O reformie ochrony danych osobowych

Od dnia 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w skrócie RODO.Europejski Inspektor Ochrony Danych, EDPS, EDPO

Nowa perspektywa przetwarzania i ochrony danych osobowych od 25 maja 2018 roku

Wszystkie podmioty przetwarzające dane osobowe do dnia 25 maja 2018 roku muszą przygotować swoją organizację do nowych zasad przetwarzania i ochrony danych osobowych. Przepisy europejskiego rozporządzenia o ochronie danych osobowych (RODO) nakładają szereg nowych wymagań, które dotychczas nie funkcjonowały w zakresie obowiązujących przepisów prawa.

Swoboda w projektowaniu systemu ochrony danych

Najistotniejszą zmianą charakteryzującą nadchodzącą reformę jest nowe podejście do ochrony danych osobowych. Wszyscy administratorzy danych zyskają swobodę w określaniu niezbędnych warunków organizacyjnych i technicznych służących przetwarzaniu danych osobowych.

Z jednej strony tą samodzielność można przyjąć z ulgą. Przestaną obowiązywać wszystkie zasady narzucone rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024). Nie będzie konieczności prowadzenia wynikających z aktualnych przepisów ewidencji, które najczęściej sporządzane były wyłącznie z obowiązku i faktycznie nie przyczyniały się do podniesienia jakości ochrony danych. Zamiast odhaczać kolejny, nieadekwatny do swojej działalności wymóg prawny, organizacje nareszcie będą mogły dostosować zasady zapewnienia bezpieczeństwa danych osobowych i metody ich przetwarzania do swoich faktycznych potrzeb i możliwości.

Napawa to optymizmem. Dopasowane do organizacji i jej pracowników procedury zawsze są skuteczniejsze i efektywniejsze. Jednakże wolność ta musi kosztować. Nie przestanie obowiązywać konieczność zgodnego z przepisami przetwarzania danych osobowych i ich skuteczne zabezpieczanie przed przypadkowym lub niezgodnym z prawem utraceniem, zniszczeniem, modyfikacją, nieuprawnionym dostępem, przetwarzaniem lub ujawnieniem. Swoboda będzie dotyczyła wyboru stosowanych metod i narzędzi osiągania tego celu.

W nowym ujęciu ochrona danych osobowych będzie oparta o analizę ryzyka uwzględniającą charakter, zakres, kontekst i cele przetwarzania oraz związane z tym przetwarzaniem ryzyko naruszenia praw i wolności osób fizycznych. Na tej podstawie każdy administrator rozpoczynając lub kontynuując przetwarzanie, będzie samodzielnie decydował o rodzaju i zakresie wdrażanych procedur i technicznych rozwiązań obiegu informacji oraz o rodzaju wybranych zabezpieczeń. Ponadto zgodnie z RODO, każda czynność związana z przetwarzaniem danych osobowych z założenia ma być dla tych danych bezpieczna. Począwszy od planowania nowych usług lub działań, a także w trakcie ich realizacji – konieczna będzie dbałość o przestrzeganie zasad wynikających z nowych przepisów prawa (takie podejście nazywane jest privacy by design). Jeżeli w procesie przetwarzania danych osobowych będą wykorzystywane narzędzia teleinformatyczne to ich podstawowe (domyślne) ustawienia także powinny z założenia zapewniać bezpieczeństwo przetwarzanych informacji. I nie chodzi tylko o wprowadzanie skomplikowanych haseł i szyfrowanie danych, ale także o konfigurację urządzeń i programów tak, aby możliwe było przetwarzanie przy ich użyciu tylko niezbędnego i zgodnego z celem zakresu danych, np. tworzenie bazy mailingowej nie wymaga nr telefonu i wprowadzanie takiej danej powinno być w systemie zablokowane (taki sposób korzystania z narzędzi IT będzie spełnieniem zasady privacy by default).

