25 maja 2018 r. zaczną być stosowane nowe regulacje o ochronie danych osobowych – przepisy RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz.Urz. UE z 2016 r. L 119, s. 1). Rozporządzenie weszło w życie już w maju 2016 r., jednak za cztery miesiące upłynie czas, który został dany przedsiębiorcom na dostosowanie się do nowych wymagań. W praktyce oznacza to, że od 25 maja 2018 r. organ nadzoru będzie mógł sprawdzić, jak przedsiębiorcy przygotowali się do stosowania zmienionych przepisów.
Zdążyć przed RODO
Już w maju przedsiębiorcy powinni zakończyć proces przygotowań do stosowania RODO – unijnego rozporządzenia o ochronie danych osobowych. Wydaje się, że o obowiązkach wynikających z tego rozporządzenia powiedziano już bardzo dużo. Jednak w praktyce obserwujemy, że wiele polskich firm nawet nie rozpoczęło prac zmierzających do jego wdrożenia, a niektóre wciąż jeszcze nie mają świadomości, że taki obowiązek na nich spoczywa!
Niniejszym artykułem rozpoczynamy serię artykułów poradniczych, w których przybliżymy najważniejsze zmiany i nowe obowiązki wynikające z RODO.
W pierwszym odcinku proponujemy przypomnienie podstawowych informacji. W celu ułatwienia przedsiębiorcom przygotowania się do wykonywania tych zadań w kolejnych artykułach cyklu omówione zostaną wybrane zagadnienia RODO ze wskazówkami podejścia do realizacji tych obowiązków. Opiszemy, jak przeprowadzić procedurę – tak aby odpowiednio dostosować firmę do nowych wymagań. Przedstawiać będziemy też wyjaśnienia i interpretacje przepisów Ministerstwa Cyfryzacji i głównego inspektora ochrony danych osobowych.
ZOBOWIĄZANI DO STOSOWANIA UNIJNEGO ROZPORZĄDZENIA
RODO to przepisy uchwalone na poziomie Unii Europejskiej, ale mające zastosowanie wprost do polskich przedsiębiorców. W praktyce dotyczyć będą wszystkich, którzy w jakikolwiek sposób przetwarzają dane osobowe.
RODO to rozporządzenie unijne, jednak nie oznacza to, że jego stosowanie w Polsce uzależnione jest od wydania ustawy implementującej przez polski parlament. Przepisy RODO mają zastosowanie bezpośrednio do wszystkich przedsiębiorców, którzy przetwarzają dane osobowe w związku z działalnością gospodarczą prowadzoną w Unii Europejskiej, a zatem do wszystkich polskich przedsiębiorstw, w których działalności wykorzystywane są dane osobowe. RODO ma zastosowanie także do podmiotów, które nie prowadzą działalności na terytorium UE, ale kierują swoją ofertę towarów lub usług do osób, które przebywają na terytorium UE lub monitorują ich zachowanie na terytorium UE.
Dane, które są przetwarzane w związku z działalnością przedsiębiorców, mogą dotyczyć wielu kategorii osób. Obejmują nie tylko dane osobowe klientów czy potencjalnych klientów będących osobami fizycznymi, lecz także dane pracowników, byłych pracowników, kandydatów do pracy, przedstawicieli kontrahentów, użytkowników stron internetowych czy też innych grup osób, których dane osobowe mogą być potrzebne przedsiębiorcy w związku z prowadzoną działalnością.
Od 25 maja tego roku podstawowym aktem prawnym, który będzie regulował zasady przetwarzania danych osobowych, będzie RODO. To w przepisach tego rozporządzenia przedsiębiorcy znajdą zasady, na jakich wolno im przetwarzać (a zatem na przykład zbierać, wykorzystywać, przekazywać lub usuwać) dane osobowe, a także obowiązki, które powinni spełnić wobec osób, których dane osobowe przetwarzają. To także w tych przepisach znalazły się sankcje prawne za niewykonanie lub nieprawidłowe wykonanie tych obowiązków.
