25 maja 2018 r. weszło w życie nowe rozporządzenie RODO, a także nowa ustawa o ochronie danych osobowych. To jednak nie wszystko. 22 lutego 2019 r. uchwalono przepisy wprowadzające RODO. Część tych regulacji weszła w życie już 4 maja 2019 r. Przepisy te przewidują liczne zmiany z zakresu ochrony danych osobowych w różnych branżach. Chcesz zawsze być na czasie i otrzymywać aktualne informacje odnośnie do zmian w systemie ochrony danych osobowych? Skorzystaj z magazynu "Dokumentacja ODO"

Zgoda na przetwarzanie danych powinna być wyrażona konkretnie, świadomie, jednoznacznie i dobrowolnie, nie tylko w formie oświadczenia ale też w formie wyraźnego działania potwierdzającego, przyzwalającego na przetwarzanie danych osobowych.

Przykład: Zgodą jest nie tylko pisemne oświadczenie osoby, której dane dotyczą ale także np.

• przytaknięcie,
• oświadczenie ustne złożone w rozmowie telefonicznej,
• wysłanie e-maila z potwierdzeniem wyrażenia zgody,
• zaznaczenie okienka w checkboksie.

Możliwość odbierania zgody w formie innej niż pisemna nie oznacza, że nie ma obowiązku rejestrowania pozyskanych zgód. Otóż zgodnie z regułą rozliczalności (art. 5 ust. 2 RODO) administrator musi być w stanie wykazać, że przetwarza dane na podstawie zgody i że zgoda odpowiada wymaganiom RODO. W szczególności organ kontrolny może sprawdzić czy:

• zgoda została w istocie wyrażona,
• zapytanie o zgodę zostało przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem,
• podmiot danych może w każdym momencie z łatwością wycofać zgodę,
• czy zgoda została wyrażona dobrowolnie, a w szczególności, czy od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy (art. 7 RODO).

Konieczność rozliczenia się ze spełnienia tych wymogów uzasadnia rejestrowanie (ewidencjonowanie) zgód na przetwarzanie. Tymczasem wielu administratorów nie prowadzi żadnego rejestru zgód udzielonych przez podmiot danych, a tym bardziej nie rejestruje treści udzielonych zgód. Nie mogąc wykazać tego, kto udzielił zgody, jaka jest treść tych zgód, administrator może narazić się na poważne problemy nie tylko w przypadku postępowania kontrolnego, ale także wówczas, gdy trzeba będzie wykazać podstawy prawne przetwarzania danych osobowych względem podmiotu danych.

Przykład: Użytkownik udziela zgody na przetwarzanie danych poprzez zaznaczenie checkboksa w formularzu internetowym. Może wydawać się, że wystarczy wskazać, iż nie jest możliwe zarejestrowanie konta wyrażenia zgody na przetwarzanie danych. Niemniej jednak jeżeli zmieniony zostanie kod strony i rejestracja nie będzie już konieczne. Administrator może mieć wówczas problem wykazać, że w danym dniu gdy podmiot się rejestrował, strona miała taki a nie inny kod źródłowy. Dlatego bardzo przydatne będą tu zapisy (w tzw. logach) dotyczące wyborów użytkownika w formularzu internetowym.

Analiza Ryzyka dla ochrony danych osobowych

Warszawa, 28 lutego

Czy jesteś gotowy do działania według nowych przepisów RODO? Czy wiesz, że jeśli wyznaczysz inspektora ochrony danych, musisz udostępnić jego dane kontaktowe i umożliwić kontakt z nim nie tylko nowemu organowi nadzorczemu, ale również osobom, których dane przetwarzasz – swoim klientom?

Jeśli chcesz dowiedzieć się, jak to zrobić, zostań prenumeratorem magazynu „Dokumentacja ODO”! Zyskaj dostęp do praktycznych wskazówek dotyczących funkcjonowania IOD.

Oprócz tego „Dokumentacja ODO” dostarczą Ci wskazówek dotyczących:

• Przygotowania wzorów zgód,
• Polityki bezpieczeństwa danych osobowych,
• Ewidencji osób upoważnionych do przetwarzania danych,
• Odpowiedzialności za naruszenia.

Przetestuj pierwszy numer bezpłatnie »