Blog
Wiele osób jest przekonanych, że podstawą przetwarzania danych osobowych jest przede wszystkim zgoda osoby, której dane dotyczą. Zgoda taka rzeczywiście została wymieniona jako pierwsza z podstaw przetwarzania danych osobowych w art. 6 ust. 1 RODO. Nie oznacza to jednak, że ta podstawa jest najważniejsza czy pierwsza w hierarchii. Przeciwnie, zgody wymagamy tylko wówczas, gdy nie znajdujemy innej podstawy z art. 6 RODO. Podstawą taką może być m.in. prawnie uzasadniony interes administratora, o którym mowa w art. 6 ust. 1lit. f RODO.
Bardzo wielu przedsiębiorców zadaje sobie w kontekście RODO pytanie: czy mnie to dotyczy? Niestety wielu z nich zakłada, że nowa regulacja ich nie dotyczy, gdyż nie przetwarzają danych osobowych. Wiele osób nadal błędnie utożsamia dane osobowe wyłącznie z takimi danymi jak imię i nazwisko, adres zamieszkania czy PESEL. Tymczasem definicja danych osobowych jest dużo szersza.
W dniu 25.05.2018 r. weszła w życie nowa ustawa o ochronie danych osobowych (ustawa z dnia 10.05.2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), która stanowi krajowy element wdrożenia reformy przepisów o ochronie danych osobowych związanej z wejściem w życie RODO. W nowej ustawie o ochronie danych osobowych znowelizowano m.in. przepisy kodeksu pracy w zakresie stosowania monitoringu wizyjnego (dodano przepisy art. 22(2) – 22(3) kodeksu pracy).
Przepisy RODO wprowadzają w miejsce dotychczasowego Administratora Bezpieczeństwa Informacji (ABI) nowy podmiot, tj. Inspektora Ochrony Danych (IOD). Funkcje tych podmiotów są zbliżone. Obecnie powołanie ABI jest jednak fakultatywne niezależnie od charakteru i rozmiaru przetwarzania danych osobowych, podczas gdy zgodnie z RODO powołanie IOD będzie obligatoryjne m.in. gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.
Zupełnie nowym obowiązkiem wprowadzonym przez RODO jest obowiązek rejestrowania czynności przetwarzania. Obowiązek ten spoczywa na administratorze danych lub podmiocie przetwarzającym, a jego celem jest zachowanie zgodności przetwarzania z przepisami RODO (zob. motyw 83 preambuły do RODO oraz art. 30 RODO). Obowiązek ten zastępuje dotychczasowy obowiązek rejestrowania zbiorów danych w GIODO.