BĘDĄ TEŻ POLSKIE REGULACJE
Do przepisów RODO polski ustawodawca uchwali przepisy prawa polskiego. Obejmą te sfery, które nie zostały uregulowane przez RODO.
Nie należy jednak spodziewać się uchwalenia aktu prawnego takiego, jak obowiązująca jeszcze ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922). Przepisy prawa polskiego będą działać uzupełniająco wobec RODO – w zakresie organizacji działania organu nadzorczego, trybu jego postępowania czy ścieżki odwoławczej od decyzji tego organu. Dodatkowo możliwe jest, że dla określonych branż lub sfer działania polskich przedsiębiorców zostaną uchwalone szczegółowe przepisy dotyczące uprawnień lub obowiązków tych przedsiębiorców w związku z przetwarzaniem danych osobowych. Dotyczy to np. profilowania kredytobiorców przez banki lub obowiązków pracodawców związanych z przetwarzaniem określonych kategorii danych osobowych pracowników.
WYMÓG PEŁNEJ GOTOWOŚCI
Stosowanie przepisów RODO stanie się obowiązkowe dla przedsiębiorców od 25 maja tego roku. Trzeba przy tym pamiętać, że to data finalna, a nie początkowa.
Przepisy unijnego rozporządzenia obowiązują już od 24 maja 2016 r., a okres dwóch lat, który minie 25 maja bieżącego roku, został przewidziany przez unijnego ustawodawcę na zapoznanie się ze zmianami, przygotowanie do ich stosowania i wdrożenie niezbędnych wymagań w taki sposób, aby od 25 maja przedsiębiorcy ci byli gotowi do ich wykonywania.
Założono przy tym, że przedsiębiorcy będą gotowi do stosowania nowych przepisów pod koniec maja tego roku, nie zaś, że będą wówczas rozpoczynać przygotowania do ich stosowania. Wskazana data to również graniczna data, od której organ nadzorczy może sprawdzać sposób stosowania wymagań RODO przez przedsiębiorców, a zatem także rozliczać z ich niewykonywania.
BRAK GOTOWEJ RECEPTY
RODO wyznacza cel, który przedsiębiorcy powinni osiągnąć, ale nie wskazuje dokładnej ścieżki dojścia. Tę każdy przedsiębiorca musi znaleźć sam, w zależności od specyfiki działalności swojej firmy.
Polscy przedsiębiorcy przetwarzający dane osobowe zdążyli się już przyzwyczaić do szczegółowych wytycznych dotyczących sposobów zabezpieczenia danych osobowych przed nieuprawionym dostępem lub ich utratą. Oprócz przestrzegania wspomnianej wyżej ustawy o ochronie danych osobowych nałożono na nich obowiązek stosowania środków bezpieczeństwa wynikających z rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024). W akcie tym wskazana była np. wymagana treść dokumentów, takich jak polityka bezpieczeństwa czy instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych. Zawarte były w nim również szczegółowe wytyczne co do haseł zabezpieczających systemy informatyczne, w których przetwarzane są dane osobowe czy zasady odznaczania w systemach informatycznych wprowadzenia i usunięcia danych osobowych. Takie rozwiązanie było wielokrotnie krytykowane za zbytnią szczegółowość i niedopasowanie do zmieniających się technologii i zagrożeń.
Jednym z podstawowych założeń RODO jest neutralność technologiczna. Oznacza to, że w przepisach RODO nie ma szczegółowych wytycznych, jakie rozwiązania techniczne lub organizacyjne należy zastosować, aby uznać, że dane są bezpieczne. Takie ukształtowanie przepisów RODO umożliwić ma w zamyśle ustawodawcy zastosowanie dowolnych rozwiązań technicznych zmierzających do zapewnienia właściwego poziomu bezpieczeństwa, bez narzucania małym czy średnim przedsiębiorcom konkretnych rozwiązań. Takie podejście ma również zapewnić dłuższe życie tego aktu prawnego – nawet w przypadku pojawienia się nieprzewidzianych jeszcze nowych technologii.
