Wchodzące w życie 24 maja 2018 roku Rozporządzenie o Ochronie Danych Osobowych (w skrócie RODO) budzi niepokój w sercach wielu przedsiębiorców. Atmosfera panująca wokół jego tematu, jak również brak zdeklarowanych przepisów utrudniają skuteczne wdrożenie przepisów wynikających z treści rozporządzenia. Dlatego też warto rozjaśnić najbardziej podstawowe kwestie związane z RODO – okazuje się, że nie jest ono tak straszne, jak je malują.
RODO budzi niepokój – zarówno wśród pracowników wielkich korporacji, jak i posiadaczy mniejszych biznesów. Jest to jednak w dużej mierze kwestia niedoinformowania i widma horrendalnych kar nakładanych za nieprzestrzeganie przepisów.
Wbrew pozorom, RODO dotyka wielu materii pominiętych przez dotychczas obowiązującą ustawę zd. 29 sierpnia 1997 o ochronie danych osobowych. Nowe warunki – będące wynikiem digitalizacji informacji – wymagają nowego podejścia; tą filozofią kierowali się unijni urzędnicy, kreując przepisy zawarte w rozporządzeniu. Z tego podejścia wynika płynność wytycznych – zostały one skonstruowane tak, aby zapewnić uniwersalność i jak najdłuższą aktualność przepisów.
Pamiętając o tym, omówmy podstawowe zagadnienia związane z RODO. Poprawne wdrożenie zasad w życie firmy wymaga pewnej dozy kreatywności – jednak wiedza, w jaki sposób interpretować poszczególne przepisy pomoże w oswojeniu się z największą od 20 lat zmianą w przepisach o ochronie danych osobowych.
Kto jest objęty RODO?
Zastanówmy się nad tym, kogo nowe przepisy dotykają; duże korporacje, małe przedsiębiorstwa, jednoosobowe działalności? Poprawna odpowiedź brzmi: każdego, kto na terenie Unii Europejskiej przetwarza dane osobowe w celach innych, niż prywatne.
Tak więc, rozporządzenie tyczy się każdego usługodawcy i sprzedawcy na terenie Unii Europejskiej. Dotyka to również osoby, które przetwarzają dane, nie prowadząc działalności gospodarczej.
Czym jest przetwarzanie danych?
Do pełnego pojęcia tego, kto podlega przepisom zawartym w RODO, warto zastanowić się nad tym, co rozumie się jako przetwarzanie danych. GDPR szczegółowo definiuje to pojęcie jako szeroko pojęte operacje (w tym: zbieranie, utrwalanie, organizowanie, adaptowanie, modyfikowanie, przeglądanie, wykorzystywanie, ujawnianie, przesyłanie lub niszczenie) nad danymi osobowymi, które stanowią część zbioru danych. Operacji tych można dokonywać w sposób zautomatyzowany, jak i niezautomatyzowany. Tak więc, przetwarzanie danych odbywa się zarówno wewnątrz systemów informatycznych, jak i poza nimi.
Czy wszystko jest w rękach Unii?
RODO jest podstawą do interpretacji prawnej procesu przetwarzania danych osobowych na terenie całej UE. Nie będzie już więcej potrzeby odwoływania się do przepisów danego państwa, aby być pewnym legalności swoich procesów przetwarzania; wszystko będzie zawarte w jednym, uniwersalnym dla każdego państwa dokumencie.
Nie oznacza to jednak, że pozbawiamy się suwerenności i samodzielności w ustalaniu przepisów prawnych. Każde państwo bowiem będzie posiadać własne organy nadzorcze. To znaczy, że organem, do którego referujemy, wdrażając przepisy, jest ten funkcjonujący w kraju, gdzie znajduje się baza organizacyjna firmy. W przypadku Polski jest to Ministerstwo Cyfryzacji, które 14 września br. opublikowało projekt nowej ustawy o ochronie danych osobowych (w skrócie NUODO).