Podejście oparte na ryzyku będzie stanowiło uzasadnienie dla zaprojektowanych i wprowadzanych w życie środków organizacyjnych i technicznych zapewniających zgodność z RODO. Udokumentowanie tego procesu pomoże spełnić zasadę rozliczalności zawartą w nowych przepisach. Zasada ta wymaga, aby każdy administrator danych mógł udowodnić, że spełnia wymagania RODO.

Zupełnie nowym mechanizmem zapewnienia adekwatnego poziomu bezpieczeństwa będzie konieczność dokonywania oceny skutków przetwarzania danych osobowych. Czynność ta będzie obowiązkowa przy realizacji procesów, które mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Oceny skutków obowiązkowo dokonywać będą administratorzy, którzy w sposób zautomatyzowany, systematyczny i kompleksowy oceniają czynniki osobowe właścicieli danych (np. programy lojalnościowe, spersonalizowane oferty) lub dokonują profilowania, a także gdy na dużą skalę monitorują przestrzeń publiczną oraz przetwarzają szczególne kategorie danych lub danych o wyrokach skazujących i naruszeniach prawa. Ocena taka zawierać będzie opis planowanych operacji przetwarzania i celów przetwarzania z uwzględnieniem prawnych interesów realizowanych przez administratora, ocenę niezbędności i proporcjonalności czynności przetwarzania w stosunku do założonego celu oraz analizę ryzyka i środki planowane w celu zarządzania ryzykiem. Jeżeli w wyniku dokonanej oceny administrator nie będzie miał pewności czy zastosowane środki bezpieczeństwa spełniają wymagania RODO – będzie miał obowiązek skonsultowania się w tym celu z organem nadzorczym (GIODO). W przypadkach szczególnych, w wyniku oceny skutków, administrator będzie także musiał zasięgnąć opinii właścicieli danych w zakresie zamierzonego przetwarzania. Zaznaczyć także należy, że ocena skutków przetwarzania będzie podlegała bieżącemu przeglądowi i uaktualnianiu tak, aby zapewnić prawidłową realizację postanowień RODO.

W celu ułatwienia procesu wdrażania zmian przez organizacje oraz zachowania jak najwyższych standardów ochrony danych osobowych, GIODO będzie zatwierdzał tzw. kodeksy postępowania. Kodeksy te mogą opracowywać dowolne podmioty, ale ich zgodność z wymaganiami RODO zatwierdzi organ nadzorczy.

Dodatkowo mogą zostać wprowadzone mechanizmy certyfikacji, znaki jakości i oznaczenia w dziedzinie ochrony danych osobowych i będą ustanawiane do wykazania odpowiednich zabezpieczeń lub całych procedur i technik zabezpieczeń stosowanych przez administratorów lub przedmioty przetwarzające.

Wprowadzenie powyższych zasad stanowi największą zmianę jaka nas czeka w podejściu do ochrony danych osobowych. Nowe podejście stanowi przeciwieństwo do dzisiejszych przepisów, które wskazują jedynie słuszną drogę osiągania bezpieczeństwa danych osobowych. Nowe, proaktywne, podejście będzie jednak wymagało szerszej wiedzy i umiejętności budowania procedur efektywnych i kosztowo uzasadnionych z punktu widzenia danej organizacji. Kończy się era uzasadniania nowych zasad stwierdzeniem: „przepis tak każe”.

