Ochrona danych osobowych – Ogólne rozporządzenie o ochronie danych (RODO)

Ogólne Rozporządzenie o Ochronie Danych (RODO) to akt prawny prawa UE, obowiązujący w krajach UE od 24 maja 2016 r. Wejdzie on jednak w życie dopiero 25 maja 2018 r., tj. po 2-letnim okresie vacatio legis. RODO jest czymś więcej niż tylko kosmetyczną zmianą obowiązujących dotychczas przepisów – wprowadza wiele nowych reguł. Zdaniem niektórych – oznacza wręcz rewolucję w zakresie ochrony danych osobowych. Nowe przepisy przewidują wiele nieznanych dotąd obowiązków, inaczej definiują role różnych podmiotów w procesie przetwarzania danych, stosują nową terminologię i rozwiązania prawne. Aktualnie trwają prace legislacyjne nad nową polską ustawą o ochronie danych osobowych, która ma uszczegółowić przepisy RODO na gruncie prawa polskiego. Poniżej koncentrujemy się na odmiennościach RODO względem aktualnie obowiązujących przepisów i prezentujemy zwłaszcza nowe rozwiązania prawne. Jakie zatem zmiany wprowadza RODO? Z jakimi obowiązkami wiąże się wdrożenie RODO w przedsiębiorstwie czy innej organizacji? Czy zgody na przetwarzanie danych osobowych zachowują ważność w świetle RODO? Tzn. czy w związku z RODO trzeba zmieniać formularze zgód na przetwarzanie danych osobowych?

WIĘKSZA SWOBODA ADMINISTRATORA DANYCH OSOBOWYCH

Ostatnia nowelizacja przepisów ustawy o ochronie danych osobowych umożliwiła w pewnym zakresie brak konieczności zgłaszania zbiorów danych osobowych. Śladem tej tendencji idzie RODO – znika obowiązek rejestracji zbiorów w stosownym organie ochrony danych osobowych – za to pojawia się dla niektórych podmiotów, obowiązek prowadzenia rejestru czynności przetwarzania. Podmioty będące Administratorami Danych Osobowych oraz podmioty którym dane są jedynie powierzane do przetwarzania („procesorzy”), będą zobowiązani do tworzenia i utrzymywania rejestrów, które zawierać mają, m. in: imię i nazwisko lub nazwę oraz dane kontaktowe administratora, cele przetwarzania, opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, informacje o międzynarodowym transferze danych, dokumentację odpowiednich zabezpieczeń, planowane terminy usunięcia poszczególnych kategorii danych, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Wyrazem większej swobody (decyzyjności) podmiotów przetwarzających danych osobowych ma być zwłaszcza tzw. „data privacy impact assessment” (DPIA) czyli zasada, zgodnie z którą to podmiot przetwarzający dane ma sam przeprowadzić swoistą ewaluację – ocenić jakie ryzyka w procesie przetwarzania danych osobowych będą u niego występować i jakie w związku z tym środki ochrony danych będą adekwatne (organizacyjne, techniczne, prawne).

Oczywiście realizując zasadę DPIA (korzystając ze swobody jaką mu ona daje) dane przedsiębiorstwo (organizacja, urząd) musi poruszać się w ramach obowiązujących przepisów, tzn. własną decyzyjność realizuje jedynie w ramach „luzów decyzyjnych” pozostawionych przez RODO. Ponosi tez oczywiście odpowiedzialność (o której mowa dalej) za przyjęcie błędnych (mylnych) założeń czy wdrożenie nieadekwatnych rozwiązań. Innymi słowa – nie ma „prawa do błędu”. W praktyce może się okazać, że mimo, że większość „kontrolerów i procesorów” danych osobowych uzna, że stosować będzie takie rozwiązania, które pod rządami dotychczasowych przepisów były od nich bezwzględnie wymagane (choćby były to wymagania – ich zdaniem – „na wyrost”), tylko z tego względu, że poruszanie się po znanych sobie dokumentach (politykach, procedurach, instrukcjach, formularzach), z zastosowaniem uprzednio stosowanych zabezpieczeń informatycznych (systemu loginów, haseł, uprawnień, autoryzacji, kart dostępowych, itp.) będzie bardziej komfortowe z uwagi na siłę przyzwyczajenia, ale i z powodów praktycznych – aby nie narazić się na ryzyko zakwestionowania własnych decyzji jako nieadekwatnych do zagrożeń (przyjęcia zbyt niskich poziomów i form zabezpieczeń danych osobowych).

