Ta strona używa cookies do celów analitycznych.

22/03/2021

Mity RODO w IT.

W stosowaniu przepisów Ogólnego rozporządzenia o ochronie danych (zwanego dalej: RODO) niejednokrotnie pojawiają się błędne praktyki, niepoparte przepisami RODO lub wręcz z nimi sprzeczne. Dziś piszemy o kilku mitach w stosowaniu przepisów RODO w branży IT.

 

MIT: W razie wątpliwości zawsze lepiej uzyskać pisemną zgodę na przetwarzanie danych osobowych współpracownika/klienta, nawet jeżeli zawieramy z nim umowę b2b lub umowę wdrożenia i dostawy oprogramowania, a podanie tych danych są niezbędne do zawarcia  tej umowy. Warto uzyskać taką zgodę na tzw. wszelki wypadek. Najlepiej uzależnić podpisanie umowy od uzyskania takiej zgody.

FAKT: Zgoda na przetwarzanie danych osobowych musi być wyraźna, dobrowolna, konkretna, świadoma. Zgodę taką charakteryzuje również to, że można ją wycofać w każdym czasie. Wymaganie i pobieranie takiej zgody w sytuacji, gdy zawieramy umowę z współpracownikiem lub klientem i jego dane osobe są niezbędne do realizacji tej umowy, jest sprzeczne z zasadami RODO. Tak odebrana zgoda nie będzie miała charakteru zgody dobrowolnej.  (Źródło: motywy 32-33 RODO, 42-43 RODO, art. 6 ust. 1 lit. b RODO, art. 7 RODO).

 

MIT: Administrator danych (Klient) powierzając dane osobowe przenosi na Podmiot przetwarzający (Spółka IT)  wszystkie obowiązki wynikające z RODO i swoją odpowiedzialność w tym zakresie na Podmiot przetwarzający lub Podmiot przetwarzający (Spółka IT) może się całkowicie zrzec odpowiedzialności za przetwarzanie danych lub szkodę związaną z umyślnym nieprzestrzeganiem przepisów RODO.

FAKT: Oba podmioty (zarówno Administrator jak i Podmiot przetwarzający) pozostają odpowiedzialne za przestrzeganie przepisów RODO oraz za szkodę spowodowaną nieprzestrzeganiem przez nich obowiązków wynikających z przepisów RODO. Jakiekolwiek wyłącznie odpowiedzialności za proces przetwarzania i obowiązki w tym zakresie Administratora lub Podmiotu przetwarzającego wynikające z przepisów RODO, nie jest możliwe. (Źródło: art. 28 RODO, art. 82 RODO).

 

MIT: Ochrona danych osobowych w IT polega przede wszystkim na ochronie tych danych przed usunięciem. Oznacza, że należy je przechowywać jak najdłużej i nie wolno ich usuwać ani z systemu,ani z jakikolwiek nośników.

FAKT: Ochrona danych osobwych nie polega na jak najdłuższym przechowywaniu tych danych. Jest wręcz przeciwnieDane osobowe powinny być przechowywane z zachowaniem zasady ograniczenia czasowego tj. przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Tym samym, każdy z Administratorów danych powinien ustalić (np. w tabelach retencji) ile czasu powinien przechowywać daną kategorię danych osobowychi i po tym okresie je trwale usunąć..  Dane osobowe  powinien usunąć również Podmiot przetwarzający po zakończeniu umowy powierzenia przetwarzania danych osobowych chyba, że posiada podstawę prawną do przetwarzania tych danych osobowych. Usunięcie danych może nastąpić również na wniosek osoby fizycznej której dane dotyczą, po spełnieniu jednej przesłanek wskazanych w RODO. (Źródło: art. 5 ust. 1 lit.e, art. 17 RODO, art. 28 RODO).