Czy polska interpretacja przepisów będzie identyczna z unijnymi?
Już na tym etapie można się doszukać różnic pomiędzy oryginalnymi zapisami GDPR (General Data Protection Regulation) a tymi zawartymi w NUODO; polski projektodawca skorzystał bowiem ze swobody zapewnionej przez przepisy unijne, wyłączając zastosowanie rozporządzenia względem:
a) Działalności artystycznej,
b) Działalności literackiej,
c) Wypowiedzi akademickich,
d) Wszelkiego rodzaju działalność związana z tworzeniem materiałów prasowych – czyli redagowanie, przygotowywanie, publikowanie
Jakie są podstawy do przetwarzania danych osobowych?
Wiemy już, kto jest dotknięty nowymi przepisami. Przejdźmy więc krok dalej i zastanówmy się nad kolejną, palącą materią – mianowicie, nad podstawami, które należy spełnić, aby uzyskać pozwolenie na przetwarzanie danych.
Na początek zdefiniujmy pojęcie podstaw. Są to sytuacje, w których przetwarzanie czyichś danych osobowych jest legalnie uzasadnione. Oznacza to, że błędna interpretacja podstawy lub bezpodstawne przetwarzanie danych osobowych jest naruszeniem obowiązującego prawa.
W materii podstaw RODO nie wprowadza innowacji – dotychczasowe przepisy odzwierciedlają to, co jest zapisane w rozporządzeniu. Oznacza to, że jeżeli wcześniej znałeś te zagadnienia, nie musisz się martwić nadrabianiem wiedzy – już ją posiadasz.
Niemniej jednak, omówmy poszczególne podstawy i ich znaczenie w procesie przetwarzania. W tej materii, RODO przewiduje następujące kroki:
a. Zgodę,
b. Dopełnienie warunków umowy lub podjęcie działań niezbędnych do jej realizacji przed jej zawarciem,
c. Wypełnienie obowiązku nałożonego przez prawo,
d. Ochronę żywotnych interesów osoby, której dane są przetwarzane,
e. Dopełnienie zadania realizowanego w interesie publicznym,
f. Prawnie uzasadniony interes administratora.
Jakie są najczęściej stosowane podstawy?
Dotychczas firmy przetwarzały dane głównie na podstawie trzech poniższych punktów:
a) Zgoda – przykładem czego jest uzyskanie subskrybenta,
b) Realizacja umowy – dopełnienie zakupu w sklepie internetowym,
c) Dopełnienie obowiązku prawnego – wystawienie faktury, która dokumentuje dokonanie zakupu
Największy niepokój budzi zgoda. Paradoksalnie, RODO bardzo klarownie określa cechy, jakimi powinna się ona charakteryzować. Zgoda musi być:
a. Uprzednia – ma zostać wydania przed rozpoczęciem procesu przetwarzania;
b. Wyraźna – użytkownik powinien być świadomy jej wyrażenia;
c. Dobrowolna – w żaden sposób nie można jej wymusić na użytkowniku;
d. Udokumentowana – administrator ma obowiązek prowadzenia dokumentacji w zakresie zyskania danych na podstawie zgody;
e. Odwoływania – użytkownik ma prawo do zrezygnowania ze zgody na przetwarzanie danych osobowych w każdym momencie. Administrator ma obowiązek nakreślić ten fakt w sposób jasny i klarowny podczas jej nawiązywania.
Co z mailingiem i marketingiem SMS?
Zgoda na rozpoczęcie procedury bezpośredniego marketingu mailowego i SMS musi pokryć wszystkie powyższe punkty; jednakże należy również pamiętać o zyskaniu zgody na przesyłanie informacji handlowych i używanie telekomunikacyjnych urządzeń końcowych.
