Wchodz\u0105ce w \u017cycie 24 maja 2018 roku Rozporz\u0105dzenie o Ochronie Danych Osobowych (w skr\u00f3cie RODO) budzi niepok\u00f3j w sercach wielu przedsi\u0119biorc\u00f3w. Atmosfera panuj\u0105ca wok\u00f3\u0142 jego tematu, jak r\u00f3wnie\u017c brak zdeklarowanych przepis\u00f3w utrudniaj\u0105 skuteczne wdro\u017cenie przepis\u00f3w wynikaj\u0105cych z tre\u015bci rozporz\u0105dzenia. Dlatego te\u017c warto rozja\u015bni\u0107 najbardziej podstawowe kwestie zwi\u0105zane z RODO \u2013 okazuje si\u0119, \u017ce nie jest ono tak straszne, jak je maluj\u0105.<\/p>\n\n\n\n
RODO budzi niepok\u00f3j \u2013 zar\u00f3wno w\u015br\u00f3d pracownik\u00f3w wielkich korporacji, jak i posiadaczy mniejszych biznes\u00f3w. Jest to jednak w du\u017cej mierze kwestia niedoinformowania i widma horrendalnych kar nak\u0142adanych za nieprzestrzeganie przepis\u00f3w.<\/p>\n\n\n\n
Wbrew pozorom, RODO dotyka wielu materii pomini\u0119tych przez dotychczas obowi\u0105zuj\u0105c\u0105 ustaw\u0119 zd. 29 sierpnia 1997 o ochronie danych osobowych. Nowe warunki \u2013 b\u0119d\u0105ce wynikiem digitalizacji informacji \u2013 wymagaj\u0105 nowego podej\u015bcia; t\u0105 filozofi\u0105 kierowali si\u0119 unijni urz\u0119dnicy, kreuj\u0105c przepisy zawarte w rozporz\u0105dzeniu. Z tego podej\u015bcia wynika p\u0142ynno\u015b\u0107 wytycznych \u2013 zosta\u0142y one skonstruowane tak, aby zapewni\u0107 uniwersalno\u015b\u0107 i jak najd\u0142u\u017csz\u0105 aktualno\u015b\u0107 przepis\u00f3w.<\/p>\n\n\n\n
Pami\u0119taj\u0105c o tym, om\u00f3wmy podstawowe zagadnienia zwi\u0105zane z RODO. Poprawne wdro\u017cenie zasad w \u017cycie firmy wymaga pewnej dozy kreatywno\u015bci \u2013 jednak wiedza, w jaki spos\u00f3b interpretowa\u0107 poszczeg\u00f3lne przepisy pomo\u017ce w oswojeniu si\u0119 z najwi\u0119ksz\u0105 od 20 lat zmian\u0105 w przepisach o ochronie danych osobowych.<\/p>\n\n\n\n
Zastan\u00f3wmy si\u0119 nad tym, kogo nowe przepisy dotykaj\u0105; du\u017ce korporacje, ma\u0142e przedsi\u0119biorstwa, jednoosobowe dzia\u0142alno\u015bci? Poprawna odpowied\u017a brzmi: ka\u017cdego, kto na terenie Unii Europejskiej przetwarza dane osobowe w celach innych, ni\u017c prywatne.<\/p>\n\n\n\n
Tak wi\u0119c, rozporz\u0105dzenie tyczy si\u0119 ka\u017cdego us\u0142ugodawcy i sprzedawcy na terenie Unii Europejskiej. Dotyka to r\u00f3wnie\u017c osoby, kt\u00f3re przetwarzaj\u0105 dane, nie prowadz\u0105c dzia\u0142alno\u015bci gospodarczej.<\/p>\n\n\n\n
Do pe\u0142nego poj\u0119cia tego, kto podlega przepisom zawartym w RODO, warto zastanowi\u0107 si\u0119 nad tym, co rozumie si\u0119 jako przetwarzanie danych. GDPR szczeg\u00f3\u0142owo definiuje to poj\u0119cie jako szeroko poj\u0119te operacje (w tym: zbieranie, utrwalanie, organizowanie, adaptowanie, modyfikowanie, przegl\u0105danie, wykorzystywanie, ujawnianie, przesy\u0142anie lub niszczenie) nad danymi osobowymi, kt\u00f3re stanowi\u0105 cz\u0119\u015b\u0107 zbioru danych. Operacji tych mo\u017cna dokonywa\u0107 w spos\u00f3b zautomatyzowany, jak i niezautomatyzowany. Tak wi\u0119c, przetwarzanie danych odbywa si\u0119 zar\u00f3wno wewn\u0105trz system\u00f3w informatycznych, jak i poza nimi.<\/p>\n\n\n\n
RODO jest podstaw\u0105 do interpretacji prawnej procesu przetwarzania danych osobowych na terenie ca\u0142ej UE. Nie b\u0119dzie ju\u017c wi\u0119cej potrzeby odwo\u0142ywania si\u0119 do przepis\u00f3w danego pa\u0144stwa, aby by\u0107 pewnym legalno\u015bci swoich proces\u00f3w przetwarzania; wszystko b\u0119dzie zawarte w jednym, uniwersalnym dla ka\u017cdego pa\u0144stwa dokumencie.<\/p>\n\n\n\n
Nie oznacza to jednak, \u017ce pozbawiamy si\u0119 suwerenno\u015bci i samodzielno\u015bci w ustalaniu przepis\u00f3w prawnych. Ka\u017cde pa\u0144stwo bowiem b\u0119dzie posiada\u0107 w\u0142asne organy nadzorcze. To znaczy, \u017ce organem, do kt\u00f3rego referujemy, wdra\u017caj\u0105c przepisy, jest ten funkcjonuj\u0105cy w kraju, gdzie znajduje si\u0119 baza organizacyjna firmy. W przypadku Polski jest to Ministerstwo Cyfryzacji, kt\u00f3re 14 wrze\u015bnia br. opublikowa\u0142o projekt nowej ustawy o ochronie danych osobowych (w skr\u00f3cie NUODO).<\/p>\n\n\n\n