W RODO wyznaczony został pewien cel, który przedsiębiorcy powinni osiągnąć, ale – przynajmniej w zakresie zabezpieczeń technicznych i organizacyjnych – nie została wskazana ścieżka, jaką należy do niego dojść. Przedsiębiorca nie znajdzie zatem w tych przepisach wskazówek, jak zabezpieczyć systemy informatyczne przed nieuprawnionym dostępem lub utratą danych, jakie są minimalne wymagania dotyczące tworzenia i przechowywania kopii zapasowych zawierających dane osobowe ani szczegółowych wymagań, jak zapewnić rozliczalność danych osobowych w systemach informatycznych. Na te pytania każdy przedsiębiorca powinien sam poszukać odpowiedzi, kierując się analizą ryzyka związanego z przetwarzaniem danych osobowych w jego organizacji oraz dostępnych mu rozwiązań technicznych i organizacyjnych.
Założenie takie może wydawać się niebezpieczne ze względu na brak ściśle określonych wymagań, przy równoczesnym ryzyku poniesienia sankcji za niewłaściwe zabezpieczenie danych osobowych. Z innej strony nie sposób nie przyznać, że trudno jest postawić takie same wymagania techniczne i organizacyjne w zakresie zabezpieczenia danych osobowych dużym i małym lub średnim przedsiębiorcom. Inne bowiem zagrożenia związane są z przetwarzaniem danych osobowych przez koncern działający na wielu rynkach i wymieniający się danymi osobowymi z poszczególnymi spółkami z grupy, inne zaś w aptece prowadzonej przez dwóch farmaceutów w jednej lokalizacji. Inne są ryzyka związane ze świadczeniem usług płatniczych online, a inne w związku z funkcjonowaniem szkoły. Wymagania RODO powinny być w tym zakresie neutralne dla różnych kategorii przedsiębiorców, nie narzucając im szczegółowych rozwiązań technicznych lub organizacyjnych, których mniejsi przedsiębiorcy nie mogliby spełnić.
Założenie to jest jednak nie do końca prawdziwe, ponieważ niektóre z obowiązków wynikających z RODO, jak chociażby obowiązek umożliwienia przeniesienia danych na żądanie osoby, której dane dotyczą, w formacie nadającym się do wykorzystania u innego przedsiębiorcy, stanowi duże wyzwanie techniczne – bez możliwości jego ograniczenia dla małych lub średnich przedsiębiorców.
KONIECZNOŚĆ WŁĄCZENIA W ZMIANY CAŁEGO PERSONELU
Wdrożenie RODO w praktyce oznacza konieczność zaangażowania się nie tylko na etapie przygotowań przed 25 maja 2018 r., lecz także w trakcie dalszego funkcjonowania firmy po tej dacie.
Warto też zwrócić uwagę, że RODO nie jest regulacją, którą można zastosować jednorazowo. W procesie wdrożenia tych przepisów przedsiębiorcy skupiają się na przygotowaniu nowej treści klauzul zgody na przetwarzanie danych osobowych lub zastanawiają się, jak wykonać do 25 maja obowiązek informacyjny wobec swoich klientów. Tymczasem wdrożenie RODO w przedsiębiorstwie to także przygotowanie procesów, organizacji i samych pracowników lub współpracowników do ciągłego stosowania nowych wymagań w bieżącej działalności firmy związanej z przetwarzaniem danych osobowych.
Z art. 25 RODO wynika chociażby obowiązek uwzględniania ochrony danych osobowych w fazie projektowania nowych rozwiązań technicznych lub działań (np. marketingowych), z którymi związane będzie przetwarzanie danych osobowych. Przy rozpoczęciu każdego takiego nowego projektu niezbędna będzie faza projektowania ochrony danych osobowych. Podobnie będzie w odniesieniu do obowiązku stosowania domyślnej ochrony danych czy przeprowadzania oceny skutków przetwarzania na ochronę danych osobowych.
