Unijne rozporządzenie znosi obowiązek zgłaszania zbiorów danych osobowych do GIODO. Zamiast tego nakazuje prowadzenie wewnętrznego rejestru przetwarzania, a także m.in. dokumentowania przypadków naruszeń ochrony
Od 25 maja 2018 r. znacznie zmienią się obowiązki w zakresie kształtowania i dokumentowania procesów przetwarzania danych osobowych. Istotne będzie nie tylko to, czy przedsiębiorca przetwarza dane zgodnie z prawem, lecz także czy umie to wykazać.
Nowe unijne rozporządzenie o ochronie danych osobowych (RODO; rozporządzenie Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. [UE] 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych; Dz.Urz. UE z 2016 r. L 119, s. 1), obok dotychczasowych zasad przetwarzania, takich jak zasada minimalizacji danych, integralności czy transparentności, wymienia dodatkowo zasadę rozliczalności. Zgodnie z nią administrator musi być w stanie wykazać, że przestrzega pozostałych zasad ochrony danych. Rodzi to liczne dodatkowe obowiązki rejestracyjne i dokumentacyjne. Zasada rozliczalności znalazła odzwierciedlenie w wielu szczegółowych przepisach.
Rejestr przetwarzania
Rozporządzenie znosi obowiązek zgłaszania zbiorów danych osobowych do generalnego inspektora ochrony danych osobowych. Zamiast tego nakazuje prowadzenie wewnętrznego rejestru przetwarzania. Jego zawartość ma być zbliżona do treści obecnie dokonywanych zgłoszeń (będzie zawierał m.in. kategorie danych osobowych, kategorie osób, których dane dotyczą, cele przetwarzania i kategorie odbiorców). Powinni go prowadzić nie tylko administratorzy, lecz także procesorzy (np. dostawca hostingu, firma oferująca outsourcing księgowy).
Formalnie z obowiązku prowadzenia rejestru zwolnione będą podmioty zatrudniające mniej niż 250 osób. Co jednak istotne, wyłączenie to nie ma zastosowania, gdy przetwarzanie:
- może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą (np. ryzyko ujawnienia danych osobom niepowołanym),
- nie ma charakteru sporadycznego (a więc następuje regularnie, choćby w niewielkiej skali), lub
- dotyczy danych wrażliwych (tj. ujawniających m.in. pochodzenie etniczne, poglądy polityczne i dotyczących zdrowia).
Zwolnienie jest więc znacznie zawężone – na tyle, że w praktyce obowiązek prowadzenia rejestru będzie prawdopodobnie dotyczył większości przedsiębiorców przetwarzających dane osobowe (np. swoich klientów, pracowników etc.).
Wyznaczenie inspektora
Już na gruncie obecnych przepisów wielu przedsiębiorców powołało administratora bezpieczeństwa informacji. Na gruncie RODO powołanie osoby odpowiedzialnej za bezpieczeństwo przetwarzania – zwanej w rozporządzeniu inspektorem ochrony danych – będzie w wielu przypadkach obowiązkowe.
wObowiązek powołania inspektora będzie dotyczył podmiotów, których główna działalność polega na przetwarzaniu wymagającym regularnego i systematycznego monitorowania osób na dużą skalę. Jak wynika z motywów rozporządzenia, przez monitorowanie należy rozumieć także monitorowanie zachowania internautów służące prognozowaniu ich preferencji, co dotyczy w zasadzie całej branży reklamy internetowej.
wInspektora będą musieli powołać także administratorzy, których główna działalność polega na przetwarzaniu danych wrażliwych na dużą skalę (co może się odnosić zwłaszcza do podmiotów z sektora medycznego, choć nie do pojedynczych lekarzy), oraz podmioty publiczne (z wyjątkiem sądów).
Rolą inspektora będzie m.in. monitorowanie przestrzegania RODO przez przetwarzającego. Powinien on mieć fachową wiedzę na temat prawa i praktyk w omawianej dziedzinie. Powinien też być „właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych”, co dla dużych podmiotów może być nie lada wyzwaniem.
Dokumentowanie naruszeń
Każdy administrator będzie zobowiązany dokumentować wszelkie naruszenia ochrony danych osobowych, w tym ich okoliczności, skutki oraz podjęte działania zaradcze. Definicja naruszenia ochrony danych może przy tym obejmować nie tylko przypadki włamań do systemów informatycznych, lecz także zgubienie laptopa czy wysłanie e-maila do niewłaściwej osoby.
Niezależnie od obowiązku rejestracji naruszeń zapewnienie właściwej reakcji na nie (np. zgłoszenie organowi nadzoru w ciągu 72 godzin) oraz ograniczenie strat finansowych i wizerunkowych wymaga wcześniejszego przygotowania. Uzasadnione będzie zwykle opracowanie procedur wykrywania naruszeń (przewidujących np. instalowanie i aktualizowanie oprogramowania antywirusowego oraz przeglądy logów), procedur postępowania na wypadek wystąpienia naruszenia (które powinny wskazywać m.in. osoby odpowiedzialne za koordynację działań) oraz przeszkolenie pracowników. W chwili wystąpienia naruszenia nie będzie bowiem czasu na opracowanie strategii działania.