Ju\u017c na tym etapie mo\u017cna si\u0119 doszuka\u0107 r\u00f3\u017cnic pomi\u0119dzy oryginalnymi zapisami GDPR (General Data Protection Regulation) a tymi zawartymi w NUODO; polski projektodawca skorzysta\u0142 bowiem ze swobody zapewnionej przez przepisy unijne, wy\u0142\u0105czaj\u0105c zastosowanie rozporz\u0105dzenia wzgl\u0119dem:
a) Dzia\u0142alno\u015bci artystycznej,
b) Dzia\u0142alno\u015bci literackiej,
c) Wypowiedzi akademickich,
d) Wszelkiego rodzaju dzia\u0142alno\u015b\u0107 zwi\u0105zana z tworzeniem materia\u0142\u00f3w prasowych - czyli redagowanie, przygotowywanie, publikowanie<\/p>\n\n\n\n
Wiemy ju\u017c, kto jest dotkni\u0119ty nowymi przepisami. Przejd\u017amy wi\u0119c krok dalej i zastan\u00f3wmy si\u0119 nad kolejn\u0105, pal\u0105c\u0105 materi\u0105 \u2013 mianowicie, nad podstawami, kt\u00f3re nale\u017cy spe\u0142ni\u0107, aby uzyska\u0107 pozwolenie na przetwarzanie danych.<\/p>\n\n\n\n
Na pocz\u0105tek zdefiniujmy poj\u0119cie podstaw. S\u0105 to sytuacje, w kt\u00f3rych przetwarzanie czyich\u015b danych osobowych jest legalnie uzasadnione. Oznacza to, \u017ce b\u0142\u0119dna interpretacja podstawy lub bezpodstawne przetwarzanie danych osobowych jest naruszeniem obowi\u0105zuj\u0105cego prawa.
W materii podstaw RODO nie wprowadza innowacji \u2013 dotychczasowe przepisy odzwierciedlaj\u0105 to, co jest zapisane w rozporz\u0105dzeniu. Oznacza to, \u017ce je\u017celi wcze\u015bniej zna\u0142e\u015b te zagadnienia, nie musisz si\u0119 martwi\u0107 nadrabianiem wiedzy \u2013 ju\u017c j\u0105 posiadasz.<\/p>\n\n\n\n
Niemniej jednak, om\u00f3wmy poszczeg\u00f3lne podstawy i ich znaczenie w procesie przetwarzania. W tej materii, RODO przewiduje nast\u0119puj\u0105ce kroki:
a. Zgod\u0119,
b. Dope\u0142nienie warunk\u00f3w umowy lub podj\u0119cie dzia\u0142a\u0144 niezb\u0119dnych do jej realizacji przed jej zawarciem,
c. Wype\u0142nienie obowi\u0105zku na\u0142o\u017conego przez prawo,
d. Ochron\u0119 \u017cywotnych interes\u00f3w osoby, kt\u00f3rej dane s\u0105 przetwarzane,
e. Dope\u0142nienie zadania realizowanego w interesie publicznym,
f. Prawnie uzasadniony interes administratora.<\/p>\n\n\n\n
Dotychczas firmy przetwarza\u0142y dane g\u0142\u00f3wnie na podstawie trzech poni\u017cszych punkt\u00f3w:
a) Zgoda \u2013 przyk\u0142adem czego jest uzyskanie subskrybenta,
b) Realizacja umowy \u2013 dope\u0142nienie zakupu w sklepie internetowym,
c) Dope\u0142nienie obowi\u0105zku prawnego \u2013 wystawienie faktury, kt\u00f3ra dokumentuje dokonanie zakupu
Najwi\u0119kszy niepok\u00f3j budzi zgoda. Paradoksalnie, RODO bardzo klarownie okre\u015bla cechy, jakimi powinna si\u0119 ona charakteryzowa\u0107. Zgoda musi by\u0107:
a. Uprzednia \u2013 ma zosta\u0107 wydania przed rozpocz\u0119ciem procesu przetwarzania;
b. Wyra\u017ana \u2013 u\u017cytkownik powinien by\u0107 \u015bwiadomy jej wyra\u017cenia;
c. Dobrowolna \u2013 w \u017caden spos\u00f3b nie mo\u017cna jej wymusi\u0107 na u\u017cytkowniku;
d. Udokumentowana \u2013 administrator ma obowi\u0105zek prowadzenia dokumentacji w zakresie zyskania danych na podstawie zgody;
e. Odwo\u0142ywania \u2013 u\u017cytkownik ma prawo do zrezygnowania ze zgody na przetwarzanie danych osobowych w ka\u017cdym momencie. Administrator ma obowi\u0105zek nakre\u015bli\u0107 ten fakt w spos\u00f3b jasny i klarowny podczas jej nawi\u0105zywania.<\/p>\n\n\n\n
Zgoda na rozpocz\u0119cie procedury bezpo\u015bredniego marketingu mailowego i SMS musi pokry\u0107 wszystkie powy\u017csze punkty; jednak\u017ce nale\u017cy r\u00f3wnie\u017c pami\u0119ta\u0107 o zyskaniu zgody na przesy\u0142anie informacji handlowych i u\u017cywanie telekomunikacyjnych urz\u0105dze\u0144 ko\u0144cowych.<\/p>\n\n\n\n
Przepisy skonstruowane przez Uni\u0119 Europejsk\u0105 przewiduj\u0105 specjalne podej\u015bcie do u\u017cytkownik\u00f3w, kt\u00f3rzy nie sko\u0144czyli 16 lat. Do przetworzenia ich danych osobowych potrzebujesz zgody ich ustawowych przedstawicieli \u2013 w wi\u0119kszo\u015bci przypadk\u00f3w, rodzica lub prawnego opiekuna.
