Ochrona danych osobowych po nowemu

1Od 25 maja 2018 roku zacznie obowiązywać unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO), które zastąpi przepisy obecnie obowiązującej w Polsce ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych. Warto dowiedzieć się, jakie obowiązki nałożą na nas nowe przepisy i jakie konsekwencje grożą za ich nieprzestrzeganie.

Rozporządzenie 2016/679 pochodzi z 27 kwietnia 2016 r., a jego tekst został opublikowany tydzień później w Dzienniku Urzędowym Unii Europejskiej. Jest ono, tak jak inne rozporządzenia Parlamentu Europejskiego i Rady (UE), stosowane bezpośrednio we wszystkich państwach członkowskich.

Wprawdzie do wejścia w życie RODO zostało nieco ponad rok, jednak z perspektywy wprowadzanych zmian, może okazać się, że nie jest to aż tak długi okres. Warto zatem dowiedzieć się, jak przygotować swoją organizację i pracowników do nowych zasad i wymogów. Przepisy rozporządzenia będą bowiem bardziej restrykcyjne niż dotychczasowe regulacje. Za ich nieprzestrzeganie wprowadzone zostaną kary nawet do 20 mln euro, a dodatkowe obowiązki nałożone na podmioty przetwarzające dane osobowe będą wymagały od nich większej świadomości w zakresie ochrony danych osobowych.

Kogo dotyczy zmiana przepisów

Reforma ochrony danych osobowych całkowicie zmieni znaną nam w tej dziedzinie rzeczywistość. Obejmie wszystkich przedsiębiorców, a także instytucje, które przetwarzają dane osobowe i oferują swoje usługi osobom przebywającym na terenie Unii Europejskiej. Niezależnie od tego, czy podmioty mają swoją siedzibę poza obszarem Unii Europejskiej, czy też nie. Oznacza to, iż miejsce, w którym dane są rzeczywiście przetwarzane, przestanie mieć jakiekolwiek znaczenie.

Nieprzejrzystość wytycznych

Zapoznając się z treścią RODO, możemy być zawiedzeni i nieco zdezorientowani. Tekst (szczególnie ten w polskim tłumaczeniu) nie jest przyjazny i przejrzysty nawet dla ekspertów specjalizujących się w dziedzinie ochrony danych osobowych. Jednocześnie, przyzwyczajeni do szczegółowych i w miarę precyzyjnych regulacji ustawy o ochronie danych osobowych, możemy mieć wątpliwości związane z przyswojeniem idei unijnych przepisów.

Rozporządzenie nie zawiera konkretnych, klarownych i jasnych wytycznych, dotyczących tego „jak być powinno” – w jaki sposób oraz jakimi środkami dane osobowe, w konkretnej sytuacji, powinny być chronione. Oznacza to, iż od 25 maja 2018 r. nie będziemy mieli już odgórnych wytycznych ustawodawcy. To na administratorze danych osobowych i/lub podmiocie przetwarzającym dane (procesorze) spocznie obowiązek podjęcia odpowiednich środków oraz zagwarantowania wdrożenia i stosowania odpowiednich narzędzi. W zależności od rodzaju, zakresu, celu i skali przetwarzania danych osobowych.

Ocena ryzyka

Na podstawie przeprowadzonej oceny ryzyka, której należy dokonać przed przystąpieniem do przetwarzania danych, administrator danych osobowych lub podmiot przetwarzający będzie zobowiązany opracować indywidualną strategię, zapewniającą adekwatne narzędzia i środki ochrony przetwarzanych danych. Tym samym, stosowanie gotowych rozwiązań, choćby w postaci szablonowych polityk bezpieczeństwa (sprawdzały się one dotychczas np. w przypadku kontroli GIODO), przestanie być skuteczną ochroną przed ewentualnym zarzutem niezapewnienia właściwej ochrony przetwarzanych danych. Decyzje w tym obszarze zależeć będą wyłącznie od administratora danych osobowych. To on poniesie ewentualną odpowiedzialność na naruszenie nowych przepisów.

Administratorem danych osobowych będzie mogła być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Podmiotem przetwarzającym dane będzie zaś osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, która przetwarza dane osobowe w imieniu administratora.

Ochrona prywatności

Organizacje rozrastają się, zmienia się zakres przetwarzanych danych, dlatego tak istotna jest ciągła kontrola nad wewnętrznymi regulacjami dotyczącymi ochrony danych osobowych. Może bowiem zdarzyć się, że raz opracowana strategia nie wystarczy. RODO wprowadza bowiem obowiązek nieustannego dbania o prywatność, a także inicjowanie działań zmierzających do zwiększania jej ochrony. Tym samym, zarówno w momencie planowania strategii ochrony, jak również na późniejszych etapach jej wdrażania, administrator danych osobowych będzie musiał konsekwentnie dbać o obszar ochrony prywatności. Nowe przepisy mają bowiem na celu zaktywizowanie podmiotów przetwarzających dane do nieustannego modyfikowania i poprawy stosowanych środków ochrony, zamiast podejmowania działań ad hoc w sytuacjach kryzysowych, gdy doszło do naruszenia ochrony danych osobowych.