Na podstawie RODO przyznane zostały nowe uprawnienia osobom, których dane osobowe dotyczą. Z realizacją tych uprawnień wiążą się nowe obowiązki przedsiębiorców, do wykonywania których przedsiębiorcy powinni być gotowi przez cały czas przetwarzania danych osobowych, np. obowiązek trwałego usuwania danych, obowiązek ograniczenia danych czy obowiązek przeniesienia danych.
OBOWIĄZKOWA DOKUMENTACJA
Ciężar udowodnienia spełnienia wymagań RODO spoczywa w całości na przedsiębiorcy. Konieczne jest w tym celu m.in. zgromadzenie odpowiedniej dokumentacji.
Rozliczalność, rozumiana jako możliwość wykazania przez przedsiębiorców stosowania wymagań RODO, stanowi jedną z podstawowych zasad RODO (art. 5 ust. 2).
W przepisach RODO niewiele uwagi poświęcono obowiązkom dokumentacyjnym spoczywającym na przedsiębiorcach. Na tego typu dokumentację składają się:
● rejestr czynności przetwarzania danych osobowych,
● dokumentacja incydentów ochrony danych osobowych oraz
● umowa z podmiotem przetwarzającym.
Dodatkowo, przedsiębiorca będący administratorem powinien zadbać o udowodnienie:
● pozyskania zgody na przetwarzanie danych osobowych,
● wykonania obowiązku informacyjnego,
● wykonania obowiązków związanych z realizacją uprawnień osób, których dane dotyczą,
● przeprowadzenia oceny skutków przetwarzania dla ochrony danych osobowych.
Jednak w tym zakresie w przepisach nie została wskazana forma udowodnienia wykonania takich obowiązków. Na przykład brak jest wskazania, jak prawidłowo udokumentować przeprowadzenie oceny skutków przetwarzania dla ochrony danych. W praktyce powstają już pewne wzory (np. raportu z oceny skutków przetwarzania), jednak w dużej mierze przedsiębiorcy wciąż muszą sami opracowywać odpowiednie dokumenty.
BEZPIECZEŃSTWO - NOWE PODEJŚCIE
Zmieni się podejście do kwestii bezpieczeństwa. Nie trzeba będzie np. zgłaszać zbiorów danych do rejestru organu nadzorczego. Trzeba jednak będzie opracować wewnętrzną politykę bezpieczeństwa.
Na podstawie przepisów RODO nie będzie już obowiązku stworzenia i stosowania polityki bezpieczeństwa czy instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych w kształcie, który polscy przedsiębiorcy znają z obecnie obowiązujących przepisów prawa polskiego.
Znika także obowiązek zgłaszania zbiorów danych do rejestru organu nadzorczego. Zamiast obowiązku pojawiają się natomiast zachęty, w tym do stworzenia i stosowania polityki bezpieczeństwa. Konsekwencją braku istnienia takich obowiązków jest również brak szczegółowych wytycznych, co w polityce bezpieczeństwa powinno się znaleźć. Przedsiębiorcy, którzy chcą mieć u siebie politykę bezpieczeństwa danych osobowych, będą zatem musieli sami określić, jakie najważniejsze informacje należy w niej zamieścić. Pozwala to na dostosowanie takich dokumentów do działalności każdego przedsiębiorcy, ale równocześnie wymusza samodzielne zidentyfikowanie ryzyka związanego z przetwarzaniem danych osobowych i jego zaadresowanie w przygotowywanej dokumentacji.
Przedsiębiorca, który przetwarza dane osobowe, powinien się przygotować na konieczność wykazywania, w jaki sposób zabezpiecza dane osobowe i realizuje uprawnienia osób, których dane przetwarza, choć nie ma szczegółowych wytycznych ani wzorów, jak to robić. Wzrasta zatem znaczenie wszelkich norm ochrony informacji i ochrony danych osobowych, oferowanych przez różne instytucje, jako funkcjonujących już i sprawdzających się do tej pory wzorców postępowania.