Polski ustawodawca planuje wprowadzi\u0107 ni\u017csz\u0105 barier\u0119 wiekow\u0105; wynika to g\u0142\u00f3wnie z przepis\u00f3w Kodeksu Cywilnego, kt\u00f3ry ustala granic\u0119 otrzymania ograniczonej zdolno\u015bci do czynno\u015bci prawnych. Dlatego te\u017c na terenie Polski potrzebujesz zgody opiekuna prawnego u\u017cytkownika, kt\u00f3ry nie sko\u0144czy\u0142 13 lat.<\/p>\n\n\n\n
G\u0142\u00f3wnym problemem, z kt\u00f3rym musz\u0105 zmierzy\u0107 si\u0119 plac\u00f3wki przetwarzaj\u0105ce dane pochodz\u0105ce z innych firm jest fakt, \u017ce od momentu wej\u015bcia RODO w \u017cycie bior\u0105 one bezpo\u015bredni\u0105 odpowiedzialno\u015b\u0107 za z\u0142amanie przepis\u00f3w. Wi\u0105\u017ce si\u0119 to z podj\u0119ciem ryzyka otrzymania kary finansowej czy ograniczenia lub pozbawienia wolno\u015bci.
Ponadto RODO zaostrza restrykcje w zwi\u0105zku z tworzeniem um\u00f3w o przetwarzaniu. Oznacza to, \u017ce nale\u017cy przy\u0142o\u017cy\u0107 wi\u0119cej uwagi do ich konstruowania i dalszej dokumentacji.<\/p>\n\n\n\n
Temat kar zostanie poruszony w p\u00f3\u017aniejszej cz\u0119\u015bci artyku\u0142u, jednak nale\u017cy zaznaczy\u0107, \u017ce ewentualna grzywna b\u0119dzie proporcjonalna do przewinienia. Ponadto zar\u00f3wno ograniczenia odpowiedzialno\u015bci, jak i kwoty odszkodowa\u0144 b\u0119d\u0105 podlega\u0107 renegocjacji.<\/p>\n\n\n\n
Jest to jedna z bardziej pozytywnych zmian, kt\u00f3re wprowadza RODO. Na przedsi\u0119biorcach bowiem nie b\u0119dzie ju\u017c ci\u0105\u017cy\u0107 obowi\u0105zek zg\u0142aszania zbior\u00f3w danych do GIODO. Co to oznacza? Zamiast skupia\u0107 si\u0119 na niepotrzebnej biurokracji, wa\u017cniejszym b\u0119dzie wprowadzenie faktycznej polityki bezpiecze\u0144stwa w \u017cycie.<\/p>\n\n\n\n
Oznacza to, \u017ce na przedsi\u0119biorc\u0119 b\u0119d\u0105 na\u0142o\u017cone nast\u0119puj\u0105ce obowi\u0105zki:
1. Utworzenie wewn\u0119trznej dokumentacji danych osobowych,
2. Wdro\u017cenie odpowiednich procedur ochrony danych osobowych,
3. Prowadzenie rejestru czynno\u015bci przetwarzania danych osobowych.<\/p>\n\n\n\n
Teoretycznie, w tej materii r\u00f3wnie\u017c niewiele si\u0119 zmienia. Zar\u00f3wno Polityka Bezpiecze\u0144stwa Przetwarzania Danych Osobowych, jak i Instrukcja Zarz\u0105dzania Sieci\u0105 Informatyczn\u0105 to znane terminy - szczeg\u00f3lnie dla os\u00f3b, kt\u00f3re wcze\u015bniej zajmowa\u0142y si\u0119 bezpiecze\u0144stwem danych osobowych.<\/p>\n\n\n\n
Do tej pory posiadanie obu tych dokument\u00f3w w firmie by\u0142o obowi\u0105zkowe. W teorii, by\u0142o to dobre rozwi\u0105zanie \u2013 ka\u017cda firma dzi\u0119ki temu posiada\u0142a wykaz praktyk, jakimi si\u0119 kierowa\u0142a w celu ochrony prywatnych danych. W praktyce jednak, proces konstruowania obu dokument\u00f3w sprowadza\u0142 si\u0119 do skopiowania wzoru z Internetu i zapomnieniu o ich istnieniu.<\/p>\n\n\n\n
NUODO zmienia to podej\u015bcie ju\u017c u samych podstaw \u2013 wymaga bowiem najpierw implementacji procedur, a potem ich opisania w obu dokumentach. Nie nak\u0142ada si\u0119 na administratora obowi\u0105zku ich posiadania w danej formie \u2013 to, jak zawrzesz informacje o polityce bezpiecze\u0144stwa danych zale\u017cy tylko i wy\u0142\u0105cznie od Twojej decyzji w zakresie celu, wielko\u015bci przedsi\u0119biorstwa, zakresu i \u015brodowiska przetwarzania danych.<\/p>\n\n\n\n
Dotychczasowe przepisy do\u015b\u0107 dok\u0142adnie opisywa\u0142y katalog metod, kt\u00f3re administrator ma wdro\u017cy\u0107 w zwi\u0105zku z przetwarzaniem danych osobowych. To rozwi\u0105zanie niesie ze sob\u0105 jednak pewien problem \u2013 zar\u00f3wno wi\u0119ksze organizacje, jak i ma\u0142e przedsi\u0119biorstwa musia\u0142y dostosowa\u0107 si\u0119 do tych samych przepis\u00f3w.
