Okiem PraWWWnika #3: RODO nadchodzi, Sprawdź jak się przygotować i jakie kary Ci grożą jeśli prowadzisz bloga lub stronę WWW | DailyWeb.pl

Okiem PraWWWnika #3: RODO nadchodzi, Sprawdź jak się przygotować i jakie kary Ci grożą jeśli prowadzisz bloga lub stronę WWW

Opublikowano 7 miesięcy temu - 6


Ochrona danych osobowych spędza sen z powiek wielu osobom. Ci, którzy nadal śpią spokojnie, zapewne o RODO nic nie słyszeli. Czy rzeczywiście jest się czego bać? Na to pytanie postaram się odpowiedzieć w niniejszym tekście.

RODO to skrót od Rozporządzenia o ochronie danych osobowych (w sieci można spotkać się również z określeniem GDPR od General Data Protection Regulation, czyli jego angielskiej nazwy). Oba skróty odnoszą się do jednego aktu prawnego jakim jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Co to jest RODO?

RODO jest kompleksowym aktem normatywnym regulującym problematykę ochrony danych osobowych. W porównaniu do obowiązującej jeszcze do 25 maja 2018 r. polskiej ustawy o ochronie danych osobowych wprowadza nowe podejście do przedmiotowej tematyki (o tym szerzej w dalszej części artykułu).

Z uwagi na fakt, iż Polska jest członkiem Unii Europejskiej, zgodnie z Traktatem o funkcjonowaniu Unii Europejskiej ma ona obowiązek wprowadzić rozporządzenie unijne (jako akt prawny o zasięgu ogólnym, który wiąże w całości i jest stosowany bezpośrednio) do polskiego porządku prawnego. Prace nad nowelizacją ustawy o ochronie danych osobowych już trwają. Opublikowany został pierwszy projekt, jednakże zgłoszono do niego wiele zastrzeżeń, które są właśnie analizowane.

DLACZEGO RODO JEST DLA MNIE WAŻNE?

Jeżeli prowadzisz przedsiębiorstwo albo bloga, który gromadzi dane osób fizycznych pozwalających na ich zidentyfikowanie, to masz obowiązek przetwarzać je zgodnie z przepisami RODO. Rozporządzenie inaczej niż obowiązująca w Polsce ustawa o ochronie danych osobowych (i akty wykonawcze do niej), kładzie nacisk na wdrożenie rozwiązań, które Ty po analizie ryzyka uznasz za stosowne (dotychczas należało zastosować wszystkie elementy wskazane w aktach prawnych). Wiąże się z tym pewne niebezpieczeństwo, ponieważ w przypadku nieodpowiedniego oszacowania ryzyka i zastosowania środków, które będą nieadekwatne do zagrożenia jakie mogą wynikać z przetwarzania danych osobowych, organ administracyjny będzie mógł nałożyć karę do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu (za ciężkie naruszenie) lub karę do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu (za lekkie naruszenie). Nałożona kara ma być proporcjonalna do naruszenia, a zatem nie trzeba się obawiać, iż zawsze będzie przyznawana najwyższa kwota. Warto mieć na uwadze to, że rozpiętość wymiaru kary jest stosunkowo szeroka i lepiej być przezornym. Dodatkowo administrator danych może ponieść odpowiedzialność cywilną, gdyż osoby, których dane dotyczą, będą miały prawo dochodzić od administratora danych lub podmiotu przetwarzającego odszkodowania za szkodę majątkową lub niemajątkową spowodowaną naruszeniem przepisów rozporządzenia.

Okiem PraWWWnika #5: Umowa, głupcze!

Aktualnie obowiązująca ustawa o ochronie danych osobowych wprowadziła system sankcji oparty na przepisach karnych. Praktyka wykazała, że nie jest on zbyt efektywny, dlatego zmiana na kary finansowe będzie bodźcem, który szybciej zdyscyplinuje podmioty przetwarzające dane osobowe, a także pozwoli organom administracyjnym na łatwiejszą egzekucję. Można też prognozować, że kontrole teraz będą częstsze niż dotychczas, ponieważ kwoty wynikające z nałożonych kar trafią do budżetu państwa.

CO TO SĄ DANE OSOBOWE?