ADMINISTRATOR (KONTROLER) – PROCESOR – INSPEKTOR DANYCH OSOBOWYCH. ZMIANY TERMINOLOGII

O ile utrzymana zostaje rola „administratora” danych osobowych, jako podmiotu decydującego o celach i sposobach przetwarzania danych osobowych, (z ang. contoller – nie w znaczeniu przeprowadzania kontroli, tylko posiadania kontroli w znaczeniu „własności”/”władztwa”), to pojawia się jeszcze rola „procesora” danych osobowych czyli podmiotu przetwarzającego dane osobowe, choć jedynie w granicach wyznaczonych przez przekazującego administratora. Oczywiście w praktyce może zdarzyć się tak, że precyzyjne ustalenie ról w odniesieniu do danego zbioru danych osobowych (jaki podmiot jest administratorem a jaki – procesorem?) może nie być oczywiste. Występują przypadki, przedsiębiorca otrzymuje dane od swojego kontrahenta w określonym celu (zostają one jemu powierzone – staje się ich procesorem), ale jednocześnie zaczyna on czynić z nich inny użytek (choć, aby było to legalne – powinien otrzymać na ten inny użytek wyraźne zgody osób, o których dane chodzi). Wówczas takie przedsiębiorstwo przestaje być jedynie procesorem danych, a staje się co do nich administratorem (co nie narusza praw tego „oryginalnego” administratora, gdyż w znaczeniu prawnym, mamy tu do czynienia z powstaniem nowej bazy danych – choćby co do swojej zawartości była ona zbieżna z bazą oryginalną). Rekomendowane jest oczywiście, aby w umowach między przedsiębiorcami wyraźnie zaznaczać role w odniesieniu do danych osobowych (które przedsiębiorstwo jest administratorem danego zbioru, a które procesorem i jakie obowiązki z tego dla nich wynikają), choć oczywiście same postawienia umowne mogą okazać się niewiele warte jeśli okaże się, że de facto role poszczególnych przedsiębiorstw w odniesieniu do określonej kategorii danych osobowych będą odmienne (niż to zapisane zostanie w umowie). Innymi słowy – o zakwalifikowaniu danej firmy jako administratora lub procesora (w odniesieniu do danego zbioru danych osobowych) decydują przede wszystkim faktyczne działania, a nie postanowienia umowy (choć one oczywiście nie są bez znaczenia i mogą stanowić „linie obrony” danego podmiotu w razie zarzucenia mu działań nielegalnych). Dla właściwego określenia czy w odniesieniu do danego zbioru danych określony podmiot jest administratorem czy procesorem, wskazane jest przeprowadzenie fachowego audytu.

Funkcja Administratora Bezpieczeństwa Informacji (ABI) zostaje w RODO zastąpiona przez „inspektora” ochrony danych (IOD). IOD będzie z jednej strony wspierał administratora i procesora, a z drugiej strony – na jego cedowane są określone kompetencje przysługujące zasadniczo organom publicznym. Jak do tej pory funkcję ABI mogła pełnić tylko osoba fizyczna powołana przez administratora danych. Rolę IOD będzie mogła pełnić także jednostka organizacyjna powołana przez administratora lub procesora. W praktyce należy spodziewać się wykształcenia wyspecjalizowanych firm, od których inne firmy dokonywać będą outsourcingu roli IOD. Niewątpliwie może to przekładać się na zwiększenie kosztów ODO w przedsiębiorstwie.