RODO znosi ten obowi\u0105zek \u2013 od maja przysz\u0142ego roku samodzielnie decydujesz o \u015brodkach bezpiecze\u0144stwa danych w swojej firmie. Jedynym kryterium jest to, aby zapewnia\u0142y one dostateczny poziom ochrony. Wymaga to kreatywnego podej\u015bcia, ale skutkowa\u0107 b\u0119dzie faktycznym wdro\u017ceniem procedur w \u017cycie.<\/p>\n\n\n\n
Nast\u0119pnym krokiem do zrozumienia co RODO zmienia, jest om\u00f3wienie tzw. obowi\u0105zk\u00f3w informacyjnych. Jednym z najwa\u017cniejszych zada\u0144 administratora danych osobowych jest zapewnienie bezpiecze\u0144stwa przekazywanych informacji. Aby tego dokona\u0107, nak\u0142ada si\u0119 na niego zar\u00f3wno obowi\u0105zki wewn\u0119trzne \u2013 czyli implementacj\u0119 procedur, polityk prywatno\u015bci i \u015brodk\u00f3w ochrony \u2013 jak i obowi\u0105zki zewn\u0119trzne, czyli informacyjne.<\/p>\n\n\n\n
Te ostatnie rozumie si\u0119 jako przekaz informacji u\u017cytkownikowi nt. tego, w jaki spos\u00f3b dane u\u017cytkownika b\u0119d\u0105 obrabiane przez firm\u0119. RODO w tej materii przewiduje, \u017ce zakres obowi\u0105zk\u00f3w informacyjnych zostanie poszerzony. W praktyce oznacza to, \u017ce b\u0119dziemy musieli przekaza\u0107 u\u017cytkownikom wi\u0119cej danych, ni\u017c do tej pory.<\/p>\n\n\n\n
Rejestracja czynno\u015bci przetwarzania jest poj\u0119ciem wprowadzonym w RODO. Stanowi on rozwini\u0119cie tego, co wcze\u015bniej by\u0142o znane jako \u201ewykaz zbior\u00f3w danych osobowych\u201d, b\u0119d\u0105cy cz\u0119sto za\u0142\u0105cznikiem do Polityki Bezpiecze\u0144stwa. RODO przewiduje zwolnienie z obowi\u0105zku za\u0142o\u017cenia tego rejestru przedsi\u0119biorc\u00f3w zatrudniaj\u0105cych mniej ni\u017c 250 os\u00f3b \u2013 chyba \u017ce proces przetwarzania wi\u0105\u017ce si\u0119 z ryzykiem naruszenia praw lub wolno\u015bci osoby, kt\u00f3rej dane ulegaj\u0105 przetwarzaniu.<\/p>\n\n\n\n
Wyj\u0105tek od tej regu\u0142y stanowi r\u00f3wnie\u017c przypadek, w kt\u00f3rym informacje dotycz\u0105 danych wra\u017cliwych b\u0105d\u017a zwi\u0105zanych z wyrokami skazuj\u0105cymi i naruszeniem prawa.<\/p>\n\n\n\n
Rejestr czynno\u015bci pozwala na dok\u0142adn\u0105 analiz\u0119 zakresu i celu przetwarzania danych osobowych. Dzi\u0119ki temu zyskujesz ogromn\u0105 wiedz\u0119 na temat obrotu informacji, a tak\u017ce mo\u017cliwo\u015b\u0107 uporz\u0105dkowania ich w zale\u017cno\u015bci od typu zbioru. Tak wi\u0119c, tego typu rejestry umo\u017cliwiaj\u0105 sprawne poruszanie si\u0119 po danych, dzi\u0119ki czemu zachowuje si\u0119 porz\u0105dek w firmie.<\/p>\n\n\n\n
Odformalizowanie przepis\u00f3w zwi\u0105zanych z wdra\u017caniem RODO wi\u0105\u017ce si\u0119 ze stworzeniem gruntu, kt\u00f3ry faktycznie zapewnia bezpiecze\u0144stwo obrotu danych. Oznacza to, \u017ce bardziej intuicyjne przepisy nie zwalniaj\u0105 Ci\u0119 ca\u0142kowicie z obowi\u0105zku skonstruowania funkcjonuj\u0105cej sieci bezpiecze\u0144stwa. Dlatego te\u017c RODO przewiduje obowi\u0105zek stworzenia dokumentu zawieraj\u0105cego ocen\u0119 skutk\u00f3w przetwarzania danych osobowych.<\/p>\n\n\n\n
RODO omawia r\u00f3wnie\u017c warunki przeprowadzenia procedury oceny skutk\u00f3w przetwarzania. Typ przetwarzania, kt\u00f3ry opisuje, akcentuje szczeg\u00f3lnie charakter, zakres, cele i kontekst przetworzenia, wskazuj\u0105cy na to, \u017ce mo\u017ce naruszy\u0107 prawo lub wolno\u015b\u0107 os\u00f3b fizycznych.<\/p>\n\n\n\n
Aby odpowiedzie\u0107 na to pytanie, nale\u017cy zastanowi\u0107 si\u0119, jaki organ b\u0119dzie wymaga\u0142 stworzenia wykazu tego typu operacji. GDPR otwiera tu furtk\u0119 krajowym organom nazdorczym, kt\u00f3re maj\u0105 za zadanie przygotowanie wykazu tego typu operacji. Ma to pom\u00f3c w rozwianiu w\u0105tpliwo\u015bci nt. tego, czy ocena jest rzeczywi\u015bcie potrzebna.<\/p>\n\n\n\n
Pod znakiem zapytania stoj\u0105 m.in. systemy CRM, do kt\u00f3rych u\u017cytkownicy wprowadzaj\u0105 pewien zakres danych, jednak nie wymagaj\u0105 one podania danych wra\u017cliwych. Zaw\u0119\u017cenie typu danych, kt\u00f3re mog\u0105 stanowi\u0107 ryzyko dla wolno\u015bci lub praw klienta ma za zadanie rozwia\u0107 w\u0105tpliwo\u015bci dotycz\u0105ce konieczno\u015bci przeprowadzenia oceny.
