Ustawa „wdrażająca RODO” w końcu podpisana
Niespełna rok od bezwzględnego stosowania przepisów ogólnego rozporządzenia o ochronie danych osobowych, tzn. 3 kwietnia 2019 r prezydent podpisał ustawę z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej ustawa wdrażająca RODO. Przepis ma na celu dostosowanie obowiązujących przepisów prawa do wymagań RODO. Oznacza to, że przepis został uchwalony, gdy już zostały wypracowane pewne standardy stosowania RODO i będzie wiązał się z dokonaniem ponownej weryfikacji dotychczasowo przyjętych procedur. Treść ustawy wdrażającej RODO dostępna tutaj.Poprzez ustawę wdrażającą RODO wielu administratorów, poprzez odpowiednie zmiany w obowiązujących ich przepisach sektorowych, zostało zobligowanych do wydawania upoważnień do przetwarzania danych osobowych na piśmie. Jest to krok wstecz, gdyż dotychczas nie było określonego standardu nadawania upoważnień, nawet GIODO podkreślał, że nie jest istotna forma upoważnienia, a jego rozliczalność. W wielu dużych podmiotach wdrożono elektroniczne systemy zarządzania upoważnieniami, które ułatwiały sprawne nadawanie, zmienianie i odwoływanie upoważnień, a także nadzór nad nimi. Z przepisów ustawy wdrażającej RODO wynika obowiązek nadania pisemnych upoważnień osobom prowadzącym rekrutację, czy komisji przyznającej świadczenia z ZFSŚ. Administrator, który dotychczas stosował elektroniczne upoważnienia stanie przed dylematem, czy stosować dwa rodzaje upoważnień, czy wprowadzić pełny system upoważniania na piśmie. W ustawie wdrażającej RODO wskazano, że osoby upoważnione do przetwarzania danych muszą być także zobligowane do zachowania tych danych w tajemnicy lub poufności, przy czym stosuje się te słowa zamiennie, tak jak synonimy. Jest to niefortunne podejście, gdyż zarówno w RODO, jak i dotychczasowych przepisach rozróżniało się zobligowanie kogoś do poufności od tajemnic zawodowych, przedsiębiorstwa, państwowych, itd. Adwokat, doradca podatkowy czy lekarz jest ustawowo zobligowany do zachowania tajemnicy. Osoba przetwarzająca dane powinna być zobligowana na podstawie umowy lub pisemnego oświadczenia do zachowania wszelkich danych (w tym sposobów ich zabezpieczeń w poufności).
W ustawie pojawiły się także bezpośrednie wskazania administratorów danych przetwarzanych na podstawie poszczególnych przepisów oraz wskazano czasy przechowywania danych osobowych przez poszczególne podmioty, Były to zmiany wyczekiwane i potrzebne.
W najbliższym czasie będę omawiać niektóre zmiany sektorowe wynikające z ustawy wdrażającej RODO.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.