WZMOCNIENIE PRAW OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE

Wyraźnie zostaje podkreślone, że przed rozpoczęciem przetwarzania danych osobowych konieczne jest ustalenie czy w ogóle istnieją podstawy prawne do przetwarzania danych osobowych. Innymi słowy – należy upewnić się czy istnieją niezbędne zgody na przetwarzanie danych osobowych. To z kolei uczula na zwrócenie uwagi czy w procesie zbierania zgód zostały zastosowane właściwe formularze udzielenia zgody na przetwarzanie danych osobowych (czy były one dostosowane do nowych przepisów? czy zakres zgody nie jest zbyt wąski w stosunku do zamierzonych celów i sposobów przetwarzania?). Pojawia się też realne pytanie – czy zastosowane pod rządami dotychczasowych przepisów formularze nadal spełniają swoją funkcję? Tzn. czy uzyskane pod rządami dotychczasowych przepisów dane nadal mogą być przetwarzane czy jednak należy uzyskać nowe zgody? Czy w związku z RODO konieczne jest pobieranie nowych zgód na przetwarzanie danych osobowych? Nie można wykluczyć, że treść stosowanego formularza może stać na przeszkodzie dalszemu wykorzystywaniu udzielonych danych. Udzielenie konkretnej odpowiedzi na taką wątpliwość będzie musiało być poprzedzone analizą formularza udzielenia zgody.

Powszechnym problemem do tej pory jest to, że często bywa tak, że dana osoba wyraźnie życzy sobie aby jej dane osobowe zostały usunięte, czasami nawet otrzymuje potwierdzenie, że jej dane faktycznie zostały usunięte, po czym okazuje się, że jednak ADO nadal nimi dysponuje (przez co osoba zainteresowana np. nadal otrzymuje niechciane telefony). Nowe przepisy przewidują wprost, że rolą administratora danych osobowych będzie dostosowanie systemów informatycznych tak, aby na każde żądanie osoby, o której dane chodzi, dało się faktycznie całkowicie usunąć jej dane osobowe, czy przenieść je do innego przedsiębiorstwa (np. operatora telekomunikacyjnego). W razie wystosowania zapytania przez daną osobę, administrator będzie zmuszony udzielić odpowiedzi na zadane pytanie w czasie miesiąca.

OBOWIĄZEK ZGŁASZANIA WYCIEKÓW DANYCH OSOBOWYCH

Co jakiś czas opinia publiczna bulwersowała się przypadkami spektakularnych wycieków danych. Nierzadko wówczas okazywało się, że firma czy instytucja, z której nastąpił wyciek danych osobowych, przez długi czas próbowała taki wyciek tuszować lub pomniejszać jego znaczenie. Dlatego właśnie RODO przewiduje swoisty obowiązek „autodenuncjacji”, polegający na tym, że w ciągu 3 dób (72 godzin) od wykrycia naruszenia mogącego skutkować zagrożeniem / naruszeniem praw i swobód osób, których dane zostały naruszone, należy zgłosić taki wyciek do właściwego organu nadzoru, a w przypadkach, gdy istnieje wysokie ryzyko, iż wyciek zagraża prawom lub wolnościom osób fizycznych, administrator ma obowiązek powiadomienia o wycieku także te osoby Na etapie prac legislacyjnych kontrowersyjną kwestią jest to czy obowiązek zgłoszenia naruszeń ma dotyczyć wszystkich administratorów czy tylko tych „większych” (mierzonych miarą ilości zatrudnianego personelu). Podnosi się przy tym, że na płaszczyźnie danych osobowych, „wielkość” danego administratora (i zakres obciążających go obowiązków) nie powinno mierzyć się ilością personelu, a wielkością posiadanych baz danych i zakresem zawartych w nich informacji. Kryterium „wielkości” podmiotu (mierzonej ilością pracowników, gdzie progiem ma być 250 pracowników) ma być stosowane w odniesieniu również do kilku innych obowiązków (tzn. podmioty spełniające to kryterium mają być obciążone większą ilością obowiązków).

Niewątpliwie przy analizowaniu konkretnych przypadków (czy zachodzi obowiązek zaraportowania wycieku danych osobowych czy nie?) problematyczne może być czy administrator prawidłowo ocenił czy rzeczywiście istnieje / istniało naruszenie / zagrożenie praw i swobód osób prywatnych (a raczej – czy zasadnie uznał, że takiego zagrożenia nie było?).