Najpierw ocena, potem dyskusja. Przy za\u0142o\u017ceniu, \u017ce ocena skutk\u00f3w przetwarzania oka\u017ce si\u0119 negatywna, rodzi si\u0119 nast\u0119pne pytanie \u2013 co robi\u0107? RODO przewiduje mo\u017cliwo\u015b\u0107 skonsultowania wyniku z organem nadzorczym. Ma to na celu zapewnienie bezpiecze\u0144stwa danych i zmniejszenie dotychczas wysokiego ryzyka.<\/p>\n\n\n\n
Problematyka RODO wydaje si\u0119 do\u015b\u0107 skomplikowana i otwarta \u2013 poprzednia ustawa, przy jej formalizacji, dawa\u0142a jednak konkretniejsze wytyczne, za kt\u00f3rymi \u0142atwiej by\u0142o pod\u0105\u017ca\u0107. Niemniej jednak, polski rynek oferuje szeroki wachlarz ofert pomocy w implementacji procedur danych osobowych. Dotyczy to r\u00f3wnie\u017c system\u00f3w wspomagaj\u0105cych ochron\u0119 danych.<\/p>\n\n\n\n
Przyk\u0142adowo, statlook oferuj\u0105cy kompleksowe zarz\u0105dzanie oprogramowaniem czy GLPI pozwalaj\u0105cy na prowadzenie rejestru um\u00f3w pozwalaj\u0105 na automatyzacj\u0119 procedur, dzi\u0119ki czemu ca\u0142y proces staje si\u0119 czyst\u0105 formalno\u015bci\u0105.<\/p>\n\n\n\n
Poza tym, RODO umo\u017cliwia wprowadzenie kodeks\u00f3w post\u0119powania i mechanizm\u00f3w certyfikacji. W za\u0142o\u017ceniu, ka\u017cdy kodeks b\u0119dzie tworzony z my\u015bl\u0105 o konkretnej bran\u017cy. Dzi\u0119ki temu, powstanie zestaw uniwersalnych zasad umo\u017cliwiaj\u0105cych poprawne wdro\u017cenie RODO.<\/p>\n\n\n\n
Ponadto, b\u0119dzie r\u00f3wnie\u017c istnie\u0107 mo\u017cliwo\u015b\u0107 uzyskania certyfikatu \u015bwiadcz\u0105cego o odpowiednim wdro\u017ceniu polityki bezpiecze\u0144stwa danych osobowych. B\u0119d\u0105 one wydawane przez uprawnione do tego organy. Przewiduje si\u0119 zatem, \u017ce wraz z rozwojem \u015bwiadomo\u015bci przedsi\u0119biorc\u00f3w w zakresie RODO, b\u0119dzie r\u00f3wnie\u017c przybywa\u0107 materia\u0142\u00f3w u\u0142atwiaj\u0105cych wdro\u017cenie przepis\u00f3w. Nie martw si\u0119 \u2013 nie pozostaniesz z problemem sam.<\/p>\n\n\n\n
Now\u0105 sylwetk\u0105 w Twojej firmie, jak\u0105 wprowadzaj\u0105 przepisy zawarte w RODO jest IODO \u2013 czyli Inspektor Ochrony Danych Osobowych. Wraz ze znikni\u0119ciem obowi\u0105zku zg\u0142aszania zbior\u00f3w do GIODO, ro\u015bnie rola tego pracownika.<\/p>\n\n\n\n
Og\u00f3lnie rzecz ujmuj\u0105c, do zada\u0144 IODO nale\u017cy zapewnienie ci\u0105g\u0142o\u015bci przepis\u00f3w o ochronie danych osobowych \u2013 tak, aby wzi\u0105\u0107 na siebie cz\u0119\u015b\u0107 obowi\u0105zk\u00f3w ci\u0105\u017c\u0105cych na ADO (Administratora Danych Osobowych). Zast\u0119puje wi\u0119c on poniek\u0105d ABI \u2013 z drobnymi r\u00f3\u017cnicami w zakresie obowi\u0105zk\u00f3w.<\/p>\n\n\n\n
IODO stanowi swoist\u0105 form\u0119 pomocy w zakresie przetwarzania danych osobowych. Czasem bywa tak, \u017ce pewne dane nios\u0105 ze sob\u0105 wymierne ryzyko zagro\u017cenia czyjej\u015b wolno\u015bci lub prywatno\u015bci. IODO jest zatem osob\u0105, kt\u00f3ra stanowi zapor\u0119 bezpiecze\u0144stwa i dba o jako\u015b\u0107 ochrony poufnych danych. W takim przypadku, powo\u0142anie IODO nale\u017cy do obowi\u0105zk\u00f3w firmy \u2013 og\u00f3lnie rzecz ujmuj\u0105c, RODO nie przewiduje bowiem takiego przymusu.
S\u0105 jednak organy zobowi\u0105zane do powo\u0142ania takiej funkcji. UODO w tej materii wskazuje definicje zawarte w kodeksie post\u0119powania administracyjnego (KPA), oraz te z ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (UFP).<\/p>\n\n\n\n
Og\u00f3lnie rzecz ujmuj\u0105c, do powo\u0142ania IODO zobowi\u0105zuje si\u0119 niemal wszystkie podmioty, kt\u00f3re realizuj\u0105 zadania publiczne. Wy\u0142\u0105cza si\u0119 jedynie sp\u00f3\u0142ki skarbu pa\u0144stwa i instytuty badawcze.<\/p>\n\n\n\n
Wiele firm praktykuje \u0142\u0105czenie roli Administratora Sieci Informatycznej z Administratorem Bezpiecze\u0144stwa Informacji; znajomo\u015b\u0107 procedur bezpiecze\u0144stwa danych cz\u0119sto idzie bowiem w parze ze \u015bwiadomo\u015bci\u0105, na czym polega proces administracji zasobami informatycznymi. W po\u0142\u0105czeniu obu r\u00f3l pomocnym okazuje si\u0119 takie oprogramowanie jak statlook RODO, dzi\u0119ki intuicyjnemu dost\u0119powi do Ewidencji Zbioru Danych, Rejestru Czynno\u015bci Przetwarzania czy szczeg\u00f3\u0142owych informacji o firmowej dokumentacji.<\/p>\n\n\n\n
Rozdzia\u0142 2 NUODO okre\u015bla konkretne dzia\u0142ania, kt\u00f3rych nale\u017cy przestrzega\u0107 w zwi\u0105zku z osob\u0105 IODO. Do nich nale\u017c\u0105:
\u2022 Termin zg\u0142oszenia IODO organowi administracyjnemu,
\u2022 Termin zg\u0142aszania zmian danych dotycz\u0105cych IODO,
\u2022 Termin odwo\u0142ania IODO.
