodniu przychodzą do biura, aby pomóc przy obsłudze umów. A trzy razy w tygodniu do biura wpada Pani Jadzia, która sprząta całe biuro. 

Pierwszym pytaniem, jakie zadałam Joannie było - Która z tych osób potrzebuje dostępu do danych osobowych klientów, aby mogła wykonać powierzone jej zadania? Odpowiedź padła od razu - Marta, moja asystentka! Jednak po chwili zastanowienia Joanna dodała, że przecież te dwie osoby, która ma na zlecenie także obsługują umowy z klientami i muszą mieć do nich dostęp. No i jest jeszcze Pani Jadzia, która jak przyjdzie do biura to może mieć dostęp do umów, bo przecież zdarza się, że leżą na biurku po zakończeniu pracy biura. Jak widzisz to są zupełnie różne zadania i nawet inne podstawy zatrudnienia, dlatego Joanna miała nie lada dylemat.

Dane osobowe są nieodłączną częścią niemalże każdej działalności gospodarczej. Dane osobowe dotyczą osoby fizycznej.

Dane osobowe są nieodłączną częścią niemalże każdej działalności gospodarczej. Dane osobowe przetwarzamy zawierając umowy z klientami, podczas realizacji zamówienia w sklepie internetowym, wysyłając newsletter, zatrudniając pracowników, etc.

Jeśli prowadzisz jakąkolwiek działalność, w której pojawiają są dane osobowe to jednym z Twoich obowiązków jako administratora tych danych jest zapewnienie, by dostęp do nich był ograniczony wyłącznie do osób, które zostały do tego upoważnione. Joanna powinna zatem najpierw ustalić kto i do czego powinien mieć dostęp. Jeśli zatrudniasz wiele osób i na różnych stanowiskach to możesz wcześniej przygotować prostą tabelę, w której określisz to jakie dane są potrzebne na konkretnym stanowisku i będziesz działać według tego schematu.

Upoważnienie jest podstawą do tego, by można było uznać, że dana osoba przetwarza dane osobowe w sposób legalny i z polecenia. Upoważnienia nadajemy wszystkim pracownikom i współpracownikom, których zadania są nierozerwalnie związane z przetwarzaniem danych. Musisz przy tym pamiętać, że przetwarzaniem danych jest już sam podgląd do danych, ich przechowywanie, wprowadzanie danych, usuwanie lub modyfikowanie. Niemalże każda czynność wiąże się z przetwarzaniem danych.

Upoważnienie można wydać osobie zatrudnionej na umowę o pracę, na umowę zlecenie, o dzieło, a nawet stażyście, czy wolontariuszowi. Ważne jest to, czy ich zadania mają bezpośredni związek z potrzebą dostępu do danych przy ich realizacji.

W przypadku Joanny upoważnienie będzie konieczne dla jej asystentki Marty, ale i dla dwóch zleceniobiorców, którym dane są niezbędne do obsługi umów z klientami. Nie ma znaczenia podstawa ich zatrudnienia. Upoważnienie można wydać osobie zatrudnionej na umowę o pracę, na umowę zlecenie, o dzieło, a nawet stażyście, czy wolontariuszowi. Ważne jest to, czy ich zadania mają bezpośredni związek z potrzebą dostępu do danych przy ich realizacji.

A co z Panią Jadzią, która przychodzi od czasu do czasu pomóc z porządkami i przypadkiem zobaczy dane osobowe klientów? Bardzo często spotykam się z błędnym założeniem, że upoważnienie trzeba wydać dosłownie wszystkim, nawet jeśli osoba nie ma i nie potrzebuje dostępu do danych przy wykonywaniu swojej pracy. Tymczasem, w opisanym przypadku, nie ma racjonalnego uzasadnienia do tego, aby upoważniać osoby sprzątające do danych klientów. Takie upoważnienie oznaczałoby, że Pani Jadzia może swobodnie przeglądać dane klientów i ich umowy, a nawet tego zażądać, bo przecież została do tego upoważniona!

Jak więc postąpić w podobnej sytuacji? Zapewnić, aby wszelkie dane na umowach, czy w systemach zostały tak zabezpieczone, aby osoby nieupoważnione nie mogły uzyskać do nich dostępu. Jeśli sprzątanie odbywa się po zakończeniu pracy osób odpowiedzialnych to wszelkie dokumenty muszą się znaleźć co najmniej w szafie zamykanej na klucz, a użytkownicy systemów komputerowych powinni się z nich wylogować. Nadawanie upoważnienia wszystkim i do wszystkiego nie jest prawidłowe i nie powinno być uzasadnione brakiem zabezpieczeń przed dostępem osób postronnych. A Ty, czy wiesz już kto w Twojej firmie powinien otrzymać upoważnienia do przetwarzania danych?

Chcesz szybko i skutecznie wydać upoważnienia?

Zapoznaj się z moją publikacją, w której szczegółowo omawiam ten proces.

W e-booku znajdziesz także przydatne wzory: upoważnienia, oświadczenia i rejestr upoważnień.

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!