Po 25 maja 2018 r. zmienią się wymogi co do środków technicznych i organizacyjnych, jakie administrator powinien wziąć pod uwagę przy zabezpieczaniu danych osobowych. Ich brak jest zagrożony karą administracyjną w wysokości do 10 mln euro lub 2 proc. rocznego światowego obrotu przedsiębiorcy.
Chociaż unijne rozporządzenie o ochronie danych osobowych (skrótowo określane mianem „RODO”; zaś pełna nazwa to rozporządzenie Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych”, Dz. Urz. UE z 2016 r. L 119 s.1) stanie się skuteczne dopiero za półtora roku, to nowe obowiązki – m.in. w zakresie zabezpieczenia danych osobowych i zgłaszania naruszeń – są na tyle istotne, a sankcje z nimi związane na tyle surowe, że warto już teraz przygotować się do jego stosowania.
1. Szerszy katalog środków bezpieczeństwa
Nowe rozporządzenie, podobnie jak obecnie obowiązująca dyrektywa, nakazuje zabezpieczenie danych osobowych przy użyciu „odpowiednich środków technicznych i organizacyjnych”, przy uwzględnieniu stanu techniki, specyfiki przetwarzania, ryzyka naruszeń oraz kosztów wdrożenia. Nowością są jednak sugestie co do tego, jakie środki bezpieczeństwa administrator powinien wziąć pod uwagę.
RODO nakazuje rozważenie wdrożenia m.in.:
- pseudonimizacji szyfrowania (przetworzenie danych osobowych tak, by nie można ich było już przypisać konkretnej osobie bez dodatkowych, osobno zabezpieczonych informacji),
- zdolności „do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania” (jest to nawiązanie do tzw. triady CIA; ta bardzo ogólna przesłanka może obejmować wiele kategorii środków zabezpieczających dane na wypadek sytuacji kryzysowych, takich jak klęski żywiołowe, awaria sprzętu czy kradzież),
- zdolności „do szybkiego przywrócenia dostępności danych” (co odnosi się przede wszystkim do kopii bezpieczeństwa) oraz
- procesów zapewniających „regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych”.
Powyższy katalog jest dość ogólny i ma charakter otwarty. Ciężar ustalenia zabezpieczeń odpowiednich dla danej organizacji będzie więc spoczywał przede wszystkim na niej samej. Choć wybór środków powinien zawsze odpowiadać aktualnym potrzebom i możliwościom, niemniej jednak nawet niewielka organizacja (tj. nawet mały przedsiębiorca) przetwarzająca dane osobowe powinna stosować standardowe środki ochrony, takie jak: firewalle i programy antywirusowe, systemy zarządzania kontrolą dostępu, odpowiedni podział uprawnień, procedury aktualizacji oprogramowania i procedury zmiany haseł.
Organizacyjne środki bezpieczeństwa powinny oczywiście znaleźć odzwierciedlenie w odpowiednich politykach ochrony danych, chyba że byłoby to nieproporcjonalne w kontekście specyfiki danej organizacji.
Ponieważ proces wdrażania zabezpieczeń jest zazwyczaj długotrwały, a same ogólne reguły bezpieczeństwa danych osobowych zmienią się nieznacznie, warto już obecnie zająć się ich implementacją. Na gruncie RODO brak właściwych środków bezpieczeństwa jest bowiem zagrożony karą administracyjną w wysokości do 10 mln euro lub 2 proc. rocznego światowego obrotu z poprzedniego roku obrotowego.
2. Zgłaszanie naruszeń po nowemu
Obecnie obowiązek zawiadamiania o naruszeniu danych osobowych mają jedynie przedsiębiorcy telekomunikacyjni. RODO rozszerza ten obowiązek na wszystkich administratorów.
Termin. W przypadku „naruszenia ochrony danych osobowych” administrator będzie musiał niezwłocznie (w miarę możliwości w ciągu 72 godzin) poinformować o nim GIODO. Przez naruszenie ochrony danych osobowych rozporządzenie rozumie „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych”.
W jakich sytuacjach. Definicja naruszenia obejmuje więc nie tylko przypadki włamań do systemów informatycznych, ale tak prozaiczne zdarzenia, jak np. zgubienie laptopa czy wysłanie e-maila do niewłaściwej osoby (o ile oczywiście prowadzą do nieuprawnionego dostępu do danych osobowych). Ponadto, w przeciwieństwie do rozwiązań przyjętych w wielu stanach USA, obowiązek notyfikacji aktualizuje się niezależnie od tego, czy naruszenie dotyka dużych zbiorowości, czy też pojedynczych osób.