Ka\u017cda z tych operacji nie powinna zaj\u0105\u0107 organizacji nie wi\u0119cej ni\u017c 14 dni od rozpocz\u0119cia jej przebiegu w postaci papierowej b\u0105d\u017a elektronicznej.<\/p>\n\n\n\n
Z technicznego punktu widzenia, profilowaniem nazywa si\u0119 procedur\u0119 polegaj\u0105c\u0105 na zbieraniu informacji pozwalaj\u0105cych na identyfikacj\u0119 celu. Rozw\u00f3j technologii pozwoli\u0142 na zautomatyzowanie tego procesu. Wyniki profilowania u\u017cywane s\u0105 w szeroko zakrojonym spektrum \u2013 g\u0142\u00f3wnie jednak do oceny czyjej\u015b zdolno\u015bci kredytowej, stopnia zainteresowania danymi dobrami, sytuacji zdrowotnej lub rodzinnej itp.<\/p>\n\n\n\n
Z prawnego punktu widzenia jednak, profilowanie nie by\u0142o zdefiniowane wprost; temat ten zosta\u0142 poruszony m.in. w ustawie Prawo Bankowe, ustawie Prawo Telekomunikacyjne, ustawie o dzia\u0142alno\u015bci ubezpieczeniowej i ustawie o ochronie danych osobowych.<\/p>\n\n\n\n
\u017badna z powy\u017cszych ustaw jednak nie deklarowa\u0142a standard\u00f3w zwi\u0105zanych z t\u0105 procedur\u0105. Brak doktryny utrudnia\u0142 pole interpretacyjne przepis\u00f3w \u2013 to z kolei rzutowa\u0142o i na jako\u015b\u0107 wynik\u00f3w profilowania, i na bezpiecze\u0144stwo danych. Dlatego te\u017c materia ta zosta\u0142a podj\u0119ta przez ustawodawc\u00f3w z Unii Europejskiej.<\/p>\n\n\n\n
Pierwszym powa\u017cnym krokiem zmieniaj\u0105cym wygl\u0105d dotychczasowego prawa wzgl\u0119dem profilowania jest podanie jego dok\u0142adnej definicji. Mianowicie, profilowanie okre\u015bla si\u0119 jako\u201eoperacj\u0119 lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w spos\u00f3b zautomatyzowany lub niezautomatyzowany, tak\u0105 jak zbieranie, utrwalanie, organizowanie, porz\u0105dkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przegl\u0105danie, wykorzystywanie, ujawnianie poprzez przes\u0142anie, rozpowszechnianie lub innego rodzaju udost\u0119pnianie, dopasowywanie lub \u0142\u0105czenie, ograniczanie, usuwanie lub niszczenie\u201d.
Od momentu wej\u015bcia RODO w \u017cycie, profilowanie traktuje si\u0119 jako jedn\u0105 z czynno\u015bci przetwarzania danych osobowych. Rodzi to jednak pewien problem \u2013 jaka jest podstawa do tego, aby m\u00f3c dokona\u0107 ich przetworzenia?<\/p>\n\n\n\n
Na to pytanie ci\u0119\u017cko odpowiedzie\u0107 jednoznacznie \u2013 wydawa\u0107 si\u0119 jednak mo\u017ce, \u017ce naj\u0142atwiej interpretowaln\u0105 baz\u0105 mo\u017ce by\u0107 zgoda, jednak przewiduje si\u0119 r\u00f3wnie\u017c mo\u017cliwo\u015b\u0107 rozpocz\u0119cia procedury na innych podstawach.<\/p>\n\n\n\n
Do obowi\u0105zk\u00f3w administratora b\u0119dzie nale\u017ce\u0107 jednak przestrzeganie zasad przetwarzania danych osobowych. Zgodno\u015b\u0107 z prawem, przejrzysto\u015b\u0107 informacji i uzasadniony cel ich zbierania, a tak\u017ce ochrona przed ich nieuprawnion\u0105 modyfikacj\u0105 czy dost\u0119pem to pryncypia, kt\u00f3rymi musi si\u0119 kierowa\u0107. Dodatkowo, samo przestrzeganie procedur nie wystarcza \u2013 administrator musi udowodni\u0107, \u017ce przetwarzanie danych przebiega zgodnie z prawem.<\/p>\n\n\n\n
Pewne jest jedno \u2013 profilowanie zmieni sw\u00f3j charakter. Niezale\u017cnie od tego, czy informacja o obr\u00f3bce danych pojawi si\u0119 w formie checkboxu, panelu, popupu, infografiki czy odes\u0142ania do polityki prywatno\u015bci \u2013 najwa\u017cniejsza ma by\u0107 prostota przekazu.<\/p>\n\n\n\n
Dotychczas, na podstawie ustawy ochrony danych osobowych z 1997 roku dost\u0119p do danych uzyskiwa\u0142o si\u0119 dzi\u0119ki zawarciu umowy na pi\u015bmie z w\u0142asnor\u0119cznymi podpisami obu stron na pi\u015bmie. Wymaga\u0142o to posiadania oryginalnego egzemplarza umowy.<\/p>\n\n\n\n
Na tym polu RODO wprowadza u\u0142atwienie \u2013 dopuszcza bowiem mo\u017cliwo\u015b\u0107, \u017ce tego typu umowa mo\u017ce by\u0107 zawarta drog\u0105 elektroniczn\u0105. Mo\u017cna to r\u00f3wnie\u017c interpretowa\u0107 jako zaakceptowanie regulaminu zawieraj\u0105cego adekwatne postanowienia dot. obr\u00f3bki danych osobowych.<\/p>\n\n\n\n
Niemniej jednak, jako ADO jeste\u015b odpowiedzialny za dob\u00f3r instytucji, kt\u00f3rej powierzasz przetworzenie danych. Oznacza to, \u017ce aby zadba\u0107 o ten aspekt, musisz zweryfikowa\u0107, czy dany podmiot zapewnia odpowiedni poziom bezpiecze\u0144stwa. Wlicza si\u0119 w to m.in. posiadanie odpowiednich certyfikat\u00f3w, informacje dotykaj\u0105ce tej materii na stronach internetowych swoich plac\u00f3wek, czy te\u017c implementacje odpowiednich system\u00f3w takich jak statlook, pozwalaj\u0105cych na bezpieczne operowanie poufnymi danymi.<\/p>\n\n\n\n