Wiele zadań
Wdrożenie RODO wymaga m.in.:
● zinwentaryzowania danych osobowych (m.in. w celu stworzenia rejestru czynności przetwarzania danych),
● przygotowania środków realizacji uprawnień osób, których dane dotyczą (m.in. w zakresie przenoszenia danych, usuwania danych),
● przygotowania procesowego i organizacyjnego do wykonywania i dokumentowania nowych obowiązków (m.in. w celu przeprowadzania oceny skutków przetwarzania dla ochrony danych, projektowania ochrony danych, zgłaszania naruszeń ochrony danych),
● przejrzenia i uzupełnienia dotychczas wykorzystywanych klauzul zgody i klauzul informacyjnych, umów o powierzeniu przetwarzania danych, upoważnień do przetwarzania danych osobowych,
● zbadania, czy w danej organizacji powinien być powołany inspektor ochrony danych.
Oczywiście, wyżej wymienione zadania nie są jeszcze pełną listą kwestii, którymi powinni się zająć przedsiębiorcy przed datą rozpoczęcia pełnego stosowania RODO.
REWOLUCJA CZY EWOLUCJA
Podczas gdy dla niektórych przedsiębiorców wdrożenie zmian nie powinno stanowić problemu, dla innych oznacza to konieczność przeprowadzenia gruntownych zmian.
Wdrożenie RODO u przedsiębiorców powinno stanowić pogłębienie lub dopracowanie dotychczasowych sposobów ochrony danych osobowych, z uwzględnieniem nowych obowiązków. Jednak mimo funkcjonowania dotychczasowych przepisów o ochronie danych osobowych przez ostatnich 20 lat dla niemałej części przedsiębiorców RODO to mimo wszystko rewolucyjna zmiana w sposobie podchodzenia do ochrony danych osobowych. Dla tych przedsiębiorców, dla których jest to zmiana rewolucyjna, czasu na dostosowanie organizacji do działania zgodnego z wymaganiami RODO nie pozostało wiele.
Stanowisko GIODO z 12 stycznia 2018 roku
Czy w przypadku stwierdzenia naruszeń w pierwszym okresie po wejściu RODO od razu urząd będzie nakładał kary, czy przewiduje swoisty okres ulgowy?
W opinii dr Edyty Bielak-Jomaa, generalnego inspektora ochrony danych osobowych, idealnie by było, gdyby tych kar w ogóle nie trzeba było nakładać. Jej zdaniem nie będzie takiej konieczności, jeśli administratorzy będą rzeczywiście dobrze przygotowani do nadchodzących zmian, a mieli na to dwa lata. Niemniej przepisy RODO przewidują kary finansowe i trzeba o tym pamiętać. Wprowadzają też górną ich granicę: jest to 20 mln euro bądź 4 proc. rocznego światowego obrotu firmy. Ale z całą pewnością chodzi tutaj o wielkich graczy, dla których 20 mln euro to nie są wielkie pieniądze. W przekonaniu dr Edyty Bielak-Jomaa istotne jest przede wszystkim budowanie zaufania między firmą a jej klientem. Ważne jest poczucie, iż ktoś, kto wykorzystuje dane osobowe obywatela, rzeczywiście odpowiedzialnie obchodzi się z informacjami na jego temat, i że są one bezpieczne. Niemniej w art. 83 RODO opisane są ogólne warunki nakładania administracyjnych kar pieniężnych, które zobowiązują organ nadzorczy, aby przy ich wymierzaniu brał pod uwagę 11 różnych kryteriów. Dlatego m.in. określanie wysokości kary będzie miało charakter indywidualny. Powołany przepis zobowiązuje zaś organ nadzorczy do tego, aby kary były w każdym przypadku skuteczne, proporcjonalne i odstraszające.
Czy mali i średni przedsiębiorcy będą w kontekście wykonywania obowiązków RODO traktowani przez organ inaczej (łagodniej) niż duzi przedsiębiorcy?