RODO dba o interes dzieci
Przepisy skonstruowane przez Unię Europejską przewidują specjalne podejście do użytkowników, którzy nie skończyli 16 lat. Do przetworzenia ich danych osobowych potrzebujesz zgody ich ustawowych przedstawicieli – w większości przypadków, rodzica lub prawnego opiekuna.
Polski ustawodawca planuje wprowadzić niższą barierę wiekową; wynika to głównie z przepisów Kodeksu Cywilnego, który ustala granicę otrzymania ograniczonej zdolności do czynności prawnych. Dlatego też na terenie Polski potrzebujesz zgody opiekuna prawnego użytkownika, który nie skończył 13 lat.
Bezpośrednia odpowiedzialność przetwarzającego dane
Głównym problemem, z którym muszą zmierzyć się placówki przetwarzające dane pochodzące z innych firm jest fakt, że od momentu wejścia RODO w życie biorą one bezpośrednią odpowiedzialność za złamanie przepisów. Wiąże się to z podjęciem ryzyka otrzymania kary finansowej czy ograniczenia lub pozbawienia wolności.
Ponadto RODO zaostrza restrykcje w związku z tworzeniem umów o przetwarzaniu. Oznacza to, że należy przyłożyć więcej uwagi do ich konstruowania i dalszej dokumentacji.
Temat kar zostanie poruszony w późniejszej części artykułu, jednak należy zaznaczyć, że ewentualna grzywna będzie proporcjonalna do przewinienia. Ponadto zarówno ograniczenia odpowiedzialności, jak i kwoty odszkodowań będą podlegać renegocjacji.
Co z rejestracją zbiorów?
Jest to jedna z bardziej pozytywnych zmian, które wprowadza RODO. Na przedsiębiorcach bowiem nie będzie już ciążyć obowiązek zgłaszania zbiorów danych do GIODO. Co to oznacza? Zamiast skupiać się na niepotrzebnej biurokracji, ważniejszym będzie wprowadzenie faktycznej polityki bezpieczeństwa w życie.
Oznacza to, że na przedsiębiorcę będą nałożone następujące obowiązki:
1. Utworzenie wewnętrznej dokumentacji danych osobowych,
2. Wdrożenie odpowiednich procedur ochrony danych osobowych,
3. Prowadzenie rejestru czynności przetwarzania danych osobowych.
Dokumentacja – puste słowa czy faktyczne działanie?
Teoretycznie, w tej materii również niewiele się zmienia. Zarówno Polityka Bezpieczeństwa Przetwarzania Danych Osobowych, jak i Instrukcja Zarządzania Siecią Informatyczną to znane terminy – szczególnie dla osób, które wcześniej zajmowały się bezpieczeństwem danych osobowych.
Do tej pory posiadanie obu tych dokumentów w firmie było obowiązkowe. W teorii, było to dobre rozwiązanie – każda firma dzięki temu posiadała wykaz praktyk, jakimi się kierowała w celu ochrony prywatnych danych. W praktyce jednak, proces konstruowania obu dokumentów sprowadzał się do skopiowania wzoru z Internetu i zapomnieniu o ich istnieniu.
NUODO zmienia to podejście już u samych podstaw – wymaga bowiem najpierw implementacji procedur, a potem ich opisania w obu dokumentach. Nie nakłada się na administratora obowiązku ich posiadania w danej formie – to, jak zawrzesz informacje o polityce bezpieczeństwa danych zależy tylko i wyłącznie od Twojej decyzji w zakresie celu, wielkości przedsiębiorstwa, zakresu i środowiska przetwarzania danych.
Jakie są środki ochrony danych?
Dotychczasowe przepisy dość dokładnie opisywały katalog metod, które administrator ma wdrożyć w związku z przetwarzaniem danych osobowych. To rozwiązanie niesie ze sobą jednak pewien problem – zarówno większe organizacje, jak i małe przedsiębiorstwa musiały dostosować się do tych samych przepisów.