Liczne wymogi

Bartosz_Jakubowski_Nowe_rozwi_zania_legislacyjne_w_walce_z_pedofili__zdj._WojciewskiAdministrator danych osobowych, w myśl idei „rozliczalności”, jaką wprowadza RODO, będzie zobligowany do wykazania, że przepisy rozporządzenia rzeczywiście są przez niego przestrzegane. Realizacja tego obowiązku będzie rodziła konieczność wykazania, że wdrożone strategie, narzędzia, czy polityki ochrony danych osobowych są dostosowane do realnych potrzeb i zakresu przetwarzanych danych osobowych w danej organizacji. Proces ten skomplikowany zostanie przez konieczność analizy zakresu i celu przetwarzania danych, przeprowadzanej już od momentu ich zebrania, aż do czasu usunięcia. Inne wymogi to realizowanie poszerzonego obowiązku informacyjnego, zapewnienie możliwości przenoszenia danych (w formacie nadającym się do maszynowego odczytu), wykorzystywanie szyfrowania i pseudo-anonimizacji (zastąpienie pierwotnych danych osobowych swoistym pseudonimem), a także stosowanie adekwatnych procedur awaryjnych, mających na celu zagwarantowanie bezpieczeństwa przetwarzanych danych osobowych.

Zgłaszanie naruszeń

Unijne przepisy wprowadzają obowiązek zgłaszania naruszeń ochrony danych osobowych. W terminie 72 godzin od stwierdzenia naruszenia, co do zasady każdy incydent związany z naruszeniem ochrony danych osobowych będzie musiał zostać zgłoszony do Generalnego Inspektora Ochrony Danych Osobowych (bądź instytucji, która go zastąpi) wraz z informacją o:

  • charakterze naruszenia ochrony danych osobowych,
  • konsekwencjach tego naruszenia,
  • zastosowanych lub proponowanych środkach mających na celu zaradzenie naruszeniu ochrony danych,
  • wskazanych środkach minimalizujących negatywne skutki naruszeń.

Kary finansowe

Analizując zmiany, jakie niesie za sobą reforma ochrony danych osobowych, nie można pominąć faktu, iż RODO wprowadza finansowe kary za naruszenie przepisów dotyczących ochrony danych osobowych. Zgodnie z nowymi regulacjami, ADO lub podmiot przetwarzający dane osobowe, naruszając przepisy naraża się na karę do 20 mln euro lub 4% swojego całkowitego rocznego światowego obrotu. Mając zaś świadomość, że rozporządzenie wskazuje wyłącznie ogólne wymagania i ramy w obszarze bezpieczeństwa danych osobowych, pozostawiając wybór metod i środków do indywidualnej oceny, podjęcie niewłaściwych decyzji, może być dla organizacji sporym zagrożeniem.

Nowa funkcja

Jednocześnie zmianie ulegnie status administratora bezpieczeństwa informacji. RODO wprowadza bowiem funkcję inspektora ochrony danych osobowych (Data Protection Officer), który co do zasady będzie obligatoryjnie powołany przez administratora danych osobowych i podmiot przetwarzający. Rozporządzenie wskazuje na wymagania i kwalifikacje zawodowe wymagane do pełnienia tej funkcji. Zgodnie z RODO, administrator danych osobowych i/lub procesor będą musieli zagwarantować niezależność i możliwość wykonywania zadań przez inspektora ochrony danych osobowych który będzie mógł być pracownikiem administratora danych osobowych lub pracownikiem procesora, albo wypełniać swoje zadania na podstawie umowy cywilnoprawnej o świadczenie usług.

Mnogość przepisów

Należy podkreślić, że od maja 2018 roku będziemy zobowiązani stosować nie tylko RODO, ale również przepisy krajowe. Reżim ochrony danych osobowych, po wejściu w życie rozporządzenia, będzie bowiem złożony. Obejmie nie tylko reguły wynikające wprost z rozporządzenia. Zagadnienia takie, jak ustanowienie i organizacja organów nadzorczych, czy uszczegółowienie i rozwinięcie zasad ustanowionych w RODO, będą mogły być uregulowane na poziomie przepisów krajowych państw członkowskich UE.

Konieczny audyt

Od 25 maja 2018 roku całkowicie zmieni się zatem system ochrony danych osobowych. Aby w należyty sposób przygotować się do zmian, warto jak najwcześniej rozpocząć analizę panujących w danej organizacji procedur oraz rozpoznać obszary, które będą wymagały modernizacji. W tym celu konieczne wydaje się przeprowadzenie audytu stanu obecnego: inwentaryzacji posiadanych zasobów i polityk bezpieczeństwa pod kątem rodzaju, zakresu, celu i skali przetwarzanych danych osobowych. Tylko w ten sposób możliwe będzie rzetelne i odpowiedzialne zaplanowanie działań i środków (nakładu pracy, zasobów, budżetu) niezbędnych w dostosowaniu się do nowych regulacji.