Przygotowania

Przepisy RODO w dniu wejścia w życie będą dotyczyły wszystkich procesów przetwarzania. Jeżeli któryś z administratorów jest jeszcze przekonany, że nowe przepisy obejmą jedynie rozpoczęte po 25 maja 2018 roku obszary przetwarzania, to stanowczo mówię, że NIE. Do tego dnia każda organizacja musi dostosować swoje procedury przetwarzania i ochrony danych osobowych do nowych wymagań prawnych. W tym celu najlepiej dokonać przeglądu wszystkich zgromadzonych danych osobowych, procedur ich przetwarzania oraz zabezpieczania. Przegląd zgromadzonych danych osobowych na pewno musi odpowiedzieć na pytania czy mamy podstawę prawną do ich przetwarzania, a także czy ich zakres jest zgodny z celem przetwarzania, tzn. czy dane które gromadzimy są nam potrzebne do osiągnięcia założonych celów. Jeżeli nie, należy je uporządkować. Być może okaże się, że część z tych danych już dawno powinniśmy usunąć lub zaktualizować. Analizując listy kontaktów w tworzonych w celu korespondencji handlowej czy marketingowej warto przy okazji zweryfikować czy spełniamy wymagania prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną, które także nakładają na nas obowiązki posiadania odpowiednich zgód w zależności od charakteru kontaktu z klientem.

Czynności te będą stanowiły swoisty audyt dostosowujący obowiązujące w organizacji procedury przetwarzania i ochrony danych osobowych do wymagań RODO. Skorzystanie z pomocy specjalistów w tym zakresie na pewno pomoże podjąć korzystne i efektywne decyzje zapewniające rozliczalność w rozumieniu RODO.

Rozszerzony obowiązek informacyjny

Zgodnie z RODO zwiększone będą wymagania w zakresie obowiązku informacyjnego. Jednym z kryteriów, którym powinna odpowiadać informacja kierowana do właścicieli danych będzie stosowanie jasnego i prostego języka. Oznacza to także konieczność dostosowania języka do docelowej grupy wiekowej, w szczególności do dzieci. Przekazywane treści będą musiały być zwięzłe i zrozumiałe, a jeżeli to konieczne opatrzone odpowiednimi instrukcjami obrazkowymi. Zwiększy się też zakres informacji, które będzie trzeba przekazać właścicielom danych. Dodano konieczność informowania o powołanym inspektorze ochrony danych i jego danych kontaktowych, o okresie czasu przez jaki będą przetwarzane gromadzone dane lub o ewentualnym profilowaniu.

Większe uprawnienia właścicieli danych osobowych

Poza dotychczas obowiązującymi uprawnieniami, od wejścia w życie RODO osoby fizyczne będą miały prawo do przenoszenia swoich danych. W przypadku przetwarzania danych w sposób zautomatyzowany na podstawie umowy lub zgody, ich właściciel nabędzie prawo do otrzymania tych danych w ustrukturyzowanym formacie nadającym się do odczytu maszynowego. Będzie mógł także zażądać przekazania tych danych innemu administratorowi. Wejście w życie tego uprawnienia zobowiązuje także do sprawdzenia, czy systemy, w których przetwarzane są dane osobowe pozwalają na takie operacje.

Nowym uprawnieniem będzie także tzw. prawo do bycia zapomnianym (faktycznie: prawo do usunięcia danych). Właściciele danych w określonych przypadkach będą mogli zażądać od administratora niezwłocznego usunięcia swoich danych osobowych. Prawo to będzie miało zastosowanie gdy właściciel cofnie zgodę na przetwarzanie danych lub znajdzie się szczególnej sytuacji uzasadniającej skorzystanie z tego uprawnienia. Innym uzasadnieniem do skorzystania z prawa do bycia zapomnianym mogą być sytuacje gdy przetwarzanie będzie niezgodne z prawem lub cel przetwarzania danych zostanie osiągnięty.

Właściciele danych nabędą także prawo do odszkodowania za poniesioną szkodę majątkową lub niemajątkową w wyniku przetwarzania danych z naruszeniem RODO.

Złagodzona forma wyrażenia zgody na przetwarzania danych osobowych

Modyfikacji ulegnie forma prawna wyrażenia zgody na przetwarzanie danych osobowych. Od wejścia w życie RODO taką zgodę stanowić będzie dobrowolne, konkretne, świadome i jednoznaczne okazanie woli w formie oświadczenia woli lub działania przyzwalające do przetwarzania danych. W pierwszym momencie można nie zauważyć znaczącej różnicy, jednakże dotychczasową „zgodę wyraźną” w formie oświadczenia woli rozszerzono o jednoznaczne przyzwolenie na przetwarzanie danych także w formie działania. Zgoda wyraźna obowiązywać będzie przy przetwarzaniu tzw. danych wrażliwych (w przyszłości szczególnych kategorii danych), jednakże nie będzie wymagana w formie pisemnej, jak to jest w aktualnym stanie prawnym.