Treść zgłoszenia. Zgłoszenie powinno zawierać co najmniej opis charakteru naruszenia, dane kontaktowe inspektora ochrony danych lub innej właściwej osoby, opis możliwych konsekwencji naruszenia oraz dokonanej lub proponowanej reakcji na naruszenie (w szczególności środków zmierzających do ograniczenia jego negatywnych skutków). Jeśli podanie wszystkich powyższych informacji nie jest możliwe od razu, informacje mogą być przekazywane partiami.
Wyłączenie. Rozporządzenie zwalnia administratora z obowiązku zawiadomienia GIODO, gdy jest „mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”. Niestety, nie wiadomo, w jaki sposób przesłanka „ryzyka naruszenia praw lub wolności” będzie interpretowana przez organy. Do czasu ukształtowania się praktyki organów administratorzy danych osobowych powinni ją jednak interpretować bardzo szeroko.
Sankcje. Brak zgłoszenia naruszenia, zgłoszenie spóźnione lub niepełne jest zagrożone wspomnianą karą administracyjną w wysokości do 10 mln euro lub 2 proc. rocznego światowego obrotu z poprzedniego roku obrotowego. Ewentualna pomyłka może więc słono kosztować.
3. Zawiadomienie poszkodowanych
Jeżeli natomiast naruszenie ochrony danych osobowych może powodować „wysokie ryzyko naruszenia praw lub wolności osób fizycznych”, administrator musi również zawiadomić osoby, których dane dotyczą.
Wyjątki. Z obowiązku takiego zawiadomienia administrator jest zwolniony tylko w trzech przypadkach:
- gdy „wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie”. Chodzi tu przede wszystkim o zaszyfrowanie danych w sposób zapewniający ich bezpieczeństwo;
- gdy „zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą”;
- gdy takie zawiadomienie wymagałoby „niewspółmiernie dużego wysiłku” (co należy z pewnością ustalać przy uwzględnieniu kosztu zawiadomienia oraz potencjalnych strat związanych z jego brakiem). Jednakże w takim przypadku administrator musi wydać publiczny komunikat (np. na stronie internetowej) lub zastosować podobny środek, tak aby osoby, których dane wyciekły, zostały poinformowane o naruszeniu „w równie skuteczny sposób”.
Sankcje. Niezawiadomienie osób, których dane zostały naruszone, zawiadomienie ich zbyt późno lub w niewłaściwy sposób także jest zagrożone karą administracyjną w wysokości do 10 mln euro lub 2 proc. rocznego światowego obrotu z poprzedniego roku obrotowego.
4. Obowiązki procesora
Natomiast tzw. processor (według unijnego rozporządzenia – podmiot przetwarzający dane na rzecz administratora, np. dostawca serwerów poczty elektronicznej, firma księgowa, firma realizująca outsourcing płac) w przypadku naruszenia ma jedynie obowiązek poinformować administratora (nie musi więc informować GIODO ani podmiotów danych).
Dobrze skonstruowane umowy powierzenia danych już teraz nakładają na processorów taki obowiązek. Niemniej jednak na gruncie RODO processor będzie ponosił nie tylko odpowiedzialność kontraktową wobec administratora, ale także bezpośrednią odpowiedzialność administracyjną (z możliwością nałożenia na niego kary, o której mowa powyżej).
Reasumując. Odpowiednie zabezpieczenie danych i zgłaszanie naruszeń należy do podstawowych obowiązków wynikających z RODO i powinny być uwzględnione w przygotowaniach do wdrożenia regulacji. Ułatwieniem jest podobieństwo aktualnych i przyszłych zasad. Zatem warto rozważyć implementację stosownych zabezpieczeń z wyprzedzeniem.

CYKL: EUROPEJSKA REFORMA OCHRONY DANYCH OSOBOWYCH – JAK SIĘ DO NIEJ PRZYGOTOWAĆ

Choć nowe unijne rozporządzenie o ochronie danych osobowych (RODO) zastąpi dotychczasową polską ustawę o ochronie danych osobowych dopiero 25 maja 2018 r., to ze względu na znaczną liczbę zmian i ich znaczenie, a także olbrzymie kary w przypadku niedostosowania – wielu przedsiębiorców już rozpoczęło proces przygotowywania się do nowych regulacji. Niestety, nieostrość wielu użytych w dokumencie pojęć powoduje trudności interpretacyjne. Przedsiębiorcy mają wątpliwości, jak rozumieć przepisy.

Rozpoczynamy dziś zatem publikację cyklu tekstów, w którym nie tylko przybliżymy najważniejsze zmiany i wynikające z nich obowiązki, ale także zamieścimy praktyczne wskazówki ekspertów. Podpowiedzą oni naszym czytelnikom, jak przygotować się do prawdziwej rewolucji w europejskiej ochronie danych osobowych.