RODO znosi ten obowiązek – od maja przyszłego roku samodzielnie decydujesz o środkach bezpieczeństwa danych w swojej firmie. Jedynym kryterium jest to, aby zapewniały one dostateczny poziom ochrony. Wymaga to kreatywnego podejścia, ale skutkować będzie faktycznym wdrożeniem procedur w życie.
Obowiązki informacyjne – z czym to się je?
Następnym krokiem do zrozumienia co RODO zmienia, jest omówienie tzw. obowiązków informacyjnych. Jednym z najważniejszych zadań administratora danych osobowych jest zapewnienie bezpieczeństwa przekazywanych informacji. Aby tego dokonać, nakłada się na niego zarówno obowiązki wewnętrzne – czyli implementację procedur, polityk prywatności i środków ochrony – jak i obowiązki zewnętrzne, czyli informacyjne.
Te ostatnie rozumie się jako przekaz informacji użytkownikowi nt. tego, w jaki sposób dane użytkownika będą obrabiane przez firmę. RODO w tej materii przewiduje, że zakres obowiązków informacyjnych zostanie poszerzony. W praktyce oznacza to, że będziemy musieli przekazać użytkownikom więcej danych, niż do tej pory.
Czym jest rejestr czynności przetwarzania?
Rejestracja czynności przetwarzania jest pojęciem wprowadzonym w RODO. Stanowi on rozwinięcie tego, co wcześniej było znane jako „wykaz zbiorów danych osobowych”, będący często załącznikiem do Polityki Bezpieczeństwa. RODO przewiduje zwolnienie z obowiązku założenia tego rejestru przedsiębiorców zatrudniających mniej niż 250 osób – chyba że proces przetwarzania wiąże się z ryzykiem naruszenia praw lub wolności osoby, której dane ulegają przetwarzaniu.
Wyjątek od tej reguły stanowi również przypadek, w którym informacje dotyczą danych wrażliwych bądź związanych z wyrokami skazującymi i naruszeniem prawa.
Po co rejestrować?
Rejestr czynności pozwala na dokładną analizę zakresu i celu przetwarzania danych osobowych. Dzięki temu zyskujesz ogromną wiedzę na temat obrotu informacji, a także możliwość uporządkowania ich w zależności od typu zbioru. Tak więc, tego typu rejestry umożliwiają sprawne poruszanie się po danych, dzięki czemu zachowuje się porządek w firmie.
Co oznacza „ocena skutków przetwarzania”?
Odformalizowanie przepisów związanych z wdrażaniem RODO wiąże się ze stworzeniem gruntu, który faktycznie zapewnia bezpieczeństwo obrotu danych. Oznacza to, że bardziej intuicyjne przepisy nie zwalniają Cię całkowicie z obowiązku skonstruowania funkcjonującej sieci bezpieczeństwa. Dlatego też RODO przewiduje obowiązek stworzenia dokumentu zawierającego ocenę skutków przetwarzania danych osobowych.
Przeprowadzenie oceny skutków przetwarzania danych osobowych
RODO omawia również warunki przeprowadzenia procedury oceny skutków przetwarzania. Typ przetwarzania, który opisuje, akcentuje szczególnie charakter, zakres, cele i kontekst przetworzenia, wskazujący na to, że może naruszyć prawo lub wolność osób fizycznych.
Jakie operacje wymagają przeprowadzenia oceny skutków przetwarzania danych osobowych?
Aby odpowiedzieć na to pytanie, należy zastanowić się, jaki organ będzie wymagał stworzenia wykazu tego typu operacji. GDPR otwiera tu furtkę krajowym organom nazdorczym, które mają za zadanie przygotowanie wykazu tego typu operacji. Ma to pomóc w rozwianiu wątpliwości nt. tego, czy ocena jest rzeczywiście potrzebna.