Ochrona w fazie projektowania
Rozporządzenie nakazuje uwzględniać ochronę danych osobowych już w fazie projektowania (by design) procesów, produktów i usług. Oznacza to, że zarówno wewnętrzne, jak i zewnętrzne procesy przetwarzania danych powinny umożliwiać realizację podstawowych zasad ich ochrony, takich jak zasada minimalizacji czy zasada ograniczenia przechowywania. Systemy IT powinny być zatem projektowane w taki sposób, aby dostęp do konkretnych danych miały wyłącznie te osoby, które muszą go mieć. Tam, gdzie to możliwe i celowe, dane powinny być ponadto tak zapisywane, aby niemożliwe było ich powiązanie z konkretną osobą fizyczną bez dodatkowych informacji.
Rozporządzenie nakazuje również, aby domyślnie (by default) przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. W konsekwencji podstawą zarzutu naruszenia RODO może być np. wprowadzenie niepotrzebnych pól do przedkładanego klientom formularza albo zbieranie przez aplikację mobilną informacji na zapas.
Większość przedsiębiorców nie analizuje, czy zakres zbieranych danych osobowych odpowiada powyższym zasadom. Niektórzy przetwarzający celowo zbierają (np. od klientów lub potencjalnych klientów) więcej informacji, niż potrzebują, zakładając, że te nadmiarowe będą mogli wykorzystać w przyszłości (co niekiedy istotnie przyczynia się do powstania nowych usług, z korzyścią dla konsumentów). Jeszcze przed 25 maja 2018 r. obie grupy powinny jednak zweryfikować swoją strategię.
Ocena skutków
Rozporządzenie zobowiązuje też przetwarzających do przeprowadzenia oceny skutków przetwarzania. Trzeba jej dokonywać wtedy, gdy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Rozporządzenie precyzuje, że ma to miejsce w szczególności w przypadku:
a) systematycznego i kompleksowego zautomatyzowanego przetwarzania prowadzącego do podejmowania wobec jednostek istotnych dla nich decyzji,
b) przetwarzania danych wrażliwych na dużą skalę i
c) systematycznego monitorowania na dużą skale? miejsc dostępnych publicznie.
Obowiązkowa ocena skutków przetwarzania będzie więc nierzadko dotyczyć podmiotów z sektora bankowego, ubezpieczeniowego czy usług medycznych, ale może też objąć np. twórców aplikacji monitorujących aktywność fizyczną czy wspomagających odchudzanie.
Ta ocena służy do szacowania ryzyka naruszenia praw lub wolności osób, których dane dotyczą (np. ryzyka nieuprawnionego ujawnienia danych, podjęcia błędnych decyzji), a także ma pomóc w ustaleniu środków ograniczenia go. Musi obejmować systematyczny opis planowanych operacji przetwarzania i jego celów oraz ustalenie, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów (np. czy zamierzone efekty można osiągnąć, zbierając mniej danych). Przedsiębiorcy „narażeni” na dokonywanie oceny skutków przetwarzania powinni rozważyć wprowadzenie wewnętrznych wytycznych i formularzy wspomagających ten proces (wskazujących, kiedy należy go wdrożyć i co należy zweryfikować).
Nieprzeprowadzenie oceny skutków przetwarzania jest naruszeniem samym w sobie, niezależnie od tego, czy następnie dojdzie do jakiegokolwiek uchybienia wobec praw lub wolności podmiotów danych. Za brak oceny (podobnie jak za naruszenie pozostałych opisanych wyżej obowiązków) grozi kara do 10 mln euro lub 2 proc. rocznego światowego obrotu z poprzedniego roku obrotowego.
PODSUMOWANIE
Zasada rozliczalności nakazuje podmiotom przetwarzającym dane pozostawanie w ciągłej gotowości do wykazania organowi nadzorczemu i podmiotom danych, że dokonują tego przetwarzania zgodnie z prawem. Realizacja zasady wymaga wdrożenia wielu mechanizmów i procedur, wprowadzenia stosownych rejestrów, a niekiedy także przeprojektowania produktów, usług i aplikacji.
Jakub Łabuz, radca prawny, managing associate, Deloitte Legal
Maciej Marek, adwokat, senior associate, Deloitte Legal
CYKL: EUROPEJSKA REFORMA OCHRONY DANYCH OSOBOWYCH – JAK SIĘ DO NIEJ PRZYGOTOWAĆ (CZ. 4)
25 maja 2018 r. nowe unijne rozporządzenie o ochronie danych osobowych (RODO) zastąpi obowiązującą polską ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.). Ze względu na znaczną liczbę zmian i ich znaczenie, a także dotkliwe sankcje czas rozpocząć przygotowania do nowych regulacji. Kontynuujemy dziś cykl tekstów, w którym przybliżamy najważniejsze zmiany i nowe obowiązki, oraz zamieszczamy praktyczne wskazówki ekspertów.
W poprzednich odcinkach pisaliśmy:
● „Bezpieczeństwo przetwarzania i zgłaszanie naruszeń dotyczących personaliów na nowych zasadach”, Firma i Prawo z 10 stycznia 2017 r. (DGP nr 6/4405)
● „Podejmowanie zautomatyzowanych decyzji wpływających na sytuację jednostki wymaga nadzoru”, Firma i Prawo z 17 stycznia 2017 r. (DGP nr 11/4410)
● „Więcej uprawnień dla osób fizycznych i więcej obowiązków po stronie przetwarzających dane osobowe”, Firma i Prawo z 31 stycznia 2017 r. (DGP nr 21/4420)