RODO dokładnie definiuje co należy uznać za dane osobowe:

"dane osobowe" oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Art. 4 ust. 1 RODO

Wystarczy zatem przetwarzać jeden lub więcej elementów, które mogą pozwolić na zidentyfikowanie osoby fizycznej. Do takich danych należeć będzie imię i nazwisko (samo imię, albo samo nazwisko nie pozwoli na ustalenie konkretnej osoby), PESEL (który przyporządkowany jest do określonej osoby), numer telefonu (który po wymogu rejestracji przypisywany jest konkretnemu użytkownikowi) oraz zbiory elementów, np. Cezary, pracownik Kancelarii Prawno-Patentowej Ryszard Skubisz (przy niewielkim wysiłku łatwo ustalić o kogo chodzi). Problematyczne są adresy e-mail.

Jeżeli prowadzimy wysyłkę newsletterów a w naszej bazie nie znajdują się e-maile w formacie imię.nazwisko@domena.pl, a np. slonko100@domena.pl, to do przetwarzania danych osobowych nie dojdzie, chyba że w formularzu prosimy o dodatkowe informacje, takie jak imię i nazwisko. Adresy e-mail, w których znajdzie się jednak imię i nazwisko stanowią już dane osobowe.

KIEDY MOGĘ PRZETWARZAĆ DANE OSOBOWE?

RODO w art. 6 wskazuje na przesłanki pozwalające nam przetwarzać dane osobowe i są to następujące sytuacje:

  • osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.

Z punktu widzenia prowadzenia przedsiębiorstwa, szczególnie istotne są dwa pierwsze punkty, ponieważ pierwszy przypadek odnosi się np. do zgody użytkownika na otrzymywanie materiałów marketingowych lub newsletteru, druga zaś dotyczy sytuacji, w której podpisujemy umowę i w celu realizacji tej umowy będziemy przetwarzać dane osoby (np. prowadząc sklep internetowy możemy przetwarzać dane osobowe osoby, która zamówiła u nas towar, a my musimy go przygotować do wysyłki, wystawić fakturę i wysłać).

Okiem PraWWWnika #4: Wszystko co powinieneś wiedzieć o wpisach sponsorowanych i prawie, które ich dotyczy

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

RODO w art. 5 wskazuje jakie zasady należy przestrzegać przy przetwarzaniu danych osobowych. Każdy administrator danych osobowych musi:

  • przetwarzać je zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zasada zgodności z prawem, rzetelności i przejrzystości);
  • zbierać je w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie przetwarzać dalej w sposób niezgodny z tymi celami (zasada ograniczenie celu);
  • przetwarzać dane adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (zasada minimalizacji danych);
  • przetwarzać dane prawidłowe i w razie potrzeby uaktualniane z jednoczesnym podjęciem wszelkich rozsądnych działań, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (zasada prawidłowości);
  • przechowywać dane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane, chyba że do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych z wdrożone zostaną odpowiednie środki techniczne i organizacyjne (zasada ograniczonego przechowywania);
  • przetwarzać dane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności i poufności).

Dodatkowo administrator musi być w stanie wykazać przestrzeganie wszystkich powyższych zasad (zasada rozliczalności).

OBOWIĄZKI ADMINISTRATORA DANYCH

RODO zmienia podejście do ochrony danych osobowych wprowadzając konieczność zastosowania przepisów o ochronie danych osobowych już na etapie projektowania (privacy by design) oraz uprawnia nas wyłącznie do zbierania tych danych osobowych, które są niezbędne do procesu realizacji zamówienia, skorzystania z aplikacji czy usługi (privacy by default).

Rozporządzenie (z pewnymi wyjątkami) nakłada również na nas obowiązek rejestrowania czynności przetwarzania, abyśmy byli w stanie na wniosek osoby fizycznej wskazać m.in. jakie dane osobowe przetwarzamy, czy dokonaliśmy ich powierzenia innemu podmiotowi, a także kto administruje danymi (jesteśmy zatem bezpośrednio odpowiedzialni za przetwarzane dane osobowe).

RODO wymaga od nas również poinformowania odpowiedniego organu (który zostanie wskazany w znowelizowanej ustawie o ochronie danych osobowych) o naruszeniach przetwarzanych danych (np. jeżeli dojdzie do cyberataku i nasza baza danych dostanie się w niepowołane ręce). Mamy na to łącznie 72 godziny.

W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Okiem praWWWnika #2 – Jak chronić domenę internetową? Część I

Art. 33 ust. 1 RODO

Dodatkowo po wejściu nowych przepisów w życie będziemy musieli poinformować wyraźnie użytkowników na podstawie jakiego artykułu chcemy przetwarzać dane osobowe, jaki jest cel, podajemy dane administratora danych, a także wskazujemy jakie prawa przysługują osobom, które podadzą nam swoje dane osobowe. Nie będzie możliwe też już korzystanie z domyślnie zaznaczonych pól ze zgodą (np. przy newsletterach), ponieważ zgoda musi być dobrowolna, mieć łatwo zrozumiałą i dostępną formę. Osoby fizyczne będą też miały prawo do bycia zapomnianym, jeżeli będziemy dokonywać ich profilowania to musimy wyraźnie o tym poinformować i uzyskać zgodę.