Pod znakiem zapytania stoją m.in. systemy CRM, do których użytkownicy wprowadzają pewien zakres danych, jednak nie wymagają one podania danych wrażliwych. Zawężenie typu danych, które mogą stanowić ryzyko dla wolności lub praw klienta ma za zadanie rozwiać wątpliwości dotyczące konieczności przeprowadzenia oceny.
Najpierw ocena, potem dyskusja. Przy założeniu, że ocena skutków przetwarzania okaże się negatywna, rodzi się następne pytanie – co robić? RODO przewiduje możliwość skonsultowania wyniku z organem nadzorczym. Ma to na celu zapewnienie bezpieczeństwa danych i zmniejszenie dotychczas wysokiego ryzyka.
Czym jest „kodeks dobrych praktyk”?
Problematyka RODO wydaje się dość skomplikowana i otwarta – poprzednia ustawa, przy jej formalizacji, dawała jednak konkretniejsze wytyczne, za którymi łatwiej było podążać. Niemniej jednak, polski rynek oferuje szeroki wachlarz ofert pomocy w implementacji procedur danych osobowych. Dotyczy to również systemów wspomagających ochronę danych.
Przykładowo, statlook oferujący kompleksowe zarządzanie oprogramowaniem czy GLPI pozwalający na prowadzenie rejestru umów pozwalają na automatyzację procedur, dzięki czemu cały proces staje się czystą formalnością.
Poza tym, RODO umożliwia wprowadzenie kodeksów postępowania i mechanizmów certyfikacji. W założeniu, każdy kodeks będzie tworzony z myślą o konkretnej branży. Dzięki temu, powstanie zestaw uniwersalnych zasad umożliwiających poprawne wdrożenie RODO.
Ponadto, będzie również istnieć możliwość uzyskania certyfikatu świadczącego o odpowiednim wdrożeniu polityki bezpieczeństwa danych osobowych. Będą one wydawane przez uprawnione do tego organy. Przewiduje się zatem, że wraz z rozwojem świadomości przedsiębiorców w zakresie RODO, będzie również przybywać materiałów ułatwiających wdrożenie przepisów. Nie martw się – nie pozostaniesz z problemem sam.
Kim jest inspektor ochrony danych?
Nową sylwetką w Twojej firmie, jaką wprowadzają przepisy zawarte w RODO jest IODO – czyli Inspektor Ochrony Danych Osobowych. Wraz ze zniknięciem obowiązku zgłaszania zbiorów do GIODO, rośnie rola tego pracownika.
Ogólnie rzecz ujmując, do zadań IODO należy zapewnienie ciągłości przepisów o ochronie danych osobowych – tak, aby wziąć na siebie część obowiązków ciążących na ADO (Administratora Danych Osobowych). Zastępuje więc on poniekąd ABI – z drobnymi różnicami w zakresie obowiązków.
Dlaczego IODO jest tak istotny?
IODO stanowi swoistą formę pomocy w zakresie przetwarzania danych osobowych. Czasem bywa tak, że pewne dane niosą ze sobą wymierne ryzyko zagrożenia czyjejś wolności lub prywatności. IODO jest zatem osobą, która stanowi zaporę bezpieczeństwa i dba o jakość ochrony poufnych danych. W takim przypadku, powołanie IODO należy do obowiązków firmy – ogólnie rzecz ujmując, RODO nie przewiduje bowiem takiego przymusu.
Są jednak organy zobowiązane do powołania takiej funkcji. UODO w tej materii wskazuje definicje zawarte w kodeksie postępowania administracyjnego (KPA), oraz te z ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (UFP).
Ogólnie rzecz ujmując, do powołania IODO zobowiązuje się niemal wszystkie podmioty, które realizują zadania publiczne. Wyłącza się jedynie spółki skarbu państwa i instytuty badawcze.