Zmiany w prowadzonej dokumentacji

Skutkiem wejścia w życie RODO będzie także koniec obowiązku prowadzenia polityki bezpieczeństwa informacji i instrukcji zarządzania systemem informatycznym, a także związanych z nimi rejestrów i ewidencji. Oczywiście nie oznacza to, że nie organizacje nie będą prowadziły żadnych dokumentacji związanych z ochroną danych osobowych. Wymaga tego chociażby konieczność spełnienia zasady rozliczalności. Dokumenty związane z analizą ryzyka, oceną skutków przetwarzania i jej bieżącą oceną, a także wprost wymienione w RODO dokumentacje naruszeń bezpieczeństwa będą stanowiły podstawę do uzasadnienia przyjętych na potrzeby ochrony danych osobowych rozwiązań organizacyjnych i technicznych. Ponadto rozporządzenie nakłada na większość administratorów obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. Zakres zawartych w nim informacji jest zbliżony do zakresu prowadzonego rejestru zbiorów danych osobowych. Rejestr czynności będzie zawierał: dane o administratorze i współadministratorach, celu przetwarzania, opisu kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, kategorii odbiorców, którym dane były lub będą ujawniane, informacji o przekazywaniu danych do państwa trzeciego, a także jeżeli to możliwe opis technicznych i organizacyjnych środków bezpieczeństwa oraz wskazanie planowanego terminu zakończenia przetwarzania. Moim zdaniem taki rejestr powinien prowadzić każdy administrator. Posiadanie dobrze opisanych czynności przetwarzania pozwoli na skuteczniejszą analizę ryzyka i bieżącą weryfikację prawidłowości przetwarzania i zabezpieczenia danych osobowych.

„Samodonoszenie”

Kolejnym obowiązkiem wszystkich administratorów będzie konieczność informowania GIODO o naruszeniach ochrony danych. Oznacza to, że zawsze gdy w organizacji dojdzie do naruszenia bezpieczeństwa będącego przypadkowym lub niezgodnym z prawem: utraceniem, ujawnieniem, zniszczeniem, dostępem lub zmodyfikowaniem danych będzie trzeba o tym fakcie poinformować organ nadzorczy. Natomiast w przypadku gdy incydent będzie zagrażał prawom i wolnościom właścicieli danych, konieczne będzie także poinformowanie ich o możliwych zagrożeniach związanych z danym incydentem.

Powierzanie danych osobowych

Rozszerzone zostały także zasady powierzania danych osobowych. Czynności tej będzie można dokonać na podstawie umowy lub innego instrumentu prawnego. Nałożono także obowiązek na administratora danych osobowych, aby powierzał przetwarzanie danych jedynie takim podmiotom, które zapewniają spełnienie wszystkich wymagań RODO. Tym samym posiadanie odpowiednich procedur, certyfikatów wydanych przez GIODO, czy też wdrożonych kodeksów postępowania będzie realnie wpływało na wizerunek podmiotów gospodarczych. Najistotniejszą zmianą jest jednak to, że podmiot któremu powierzono przetwarzanie będzie miał bardzo podobne obowiązki do podmiotu powierzającego. Będzie musiał prowadzić rejestr przetwarzania, zgłaszać naruszenia w zakresie ochrony danych osobowych do organu nadzorczego i wyznaczać inspektora ochrony danych.