Kwestia ta nie będzie miała znaczenia. Pod uwagę brane będą przede wszystkim sposób przetwarzania danych czy też skala ewentualnych naruszeń. Ponadto przepisy RODO są sformułowane w sposób na tyle ogólny i elastyczny, że zakres obowiązków, które musi wypełnić dany podmiot, zależy głównie od tego, jakie dane i w jaki sposób przetwarza. To zaś często jest zależne od jego wielkości. Niemniej warto zauważyć, że kary to tylko jeden z instrumentów, który ma do dyspozycji GIODO w celu zapewnienia stosowania nowego prawa. RODO zawiera bowiem całą paletę różnych rozwiązań służących wzmocnieniu instytucji ochrony danych osobowych obywateli, które powinny być umiejętnie zastosowane. Przykładowo należą do nich takie uprawnienia jak: wydawanie ostrzeżeń administratorowi danych, udzielanie upomnień czy też nakazanie określonego zachowania, takiego jak spełnienie żądania osoby, której dane dotyczą.
Przepisy RODO nie dają szczegółowych wskazówek, w jaki sposób zabezpieczyć dane osobowe. Jak GIODO będzie oceniał, czy przedsiębiorca zastosował właściwe środki?
RODO nie wskazuje środków technicznych i organizacyjnych, jakie administrator danych powinien zastosować w celu zapewnienia właściwej ochrony przetwarzanym danym. Dotyczy to zarówno danych przetwarzanych w sposób tradycyjny (spisy, kartoteki, skorowidze, wykazy, a także wszelkie pisma występujące w postaci papierowej), jak i danych przetwarzanych przy użyciu systemów informatycznych. RODO stanowi jedynie, że środki, jakie administrator jest zobowiązany zastosować, powinny być odpowiednie do zakresu, kontekstu i celu, a także ryzyka naruszenia ochrony przetwarzanych danych. W tym akcie prawnym nie znajdziemy podpowiedzi, jakie działania należy podjąć, aby takie ryzyko ocenić, ani żadnej metodyki w tym zakresie. RODO stanowi jednak, że przy ocenie ryzyka i ustanawianiu zabezpieczeń minimalizujących to ryzyko należy uwzględnić stan wiedzy technicznej, koszt wdrażania, a także skutki, jak zidentyfikowane zagrożenia mogą wpływać na naruszenie praw i wolność osób, których dane są przetwarzane.
Dlatego teraz musimy nauczyć się nowego podejścia. Zgodnie z nim, niezależnie od wartości, jaką mają określone dane, ważny jest kontekst, w jakim są one przetwarzane. To od niego zależą skutki, jakie może wywołać naruszenie ochrony danych osobowych. Przykładem może być zagrożenie utraty ciągłości dostępu do danych. W przypadku sklepu internetowego ciągłość jest bardzo istotna, zwłaszcza dla właściciela sklepu, bo przekłada się na straty związane ze zmniejszeniem obrotów (klient może zamówić towar w innym sklepie), ale nie krytyczna (klient może zamówić towar później). Natomiast w przypadku usług medycznych brak ciągłości działania, np. w zakresie dostępu do danych medycznych lub usług, może powodować konsekwencje w postaci utraty zdrowia, a nawet życia.
Uwzględnienie kontekstu przetwarzania danych to niezbędny element podejścia opartego na ryzyku. Tylko pełne informacje o kontekście użycia danej informacji pozwolą na rzetelną ocenę skutków związanych z ich brakiem, przekłamaniem lub nieuprawnionym ujawnieniem. Kontekst to również czynniki, które mogą spowodować utratę, nieuprawnione wykorzystanie lub brak dostępu do przetwarzanych danych.
Dla ułatwienia przyjęcia właściwych rozwiązań w tym zakresie GIODO przygotował dwuczęściowy poradnik, który jest dostępny na stronie internetowej urzędu pod linkiem www.giodo.gov.pl/pl/1520282/10294.