Anna Kobylańska

Już tylko 10 dni pozostało do rozpoczęcia stosowania unijnego rozporządzenia RODO. To ostatni moment dla przedsiębiorców przetwarzających dane osobowe, aby sprawdzić, co jeszcze pozostało do zrobienia w celu wdrożenia unijnych wymagań w ich przedsiębiorstwach. Przedstawiamy listę zadań do wykonania. Może być pomocna przy sprawdzeniu stanu przygotowań do stosowania nowych przepisów.

Już tylko 10 dni pozostało do rozpoczęcia stosowania unijnego rozporządzenia RODO. To ostatni moment dla przedsiębiorców przetwarzających dane osobowe, aby sprawdzić, co jeszcze pozostało do zrobienia w celu wdrożenia unijnych wymagań w ich przedsiębiorstwach. Przedstawiamy listę zadań do wykonania. Może być pomocna przy sprawdzeniu stanu przygotowań do stosowania nowych przepisów.

Już tylko 10 dni pozostało do rozpoczęcia stosowania unijnego rozporządzenia RODO. To ostatni moment dla przedsiębiorców przetwarzających dane osobowe, aby sprawdzić, co jeszcze pozostało do zrobienia w celu wdrożenia unijnych wymagań w ich przedsiębiorstwach. Przedstawiamy listę zadań do wykonania. Może być pomocna przy sprawdzeniu stanu przygotowań do stosowania nowych przepisów.

Przygotowania do spełniania wymagań RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zajmują obecnie większość przedsiębiorców, którzy przetwarzają dane osobowe. Wielu z nich w trakcie takich przygotowań zwraca uwagę, że przepisy rozporządzenia nie zawierają wielu wskazówek co do tego, jak od strony dokumentacyjnej, organizacyjnej oraz technicznej przygotować się do spełniania nowych wymagań.

Już niedługo przedsiębiorcy będą zobowiązani wykazać się spełnieniem nowego obowiązku: prowadzenia rejestru czynności przetwarzania danych osobowych. To istotny element dokumentacji danych osobowych wymaganej przez unijne rozporządzenie RODO. Prowadzenie rejestru będzie obowiązkowe dla wszystkich podmiotów, które zatrudniają co najmniej 250 osób, ale również w wielu wypadkach dla mniejszych, m.in. jeżeli przetwarzanie, którego dokonują, nie ma charakteru sporadycznego, może powodować naruszenie praw lub wolności osób lub obejmuje szczególne kategorie danych (np. o stanie zdrowia, przynależność do związków zawodowych). Co ważne, rejestr powinien być gotowy na 25 maja tego roku, a więc na dzień, kiedy zacznie być stosowane RODO. Problem w tym, że przedsiębiorcy nie wiedzą, jakie czynności przetwarzania należy uwzględnić w rejestrze. Unijne rozporządzenie nie definiuje czynności przetwarzania. Organy nadzorcze w UE natomiast dotąd nie wyjaśniły tego szczegółowo. Od generalnego inspektora ochrony danych osobowych uzyskaliśmy informację, że organ czeka na ustalenia w ramach unijnej Grupy Roboczej Art. 29 - po to, aby ewentualna rekomendacja GIODO była spójna z ustaleniami w innych krajach UE. Zapowiada jednak, że w najbliższym czasie opublikuje takie precyzyjne wyjaśnienia. Zatem do tematu powrócimy.

Już niedługo przedsiębiorcy będą zobowiązani wykazać się spełnieniem nowego obowiązku: prowadzenia rejestru czynności przetwarzania danych osobowych. To istotny element dokumentacji danych osobowych wymaganej przez unijne rozporządzenie RODO. Prowadzenie rejestru będzie obowiązkowe dla wszystkich podmiotów, które zatrudniają co najmniej 250 osób, ale również w wielu wypadkach dla mniejszych, m.in. jeżeli przetwarzanie, którego dokonują, nie ma charakteru sporadycznego, może powodować naruszenie praw lub wolności osób lub obejmuje szczególne kategorie danych (np. o stanie zdrowia, przynależność do związków zawodowych). Co ważne, rejestr powinien być gotowy na 25 maja tego roku, a więc na dzień, kiedy zacznie być stosowane RODO. Problem w tym, że przedsiębiorcy nie wiedzą, jakie czynności przetwarzania należy uwzględnić w rejestrze. Unijne rozporządzenie nie definiuje czynności przetwarzania. Organy nadzorcze w UE natomiast dotąd nie wyjaśniły tego szczegółowo. Od generalnego inspektora ochrony danych osobowych uzyskaliśmy informację, że organ czeka na ustalenia w ramach unijnej Grupy Roboczej Art. 29 – po to, aby ewentualna rekomendacja GIODO była spójna z ustaleniami w innych krajach UE. Zapowiada jednak, że w najbliższym czasie opublikuje takie precyzyjne wyjaśnienia. Zatem do tematu powrócimy.

25 maja 2018 r. zaczną być stosowane nowe regulacje o ochronie danych osobowych – przepisy RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz.Urz. UE z 2016 r. L 119, s. 1). Rozporządzenie weszło w życie już w maju 2016 r., jednak za cztery miesiące upłynie czas, który został dany przedsiębiorcom na dostosowanie się do nowych wymagań. W praktyce oznacza to, że od 25 maja 2018 r. organ nadzoru będzie mógł sprawdzić, jak przedsiębiorcy przygotowali się do stosowania zmienionych przepisów.