Nale\u017cy r\u00f3wnie\u017c wsomnie\u0107 o narz\u0119dziach typu Google, Facebook czy inne chmury, kt\u00f3re pozwala\u0142y na si\u0119gni\u0119cie po o\u015bwiadczenia danej firmy w gestii polityki bezpiecze\u0144stwa. W tym punkcie bowiem zaczyna si\u0119 problem z mo\u017cliwo\u015bci\u0105 weryfikacji poziomu zabezpieczenia danych. Na ten moment niemo\u017cliwym jest realne sprawdzenie zapewnie\u0144 dot. obranej polityki \u2013 tote\u017c tak, jak do tej pory RODO zaleca w gestii polityki chmurowej tak\u0105 sam\u0105 ostro\u017cno\u015b\u0107.<\/p>\n\n\n\n
Te dwa angloj\u0119zyczne terminy pojawiaj\u0105 si\u0119 w rozporz\u0105dzeniu nie bez powodu. Zapewniaj\u0105 one bowiem u\u017cytkownikom wi\u0119ksz\u0105 kontrol\u0119 nad swoimi danymi.<\/p>\n\n\n\n
Privacy by design jest terminem okre\u015blaj\u0105cym obowi\u0105zek uwzgl\u0119dnienia ochrony danych ju\u017c w fazie tworzenia projektu. Tak wi\u0119c, do zada\u0144 projektant\u00f3w nale\u017cy zadbanie o to, aby sama konstrukcja aplikacji b\u0105d\u017a programu tworzy\u0142a warunki, w kt\u00f3rych dane nie wymagaj\u0105 ochrony. Przyk\u0142adem tego jest Dynamic Host Configuration Protocol \u2013 urz\u0105dzenia bazuj\u0105ce na r\u00f3\u017cnych identyfikatorach dostaje adres IP z serwera, dzi\u0119ki czemu ma mo\u017cliwo\u015b\u0107 komunikacji bez potrzeby ujawniania identyfikatora.<\/p>\n\n\n\n
Privacy by default dotyczy zakresu danych, kt\u00f3re zbieramy w celu przetwarzania. To osoba, kt\u00f3rej dane s\u0105 przetwarzane decyduje o dost\u0119pno\u015bci informacji na sw\u00f3j temat (np. poprzez zmian\u0119 ustawie\u0144 na portalach spo\u0142eczno\u015bciowych). Na Administratorze Danych Osobowych ci\u0105\u017cy obowi\u0105zek okre\u015blenia, jakie dane s\u0105 absolutnie niezb\u0119dne do realizacji cel\u00f3w dzia\u0142alno\u015bci firmy.<\/p>\n\n\n\n
Kolejn\u0105 nowo\u015bci\u0105, jak\u0105 wprowadza RODO jest na\u0142o\u017cony na administrator\u00f3w danych osobowych obowi\u0105zek zawiadamiania zar\u00f3wno organu nadzorczego, jak i u\u017cytkownik\u00f3w o incydentach dot. ochrony danych osobowych. Wi\u0105\u017ce si\u0119 to z potrzeb\u0105 skonstruowania i wzmocnienia procedur zwi\u0105zanych z monitoringiem, ewidencj\u0105 i zg\u0142aszania danych.
Nie ka\u017cde naruszenie jednak musi by\u0107 zg\u0142oszone. Zale\u017cy to g\u0142\u00f3wnie od indywidualnej oceny prawdopodobie\u0144stwa naruszenia praw lub wolno\u015bci os\u00f3b, kt\u00f3rych dane ulegaj\u0105 przetwarzaniu.<\/p>\n\n\n\n
Jakkolwiek ca\u0142a procedura wygl\u0105da na skomplikowan\u0105, mo\u017cna u\u0142atwi\u0107 j\u0105 za pomoc\u0105 kilku prostych krok\u00f3w. Pomocnym w tym zakresie jest zainstalowanie oprogramowania \u2013 przyk\u0142adem kt\u00f3rego mo\u017ce by\u0107 statlook \u2013 celuj\u0105cego zar\u00f3wno w monitorowanie przy zachowaniu legalnych i etycznych granic, jak i zapewnienie bezpiecze\u0144stwa infrastruktury IT. Pomo\u017ce Ci ono r\u00f3wnie\u017c wprowadzi\u0107 polityki bezpiecze\u0144stwa danych osobowych.<\/p>\n\n\n\n
Przechodzimy teraz do punktu budz\u0105cego najgor\u0119tsze emocje \u2013 faktem bowiem jest, \u017ce kary, kt\u00f3re mog\u0105 by\u0107 na\u0142o\u017cone w ramach z\u0142amania przepis\u00f3w zawartych w RODO, mog\u0105 by\u0107 horrendalne. Mog\u0105 one si\u0119ga\u0107 nawet 20 mln Euro, a w przypadku wi\u0119kszych przedsi\u0119biorstw 4% ca\u0142kowitego \u015bwiatowego obrotu z poprzedniego roku obrotowego. Zwa\u017cywszy na to, \u017ce zawsze stosuje si\u0119 kwot\u0119 wy\u017csz\u0105, straty, jakie mo\u017ce ponie\u015b\u0107 firma, mog\u0105 okaza\u0107 si\u0119 bardzo bolesne w skutkach.<\/p>\n\n\n\n
Warto jednak zachowa\u0107 spok\u00f3j \u2013 nie ka\u017cde naruszenia polityki bezpiecze\u0144stwa danych osobowych b\u0119dzie ko\u0144czy\u0107 si\u0119 tak wysok\u0105 kar\u0105. Przepisy RODO zaznaczaj\u0105, \u017ce kara ma by\u0107 proporcjonalna do zarzutu, a kryteria, jakimi si\u0119 kieruj\u0105 organy podczas jej nak\u0142adania, dok\u0142adnie wylistowane.<\/p>\n\n\n\n
Odpowied\u017a na to pytanie mo\u017ce by\u0107 paradoksalnie bardzo istotna w dalszym wnioskowaniu. Mianowicie, od momentu wprowadzenia RODO w \u017cycie, kwoty z kar b\u0119d\u0105 zasila\u0107 przych\u00f3d skarbu pa\u0144stwa.