  1. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
  2. Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca.
  3. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
  4. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Art. 7 RODO

W szczególny sposób RODO chroni dzieci oraz transgraniczne przekazywanie danych osobowych. W pierwszym przypadku – RODO wymaga zgody opiekuna prawnego, jeżeli przetwarzamy dane osoby poniżej 16 roku życia (w Polsce prawdopodobnie będzie dotyczyło osób poniżej 13-go roku życia), zaś w drugim musimy dbać o to, aby przekazując dane do państw z poza Unii Europejskiej, przestrzegać obowiązków wynikających z RODO (w tym m.in. przekazywać dane możemy do państw, co do których Komisja Europejska wydała decyzję o zapewnieniu wysokiego poziomu ochrony)

JAK SIĘ PRZYGOTOWAĆ DO RODO?

Przygotowania do RODO należy zacząć od analizy ryzyka posiadanych zbiorów danych. Jest to zagadnienie stosunkowo skomplikowane i rozbudowane, które przekracza znacząco zakres tego artykułu, dlatego odniosę się do tego elementu w skrócie. Metody badania poziomu ochrony danych osobowych można podzielić na jakościowe, ilościowe, opisowe oraz mieszane. W zależności od tego, którą metodę wybierzemy, musimy dobrać odpowiednią technikę analizy ryzyka. RODO nie narzuca nam stosowania określonej metody, ale skutecznym rozwiązaniem jest zastosowanie następującego toku czynności: rozpoznawanie -> analiza -> dostosowywanie -> ocena.

Na początek warto sprawdzić, w których miejscach przechowujemy dane osobowe (czy są to np. foldery z imionami i nazwiskami, w których gromadzimy informacje o konkretnej osobie, albo arkusze w Excelu lub bazy w Access, czy też może posiadamy CRM-a lub inną aplikację, w której gromadzimy dane osób fizycznych). Następnie po ustaleniu wszystkich baz danych koniecznym jest weryfikacja czy rzeczywiście potrzebujemy wszystkich zbiorów. RODO wymaga od nas, abyśmy przetwarzali tylko te dane, których potrzebujemy do realizacji określonego celu. Być może na jakimś etapie stworzyliśmy dodatkowe bazy z danymi, o których zapomnieliśmy, a które powinniśmy ciągle chronić. Jeżeli taka sytuacja ma miejsce to zbędne zbiory powinny ulec anonimizacji, pseudonimizacji lub usunięciu.

Następnym krokiem jest sprawdzenie czy rekordy, które mamy w naszych bazach nie zawierają danych, które są nam zbędne do realizacji celu (np. czy w bazie newsletteru sklepu internetowego nie pojawiły się dane dot. adresu zamieszkania, które sklep pozyskał w trakcie finalizowania zakupu). Często w wielu przedsiębiorstwach zbiera się dane „na zaś”, bo „może kiedyś się przydadzą”. Zazwyczaj tych danych i tak nie wykorzystujemy, a w razie wycieku naszego zbioru możemy ponieść przykre konsekwencje. Warto też zweryfikować czy osoby, których dane przetwarzamy mają tego świadomość. Jeżeli nie, musimy ich o tym poinformować, a oni mogą wyrazić zgodę lub nakazać nam usunięcie tych danych (chyba że konieczne jest dalsze przetwarzanie danych osobowych).

Okiem PraWWWnika #1: Kiedy publikując na Facebooku łamiemy prawo, a kiedy nie. Jakie mamy prawa?

Po dokonaniu tych czynności należy zweryfikować jaki poziom ryzyka wiąże się z przetwarzaniem danych. W tym celu musimy ustalić, czy zapewniamy danym osobowym poufność, integralność, dostępność i odporność systemów i usług przetwarzania.

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

(…)

  1. b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

Art. 32 ust. 1 pkt b) RODO

Następnie musimy ustalić zagrożenia. Dzielimy je na organizacyjne, ze strony natury, ze strony ludzi, na techniczne (budynki i ich wyposażenie) oraz ze strony sprzętu i systemów IT (oczywiście nie jest to katalog zamknięty).

Kolejnym krokiem jest analiza rozpoznanego ryzyka (najczęściej dokonywana za pomocą odpowiednich matryc), po której następuje dostosowywanie, czyli podejmowanie odpowiednich środków w celu redukcji wysokiego poziomu ryzyka.

