RODO, przełomowe zmiany w ochronie danych osobowych.

RODO, przełomowe zmiany w ochronie danych osobowych.

W dniu 25 maja 2018 roku zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (tzw. RODO). Rozporządzenie ujednolici przepisy dotyczące ochrony danych osobowych na terenie Unii.

Rozporządzenie będzie dotyczyć wszystkich firm, które gromadzą i wykorzystują dane dotyczące osób fizycznych.  Kary dla przedsiębiorców za naruszenie ochrony danych osobowych będą znacznie bardziej dotkliwe niż na podstawie obecnie obowiązujących przepisów (górne limity administracyjnych kar pieniężnych wynoszą w przypadku przedsiębiorstwa do 20 mln euro lub 4% całkowitego rocznego światowego obrotu).

Poza karmi pieniężnymi, RODO wprowadza zasady odpowiedzialności odszkodowawczej za naruszenie jego przepisów (art. 82 rozporządzenia). Odszkodowanie za szkodę majątkową lub niemajątkową spowodowaną naruszeniem RODO może być dochodzone przez każdą osobę od administratora lub podmiotu przetwarzającego (zostają zwolnieni z odpowiedzialności odszkodowawczej, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody).

Każdy przedsiębiorca będzie musiał wypracować własne rozwiązania,  w ramach własnego sektora działalności, celem wdrożenia nowych regulacji. Co do zasady jednak należy zwrócić uwagę na następujące kwestie:

1. Przede wszystkim klauzule zgód jakie stosowane są w firmie powinny odpowiadać wymogom RODO, tzw. klauzula o przetwarzaniu danych osobowych klientów. Stąd w pierwszej kolejności należy sprawdzić, czy z treści takiej klauzuli wynika w sposób jasny i zrozumiały dla jakich potrzeb czy celów dane mają być wykorzystane przez firmę. Z kolei zaś zapytanie o zgodę musi zostać przedstawione przez firmę w sposób pozwalający odróżnić je od pozostałych kwestii zawartych w treści umowy czy regulaminu.
2. Zautomatyzowane przetwarzanie danych osobowych (profilowanie danych osobowych) wymaga odebrania wyraźnej zgody osoby, której dane dotyczą. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy spełniony jest co najmniej jeden z następujących warunków:
3. a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
4. b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
5. c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
6. d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
7. e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
8. f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Profilowanie wg RODO oznacza „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”.

Administrator danych musi przestrzegać zasad przetwarzania danych osobowych (dane muszą być zgodne z prawem, rzetelne i przejrzyste, zbierane w ściśle określonych i uzasadnionych celach, zakres danych osobowych musi być odpowiedni do celu przetwarzania, przetwarzane dane osobowe muszą być prawidłowe i aktualne, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed nieuprawnionym dostępem, modyfikacją, utratą lub uszkodzeniem).

Ważne podkreślenia jest, że administrator danych jest zobowiązany nie tylko przestrzegać tych zasad ale musi być również w stanie wykazać ich przestrzeganie, tzw. „rozliczalność” (art. 5 ust. 2 RODO). Przy profilowaniu administrator danych informuje osobę o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu – zasadach ich podejmowania oraz znaczeniu i przewidywanych konsekwencjach dla praw i wolności osoby.

3. Umowy powierzenia przetwarzania danych osobowych – konieczność aneksowania umów dotychczasowych.

RODO wymaga aby każda umowa powierzenia przetwarzania danych osobowych określała cel i zakres powierzonego przetwarzania, jak również rodzaj danych, kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora. Należy wobec tego przygotować aneksy do obecnie obowiązujących umów powierzenia przetwarzania danych, np. z biurem księgowym, firmą informatyczną etc.