Wiodący organ nadzorczy przy przetwarzaniu transgranicznym

Celem RODO jest także ujednolicenie zasad ochrony danych osobowych we wszystkich krajach UE. Wiele podmiotów posiada jednostki organizacyjne w różnych państwach i konieczne jest wskazanie organu (takiego jak np. nasz GIODO), który będzie odpowiadał za nadzór nad działalnością danego administratora danych. Wprowadzone zostały wobec tego uregulowania systemowe w ramach transgranicznego przetwarzania danych. Zgodnie z nimi administrator sam określi w jakim kraju znajduje się jego główna jednostka organizacyjna, a co za tym idzie wskaże swój wiodący organ nadzorczy w zakresie ochrony danych osobowych.

Inspektor ochrony danych

Nie można też pominąć transformacji jaką przeżyją administratorzy bezpieczeństwa informacji. Po wejściu w życie RODO staną się oni inspektorami ochrony danych. Zmiany obejmą nie tylko nazewnictwo. Zgodnie z założeniami nowego rozporządzenia inspektor ochrony danych powinien być angażowany we wszystkie procesy, w których przetwarzane są dane osobowe. Spełnienie wszystkich wymagań RODO takich jak: analiza ryzyka, udzielanie zaleceń w zakresie oceny skutków przetwarzania, security by design i security by default, obowiązek informacyjny, bieżące monitorowanie realizacji postanowień RODO i doradzanie w tym zakresie będzie mogło być wypełnione przez osobę posiadającą ugruntowaną wiedzę i doświadczenie.

Z punktu widzenia organizacji, która musi powołać inspektora ochrony danych, takie zadanie powinna wykonywać osoba posiadająca szeroką wiedzę branżową danego podmiotu, a ponadto umiejętności analityczne i organizacyjne. Podmiotom nie jest potrzebny policjant tylko dobry doradca. Taki, który znając zasoby i możliwości podmiotu znajdzie najtańszą i najefektywniejszą metodę zapewnienia bezpieczeństwa danych.

Sankcje

Zupełnie nieegzekwowany charakter karny sankcji przewidzianych w ustawie o ochronie danych osobowych powodował, że wielu administratorów nie przestrzegało postanowień tego aktu prawnego. W przypadku ewentualnej kontroli GIODO, doprowadzenie do stanu zgodnego z prawem w zakresie przetwarzania i ochrony danych osobowych w zasadzie kończyło postępowanie, co także podtrzymywało ogólne poczucie bezkarności. Natomiast dochodzenie swoich praw lub uzyskanie odszkodowania w przypadku naruszenia dóbr osobistych przez właścicieli danych jest nie lada wyzwaniem.

Od 25 maja 2018 roku wszyscy administratorzy danych osobowych muszą liczyć się z ryzykiem poniesienia kar finansowych za nieprzestrzeganie postanowień RODO. Sankcje przewidziane zostały w dwóch grupach.

Kara do 10 000 000 euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa grozi za naruszenia obowiązków administratora i podmiotu przetwarzającego, podmiotu certyfikującego i monitorującego w zakresie zasad ogólnych wskazanych w rozporządzeniu.

Natomiast za naruszenia w obszarze podstawowych zasad przetwarzania danych osobowych (legalność, celowość, rozliczalność itd.), warunków wyrażenia zgody na przetwarzanie danych osobowych, praw właścicieli danych osobowych, przekazywania danych osobowych odbiorcom w państwie trzecim lub organizacji międzynarodowej, nieprzestrzegania nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych przez organ nadzorczy oraz za naruszenia krajowych przepisów w zakresie wolności wypowiedzi, prawa pracy, krajowego nr identyfikacyjnego grozi kara do 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa.

Na zakończenie

Faktyczna realizacji nowych przepisów z uwzględnieniem wytycznych Grupy Artykułu 29 będzie stanowiła duże wyzwanie dla wszystkich podmiotów. Jestem jednak przekonany, że konieczność wprowadzenia zmian w związku z nowym podejściem do ochrony danych osobowych może stanowić doskonałą okazję dla odświeżenia szerszej grupy procedur i zasad, niż tylko zapewniających bezpieczeństwo danych osobowych.