Wiele firm praktykuje łączenie roli Administratora Sieci Informatycznej z Administratorem Bezpieczeństwa Informacji; znajomość procedur bezpieczeństwa danych często idzie bowiem w parze ze świadomością, na czym polega proces administracji zasobami informatycznymi. W połączeniu obu ról pomocnym okazuje się takie oprogramowanie jak statlook RODO, dzięki intuicyjnemu dostępowi do Ewidencji Zbioru Danych, Rejestru Czynności Przetwarzania czy szczegółowych informacji o firmowej dokumentacji.
Jakie firma ma obowiązki w związku z IODO?
Rozdział 2 NUODO określa konkretne działania, których należy przestrzegać w związku z osobą IODO. Do nich należą:
• Termin zgłoszenia IODO organowi administracyjnemu,
• Termin zgłaszania zmian danych dotyczących IODO,
• Termin odwołania IODO.
Każda z tych operacji nie powinna zająć organizacji nie więcej niż 14 dni od rozpoczęcia jej przebiegu w postaci papierowej bądź elektronicznej.
O co chodzi z profilowaniem?
Z technicznego punktu widzenia, profilowaniem nazywa się procedurę polegającą na zbieraniu informacji pozwalających na identyfikację celu. Rozwój technologii pozwolił na zautomatyzowanie tego procesu. Wyniki profilowania używane są w szeroko zakrojonym spektrum – głównie jednak do oceny czyjejś zdolności kredytowej, stopnia zainteresowania danymi dobrami, sytuacji zdrowotnej lub rodzinnej itp.
Z prawnego punktu widzenia jednak, profilowanie nie było zdefiniowane wprost; temat ten został poruszony m.in. w ustawie Prawo Bankowe, ustawie Prawo Telekomunikacyjne, ustawie o działalności ubezpieczeniowej i ustawie o ochronie danych osobowych.
Żadna z powyższych ustaw jednak nie deklarowała standardów związanych z tą procedurą. Brak doktryny utrudniał pole interpretacyjne przepisów – to z kolei rzutowało i na jakość wyników profilowania, i na bezpieczeństwo danych. Dlatego też materia ta została podjęta przez ustawodawców z Unii Europejskiej.
RODO a profilowanie – jak będzie to przebiegać?
Pierwszym poważnym krokiem zmieniającym wygląd dotychczasowego prawa względem profilowania jest podanie jego dokładnej definicji. Mianowicie, profilowanie określa się jako„operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”.
Od momentu wejścia RODO w życie, profilowanie traktuje się jako jedną z czynności przetwarzania danych osobowych. Rodzi to jednak pewien problem – jaka jest podstawa do tego, aby móc dokonać ich przetworzenia?
Na to pytanie ciężko odpowiedzieć jednoznacznie – wydawać się jednak może, że najłatwiej interpretowalną bazą może być zgoda, jednak przewiduje się również możliwość rozpoczęcia procedury na innych podstawach.
Do obowiązków administratora będzie należeć jednak przestrzeganie zasad przetwarzania danych osobowych. Zgodność z prawem, przejrzystość informacji i uzasadniony cel ich zbierania, a także ochrona przed ich nieuprawnioną modyfikacją czy dostępem to pryncypia, którymi musi się kierować. Dodatkowo, samo przestrzeganie procedur nie wystarcza – administrator musi udowodnić, że przetwarzanie danych przebiega zgodnie z prawem.
Pewne jest jedno – profilowanie zmieni swój charakter. Niezależnie od tego, czy informacja o obróbce danych pojawi się w formie checkboxu, panelu, popupu, infografiki czy odesłania do polityki prywatności – najważniejsza ma być prostota przekazu.
Czym jest powierzenie przetwarzania danych?
Dotychczas, na podstawie ustawy ochrony danych osobowych z 1997 roku dostęp do danych uzyskiwało się dzięki zawarciu umowy na piśmie z własnoręcznymi podpisami obu stron na piśmie. Wymagało to posiadania oryginalnego egzemplarza umowy.