Ostatnim krokiem jest ocenianie, czyli ustalenie czy podjęte przez nas kroki spełniły założone cele. Z uwagi na stopień skomplikowania przeprowadzenia takiej analizy ryzyka warto skorzystać z usług prawników specjalizujących się w ochronie danych osobowych oraz audytorów, którzy będą w stanie zweryfikować stopień ryzyka i doradzić zastosowanie środków bezpieczeństwa. Dodatkową możliwość w przypadku wystąpienia wysokiego ryzyka jest konsultacja z organem nadzorczym.

Oprócz przeprowadzenia analizy ryzyka musimy pamiętać o przestrzeganiu pozostałych zasad ochrony danych osobowych. Choć RODO nie podpowiada nam dokładnie co mamy robić, a w naszej gestii pozostaje ustalenie odpowiednich procedur i zabezpieczeń to warto zastanowić się nad wprowadzeniem polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym (po wcześniejszym ustaleniu jakie elementy w tych dokumentach powinny się znaleźć, i które będą stosowane przez pracowników przetwarzających dane), przygotowania odpowiedniej ewidencji spełniającej zasadę rozliczalności, a także przeprowadzanie cyklicznych audytów, dbania o bezpieczeństwo oraz przeprowadzenie szkoleń dla pracowników, które zwiększą ich świadomość co do przetwarzania danych osobowych.

Warto w tym miejscu wspomnieć również, że RODO wprowadza kodeksy postępowania i mechanizmy certyfikacji. Dzięki tym pierwszym, o ile zostanie wydany dla Twojej branży, będzie można zapoznać się z praktykami, które warto zastosować, i o których warto pamiętać, natomiast mechanizmy certyfikacji pozwolą potwierdzić czy dobrze chronisz dane osobowe (będą zajmować się tym upoważnione organizacje).

CZY MOGĘ COŚ NA TYM ZAROBIĆ?

Dość przewrotny akapit, ale z punktu IT, ochrona danych osobowych stwarza dodatkowe możliwości dla osób zajmujących się bezpieczeństwem sieciowym i/lub administrujących serwerami i usługami w przedsiębiorstwach. Posiadanie kompetentnej osoby, która wie jakie środki związane z bezpieczeństwem danych cyfrowych należy zastosować, i która będzie dbać o to na bieżąco jest istotną wartością. Duże przedsiębiorstwa będą zatrudniać tzw. Administratorów Systemów Informatycznych, bądź zlecać im cykliczne usługi analizy i konserwacji. Osoby, które mają szeroką wiedzę z tego zakresu, a dodatkowo zapoznają się z przepisami prawa mogą starać się o uzyskanie certyfikatu audytora wewnętrznego/wiodącego, co dodatkowo wzmocni ich pozycję na rynku.

PODSUMOWANIE

Analiza RODO i przedstawienie jej w skondensowanej formie jest zadaniem trudnym. W artykule starałem się poruszyć najważniejsze kwestie, które można uznać za podstawowe. Odpowiednie stosowanie przepisów wymaga znajomości prawa, ale i również szerokiej analizy przetwarzanych danych, jak i znajomości środków zabezpieczeń. Jeżeli temat ten jest dla Was interesujący, zapraszam do pisania komentarzy, a w przypadku zagadnień szczególnie atrakcyjnych, postaram się je poruszyć w kolejnym odcinku serii.

Polecana literatura:

  1. Kołodziej, Vademecum ABI. Część II – Przygotowanie do roli Inspektora Ochrony Danych, C.H. Beck, 2017.
  2. Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, pod redakcją dr adw. P. Litwiński, C.H. Beck, 2017.
  3. dr G. Sibiga, K. Syska, Ogólne rozporządzenie o ochronie danych. Podręczny zbiór przepisów o ochronie danych osobowych, zestawień, schematów oraz wzorów rejestru czynności przetwarzania, C.H. Beck, 2017.

Autorem artykułu jest Cezary Zapała.

Młodszy prawnik w Kancelarii Prawno-Patentowej Ryszard Skubisz, doktorant na Wydziale Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie, wykładowca na studiach podyplomowych z ochrony danych osobowych organizowanych przez Uniwersytet Marii Curie-Skłodowskiej w Lublinie pod patronatem GIODO, właściciel agencji interaktywnej Media Machine. Fan nowych technologii, powieści kryminalnych, herbat i Majonezu Kieleckiego.

Więcej materiałów od Cezarego znajdziecie w ramach naszego cyklu Okiem PraWWWnika.