W zwi\u0105zku z tym sporadyczne dotychczas kontrole GIODO mog\u0105 si\u0119 znacznie nasili\u0107. Warto wi\u0119c przyjrze\u0107 si\u0119 kwestiom zwi\u0105zanym z ochron\u0105 danych osobowych i mie\u0107 pewno\u015b\u0107, \u017ce przez zaniedbanie procedur nie narazi si\u0119 firmy na straty.<\/p>\n\n\n\n
NUODO opisuje r\u00f3wnie\u017c procedur\u0119 przeprowadzania post\u0119powania kontrolnego. Aby do niego dosz\u0142o, mog\u0105 zaistnie\u0107 trzy warunki:
\u2022 Prezes Urz\u0119du ds. Ochrony Danych Osobowych (UODO) zarz\u0105dza kontrol\u0119 na podstawie analiz;
\u2022 Urz\u0105d dostaje informacj\u0119 z zewn\u0105trz,
\u2022 Kontrola nast\u0119puje w toku uprzednio rozpocz\u0119tego post\u0119powania w sprawie naruszenia przepis\u00f3w zawartych w NUODO.<\/p>\n\n\n\n
Ca\u0142o\u015b\u0107 procedury b\u0119dzie dokonana przez pracownik\u00f3w UODO. Ich kompetencje maj\u0105 szeroki zakres, do kt\u00f3rego zalicza si\u0119:
\u2022 Prawo do wst\u0119pu na posesj\u0119 i grunt;
\u2022 Wgl\u0105d do dokumentacji maj\u0105cej bezpo\u015bredni zwi\u0105zek z przedmiotem kontroli;
\u2022 Ogl\u0119dziny no\u015bnik\u00f3w informacji, system\u00f3w informatycznych i urz\u0105dze\u0144 s\u0142u\u017c\u0105cych do przetwarzania danych;
\u2022 Mo\u017cliwo\u015b\u0107 za\u017c\u0105dania pisemnych lub ustnych wyja\u015bnie\u0144 zar\u00f3wno osoby odpowiedzialnej za przetwarzanie danych, jak i jej pracownik\u00f3w, r\u00f3wnie\u017c w charakterze przes\u0142uchania.<\/p>\n\n\n\n
Post\u0119powanie kontrolne mo\u017ce trwa\u0107 do miesi\u0105ca. Wed\u0142ug zapis\u00f3w zawartych w NUODO, jego rozpocz\u0119cie znamionuje okazanie legitymacji i upowa\u017cnienia kontroluj\u0105cego; zwie\u0144czone jest za\u015b podpisaniem protoko\u0142u kontrolnego.<\/p>\n\n\n\n
Zmiany wynikaj\u0105ce z wej\u015bcia RODO w \u017cycie nie s\u0105 tylko kosmetyczne. Wymagaj\u0105 one kreatywnego i kompleksowego podej\u015bcia do zapis\u00f3w zawartych w rozporz\u0105dzeniu. Niemniej jednak, ju\u017c na ten moment mo\u017cna zauwa\u017cy\u0107 kilka akcji, kt\u00f3re mo\u017cna podj\u0105\u0107, aby stopniowo i harmonijnie wdro\u017cy\u0107 przepisy zawarte w rozporz\u0105dzeniu.<\/p>\n\n\n\n
Aby osi\u0105gn\u0105\u0107 optymalny rozw\u00f3j infrastruktury ochrony danych, nale\u017cy:
\u2022 Upewni\u0107 si\u0119, \u017ce mamy podstawy do przetwarzania danych osobowych;
\u2022 Wdro\u017cy\u0107 procedury zawarte w NUODO, po czym da\u0107 temu wyraz w dokumentacji;
\u2022 Zadba\u0107 o profesjonalne oprogramowanie, kt\u00f3re wesprze przebieg procedur ochrony danych;
\u2022 Zadba\u0107 o obecno\u015b\u0107 kompetentnego IODO w firmie;
\u2022 Przestrzega\u0107 kodeksu dobrych praktyk;
\u2022 Pami\u0119ta\u0107, \u017ce ochrona danych osobowych nie powinna by\u0107 zapisana tylko na papierze \u2013 chodzi o wprowadzenie odpowiedniej polityki firmy.<\/p>\n\n\n\n
Maj\u0105c te wszystkie czynniki w pami\u0119ci, nie musisz si\u0119 d\u0142u\u017cej ba\u0107 \u2013 RODO w istocie prostuje wiele spraw, kt\u00f3re wcze\u015bniej by\u0142y chaotyczne i trudne do interpretacji.<\/p>\n","protected":false},"excerpt":{"rendered":"
Wchodz\u0105ce w \u017cycie 24 maja 2018 roku Rozporz\u0105dzenie o Ochronie Danych Osobowych (w skr\u00f3cie RODO) budzi niepok\u00f3j w sercach wielu przedsi\u0119biorc\u00f3w. Atmosfera panuj\u0105ca wok\u00f3\u0142 jego tematu, jak r\u00f3wnie\u017c brak zdeklarowanych...<\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[48],"class_list":["post-42804","post","type-post","status-publish","format-standard","hentry","category-bez-kategorii","tag-imported-pl"],"yoast_head":"\n