Na tym polu RODO wprowadza ułatwienie – dopuszcza bowiem możliwość, że tego typu umowa może być zawarta drogą elektroniczną. Można to również interpretować jako zaakceptowanie regulaminu zawierającego adekwatne postanowienia dot. obróbki danych osobowych.
Najpierw bezpieczeństwo, potem przyjemności
Niemniej jednak, jako ADO jesteś odpowiedzialny za dobór instytucji, której powierzasz przetworzenie danych. Oznacza to, że aby zadbać o ten aspekt, musisz zweryfikować, czy dany podmiot zapewnia odpowiedni poziom bezpieczeństwa. Wlicza się w to m.in. posiadanie odpowiednich certyfikatów, informacje dotykające tej materii na stronach internetowych swoich placówek, czy też implementacje odpowiednich systemów takich jak statlook, pozwalających na bezpieczne operowanie poufnymi danymi.
Należy również wsomnieć o narzędziach typu Google, Facebook czy inne chmury, które pozwalały na sięgnięcie po oświadczenia danej firmy w gestii polityki bezpieczeństwa. W tym punkcie bowiem zaczyna się problem z możliwością weryfikacji poziomu zabezpieczenia danych. Na ten moment niemożliwym jest realne sprawdzenie zapewnień dot. obranej polityki – toteż tak, jak do tej pory RODO zaleca w gestii polityki chmurowej taką samą ostrożność.
Co oznacza privacy by design and default?
Te dwa anglojęzyczne terminy pojawiają się w rozporządzeniu nie bez powodu. Zapewniają one bowiem użytkownikom większą kontrolę nad swoimi danymi.
Privacy by design jest terminem określającym obowiązek uwzględnienia ochrony danych już w fazie tworzenia projektu. Tak więc, do zadań projektantów należy zadbanie o to, aby sama konstrukcja aplikacji bądź programu tworzyła warunki, w których dane nie wymagają ochrony. Przykładem tego jest Dynamic Host Configuration Protocol – urządzenia bazujące na różnych identyfikatorach dostaje adres IP z serwera, dzięki czemu ma możliwość komunikacji bez potrzeby ujawniania identyfikatora.
Privacy by default dotyczy zakresu danych, które zbieramy w celu przetwarzania. To osoba, której dane są przetwarzane decyduje o dostępności informacji na swój temat (np. poprzez zmianę ustawień na portalach społecznościowych). Na Administratorze Danych Osobowych ciąży obowiązek określenia, jakie dane są absolutnie niezbędne do realizacji celów działalności firmy.
Gdzie i kiedy należy zgłosić naruszenie przepisów?
Kolejną nowością, jaką wprowadza RODO jest nałożony na administratorów danych osobowych obowiązek zawiadamiania zarówno organu nadzorczego, jak i użytkowników o incydentach dot. ochrony danych osobowych. Wiąże się to z potrzebą skonstruowania i wzmocnienia procedur związanych z monitoringiem, ewidencją i zgłaszania danych.
Nie każde naruszenie jednak musi być zgłoszone. Zależy to głównie od indywidualnej oceny prawdopodobieństwa naruszenia praw lub wolności osób, których dane ulegają przetwarzaniu.
Jakkolwiek cała procedura wygląda na skomplikowaną, można ułatwić ją za pomocą kilku prostych kroków. Pomocnym w tym zakresie jest zainstalowanie oprogramowania – przykładem którego może być statlook – celującego zarówno w monitorowanie przy zachowaniu legalnych i etycznych granic, jak i zapewnienie bezpieczeństwa infrastruktury IT. Pomoże Ci ono również wprowadzić polityki bezpieczeństwa danych osobowych.
Jak wygląda sytuacja z karami za nieprzestrzeganie przepisów?
