Co i jak zmienia się w obowiązku informacyjnym pod rządami RODO?

Specjalista: Tomasz Klemt

Stanowisko: radca prawny

Data dodania: 04-01-2018

Rozporządzenie o ochronie danych osobowych (RODO) wejdzie w życie w całej Unii Europejskiej już 25 maja 2018 roku. Mimo, że do tej daty zostało mniej niż sześć miesięcy, część organizacji nadal ma wiele pytań i wątpliwości jak poprawnie zastosować RODO w praktyce.

Jednym z obowiązków, który dotknie niemalże każdego przedsiębiorcę przetwarzającego dane osobowe, jest konieczność wypełnienia obowiązku informacyjnego. Podawanie określonych informacji nie jest niczym nowym – dziś wymogi w tym zakresie precyzują art. 24 i 25 ustawy o ochronie danych osobowych. Na czym więc polega problem z obowiązkiem informacyjnym?

Po pierwsze – konieczne jest zachowanie odpowiedniego sposobu podania informacji. Muszą być one przedstawione w sposób zwięzły, przejrzysty i zrozumiały. Nie powinny więc składać się ze zdań wielokrotnie złożonych, gdzie na końcu zdania nie pamiętamy, od czego się one zaczynało. Język musi być jasny i prosty. Co jednak najważniejsze – od maja 2018 roku podawać trzeba będzie nawet ponad dwa razy więcej informacji niż dotychczas. Wiąże się z tym dużo pytań – np. jakie dane kontaktowe inspektora ochrony danych podawać.

Szczególnym wyzwaniem dla branży ubezpieczeniowej będzie sprecyzowanie podstaw prawnych poszczególnych celów przetwarzania danych. Tutaj konieczna jest wszechstronna i dogłębna analiza systemowa przepisów dotyczących branży ubezpieczeniowej. Istnieje bowiem wiele odmiennych celów i podstaw prawnych łatwo któreś pominąć lub błędnie przypisać podstawę prawną. Przykładowo – cele w postaci reasekuracji ryzyk czy przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu mają inne podstawy prawne. Warto zadbać, aby tak stworzone klauzule informacyjne nadal były jasne i przejrzyste oraz nie miały zbyt dużej objętości, która odstraszy przed zapoznaniem się z nimi.

Ponadto zmienia się obowiązek administratora danych w przypadku, gdy nastąpi sprostowanie lub usunięcie danych osobowych. Do tej pory art. 35 ustawy o ochronie danych osobowych mówił o udostępnieniu zbioru danych, które generuje konieczność poinformowania innych administratorów o ich uaktualnieniu lub sprostowaniu. RODO przewiduje z kolei informację o sprostowaniu lub usunięciu danych nawet jednego podmiotu (art. 19). W konsekwencji zakład ubezpieczeń ujawniający dane osobowe agentowi ubezpieczeniowemu będzie musiał wiedzieć co i komu zostało ujawnione, aby bieżąco informować o aktualizacji stanu danych osobowych. Generować to może konieczność dodania nowych informacji w zakresie wewnętrznych rejestrów udostępnianych danych osobowych.

Konsekwencją nadchodzących zmian powinien być przegląd klauzul informacyjnych oraz wewnętrznych procedur związanych z przetwarzaniem danych osobowych. Pozwoli to na unikniecie dotkliwych kar sięgających nawet 20 milionów euro.

Komentarze (0)
lista opinii