4. Obowiązek dostosowania klauzuli informacyjnych do wymogów RODO

Na mocy obecnie obowiązujących przepisów klauzule informacyjne obejmowały taki zakres informacji jak nazwę administratora i dokładny adres siedziby, określenie celu przetwarzania danych, określenie odbiorców, którym takie dane są udostępniane, informację o obowiązkowym lub dobrowolnym charakterze zbierania danych oraz wzmiankę o prawie dostępu do treści danych oraz ich poprawiania. RODO wymaga aby rozszerzyć zakres obowiązków informacyjnych, uwzględniając dodatkowo wskazanie:

– okresu przechowywania danych osobowych lub kryteriów ustalania jego długości,

– informacji o prawie cofnięcia zgody na przetwarzanie danych osobowych,

– informacji o prawie sprzeciwu wobec przetwarzania danych oraz prawie do ich przenoszenia,

– informacji o prawie wniesienia skargi do GIODO,

– informacji o ewentualnym profilowaniu danych,

– danych kontaktowych do Inspektora Ochrony Danych, jeżeli został powołany.

Zgodnie z powyższym, każdy administrator danych będzie miał obowiązek stosowania nowej polityki prywatności oraz nowych klauzul informacyjnych w umowach, regulaminach oraz formularzach.

5. Przygotowanie dokumentacji wewnętrznej i procedury pod kątem nowych przepisów.

Wszelkie obowiązujące w firmie procedury i dotyczące przetwarzania danych osobowych muszą zostać uaktualnione i dostosowane do RODO. Rozporządzenie wskazuję, iż dane osobowe muszą być:

1. a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
2. b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
3. c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
4. d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
5. e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
6. f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
7. Potrzeba powołania Inspektora Ochrony Danych będącego odpowiednikiem obecnego Administratora Bezpieczeństwa Informacji (ABI).

Nie jest obligatoryjna i dotyczy wyłącznie:

– organów i podmiotów publicznych,

– podmiotów, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (np. podmioty przetwarzające dane do celów reklamy behawioralnej przez wyszukiwarki),

– podmiotów, których główna działalność polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych (m.in. danych o stanie zdrowia, orientacji seksualnej, przekonaniach religijnych lub światopoglądowych).

7. Obowiązek wprowadzenia rejestru czynności przetwarzania w formie pisemnej (papierowej lub elektronicznej). Rejestr powinien obejmować informacje dotyczące m.in. celu przetwarzania danych, kategorii danych osobowych, kategorii odbiorców danych oraz technicznych i organizacyjnych środków zabezpieczenia danych. Obowiązek prowadzenia rejestru dotyczy podmiotów, które:

• zatrudniają mniej niż 250 osób i jednocześnie
• przetwarzanie przez nich danych osobowych ma charakter sporadyczny, nie powoduje ryzyka naruszenia praw i wolności osób, których dane dotyczą oraz nie obejmuje wcześniej wspomnianych danych wrażliwych.

 

RODO wprowadza obowiązek zgłaszania do GIODO wszystkich przypadków naruszeń ochrony danych osobowych. Zgłoszenie będzie musiało być dokonane maksymalnie w ciągu 72 godzin po stwierdzeniu naruszenia. Obowiązek ten nie będzie dotyczył wyłącznie przypadków, co do których jest mało prawdopodobne, że skutkują one ryzykiem naruszenia praw lub wolności osób fizycznych. Ministerstwo Informatyzacji zaleca szkolenia dla pracowników firm aby kierownictwo firmy mogło odpowiednio szybko reagować, wobec zgłaszanych przez pracowników naruszeń i wywiązywać się ze swojego obowiązku w ww. terminie względem GIODO.

Rozporządzenie przewiduje również konieczność zgłaszania zaistniałych incydentów dotyczących bezpieczeństwa do GIODO, niekiedy nawet obowiązek informowania o nich osób, których dane wyciekły. Ministerstwo zaleca, jeżeli dane nie są odpowiednio chronione (aby uniemożliwić ich wyciekanie) wdrożenie takich środków ochrony jak przykładowo oprogramowanie antywirusowe, firewall czy nawet monitoring wizyjny.

Zmiany wchodzą w życie pod koniec maja przyszłego roku, pozostało więc trochę czasu na podjęcie działań mających na celu ograniczenie ryzyka opóźnienia we wdrożeniu rozwiązań wynikających z RODO i nałożenia na podmiot przetwarzający dotkliwych kar za nieprawidłowe przetwarzanie danych osobowych.