Przechodzimy teraz do punktu budzącego najgorętsze emocje – faktem bowiem jest, że kary, które mogą być nałożone w ramach złamania przepisów zawartych w RODO, mogą być horrendalne. Mogą one sięgać nawet 20 mln Euro, a w przypadku większych przedsiębiorstw 4% całkowitego światowego obrotu z poprzedniego roku obrotowego. Zważywszy na to, że zawsze stosuje się kwotę wyższą, straty, jakie może ponieść firma, mogą okazać się bardzo bolesne w skutkach.
Warto jednak zachować spokój – nie każde naruszenia polityki bezpieczeństwa danych osobowych będzie kończyć się tak wysoką karą. Przepisy RODO zaznaczają, że kara ma być proporcjonalna do zarzutu, a kryteria, jakimi się kierują organy podczas jej nakładania, dokładnie wylistowane.
Kary pieniężne – do kogo będzie należał przychód?
Odpowiedź na to pytanie może być paradoksalnie bardzo istotna w dalszym wnioskowaniu. Mianowicie, od momentu wprowadzenia RODO w życie, kwoty z kar będą zasilać przychód skarbu państwa.
W związku z tym sporadyczne dotychczas kontrole GIODO mogą się znacznie nasilić. Warto więc przyjrzeć się kwestiom związanym z ochroną danych osobowych i mieć pewność, że przez zaniedbanie procedur nie narazi się firmy na straty.
Jak będą wyglądać kontrole?
NUODO opisuje również procedurę przeprowadzania postępowania kontrolnego. Aby do niego doszło, mogą zaistnieć trzy warunki:
• Prezes Urzędu ds. Ochrony Danych Osobowych (UODO) zarządza kontrolę na podstawie analiz;
• Urząd dostaje informację z zewnątrz,
• Kontrola następuje w toku uprzednio rozpoczętego postępowania w sprawie naruszenia przepisów zawartych w NUODO.
Całość procedury będzie dokonana przez pracowników UODO. Ich kompetencje mają szeroki zakres, do którego zalicza się:
• Prawo do wstępu na posesję i grunt;
• Wgląd do dokumentacji mającej bezpośredni związek z przedmiotem kontroli;
• Oględziny nośników informacji, systemów informatycznych i urządzeń służących do przetwarzania danych;
• Możliwość zażądania pisemnych lub ustnych wyjaśnień zarówno osoby odpowiedzialnej za przetwarzanie danych, jak i jej pracowników, również w charakterze przesłuchania.
Postępowanie kontrolne może trwać do miesiąca. Według zapisów zawartych w NUODO, jego rozpoczęcie znamionuje okazanie legitymacji i upoważnienia kontrolującego; zwieńczone jest zaś podpisaniem protokołu kontrolnego.
Podsumowując – jak się przygotować na zmianę?
Zmiany wynikające z wejścia RODO w życie nie są tylko kosmetyczne. Wymagają one kreatywnego i kompleksowego podejścia do zapisów zawartych w rozporządzeniu. Niemniej jednak, już na ten moment można zauważyć kilka akcji, które można podjąć, aby stopniowo i harmonijnie wdrożyć przepisy zawarte w rozporządzeniu.
Aby osiągnąć optymalny rozwój infrastruktury ochrony danych, należy:
• Upewnić się, że mamy podstawy do przetwarzania danych osobowych;
• Wdrożyć procedury zawarte w NUODO, po czym dać temu wyraz w dokumentacji;
• Zadbać o profesjonalne oprogramowanie, które wesprze przebieg procedur ochrony danych;
• Zadbać o obecność kompetentnego IODO w firmie;
• Przestrzegać kodeksu dobrych praktyk;
• Pamiętać, że ochrona danych osobowych nie powinna być zapisana tylko na papierze – chodzi o wprowadzenie odpowiedniej polityki firmy.
Mając te wszystkie czynniki w pamięci, nie musisz się dłużej bać – RODO w istocie prostuje wiele spraw, które wcześniej były chaotyczne i trudne do interpretacji.