ODPOWIEDZIALNOŚĆ PRZETWARZAJĄCEGO DANE

Ani ustanowienie wewnętrznego Inspektora Ochrony Danych, ani outsourcing firmy zewnętrznej do pełnienia tej roli, ani powierzenie przetwarzania danych innej firmie (procesorowi), nie zwalnia administratora z odpowiedzialności za naruszenie przepisów (co nie zmienia faktu, że procesor również będzie ponosił odpowiedzialność i będzie to odpowiedzialność solidarna z administratorem). Ze względu na swoje wymagania, RODO wymusi zmiany w zakresie treści umów o powierzenie przetwarzania danych osobowych. RODO wprowadza bowiem bardziej szczegółowe zasady jeśli chodzi o treść umów – powierzenie przetwarzania będzie podlegało wymogom bardziej restrykcyjnym niż ma to miejsce dotychczas. RODO szczegółowo wskazuje jaka powinna być zawartość umowy o powierzeniu, na jakich zasadach można powierzyć dane dalszemu podwykonawcy (tzw. „podpowierzenie”), tj. za zgodą administratora danych osobowych. Z tego względu wskazane jest dokonanie przeglądu zawartych umów o powierzenie przetwarzanych danych pod kątem zgodność z przepisami RODO.

ODPOWIEDZIALNOŚĆ ZA NARUSZENIE PRZEPISÓW W ZAKRESIE OCHRONY DANYCH OSOBOWYCH. KARY PIENIĘŻNE / ODPOWIEDZIALNOŚĆ CYWILNA / SANKCJE KARNE

Waga nowych obowiązków dla przedsiębiorców w zakresie ochrony danych osobowych wprowadzanych przez RODO przejawia się też w tym, że RODO przewiduje surowe kary finansowe za naruszenia obowiązków, tj.:

  • do 10.000.000 euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstw
  • do 20.000.000 euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstw
  • do 100 tysięcy złotych kary administracyjnej, za naruszenia spowodowane przez administrację publiczną (zgodnie z projektem ustawy o ochronie danych osobowych z dnia 13.09.2017 roku)

Górne pułapy kar są bardzo wysokie, a ich wyrażenie w procencie obrotu i to liczonego w skali świata (a nie tylko kraju) przypomina sposób wyrażenia kar w przepisach antymonopolowych czy prawa konkurencji i niewątpliwie jest efektem myślenia o naruszeniach w skali globalnej. Nie oznacza to, że z góry można przyjąć, że w przypadku małych czy średnich przedsiębiorstw, lokalnych urzędów czy instytucji wysokość kar będzie jedynie symboliczna.

Niezależnie od powyższej odpowiedzialności (finansowej – administracyjnej), tak jak do tej pory, naruszenia niektórych przepisów w zakresie ODO mogą pociągać za sobą odpowiedzialność karną, a także odpowiedzialność cywilną (odszkodowawczą) wobec osób, które doznały szkody majątkowej lub których dobra osobiste zostały naruszone (możliwość żądania przez osoby zainteresowane zadośćuczynienia lub wpłaty na cel społeczny).

ORGAN OCHRONY DANYCH OSOBOWYCH

Zgodnie z projektem nowej ustawy o ochronie danych osobowych, inaczej nazywać się będzie stosowny organ ochrony danych osobowych – biuro (urząd) Generalnego Inspektora Ochrony Danych Osobowych zostanie zastąpione przez Urząd Ochrony Danych Osobowych.

STOWARZYSZENIA, FUNDACJE I KLUBY SPORTOWE JAKO PODMIOTY PODLEGAJĄCE RODO

Czy stowarzyszenia, fundacje i kluby sportowe podlegają RODO? Przepis art. 3 ust. 2 pkt 2 ustawy o ochronie danych osobowych (aktualnej) nie pozostawia wątpliwości, stanowiąc, że „ustawę stosuje się również do (…) osób prawnych (…) jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych”. Sam fakt przetwarzania danych osobowych w celach niezarobkowych nie jest więc wystarczającym kryterium to stwierdzenia, że przepisów w zakresie ochrony danych osobowych nie stosuje się. RODO nie wprowadza w tym zakresie zmian. Zakres danych przetwarzanych przez organizacje pozarządowe (organizacje III-ego sektora / NGO) niekiedy jest spory i może dotyczyć przykładowo takich zbiorów danych jak: członkowie (stowarzyszenia), zawodnicy, ich rodzice i opiekunowie (kluby sportowe, szkółki i akademie piłkarskie), adresaci działań pożytku publicznego (często dotowanych przez jednostki samorządu terytorialnego), kibice (lista mailingowa do newslettera), posiadacze karnetów meczowych, osoby wspierające (sponsorzy, partnerzy).

AUDYT Z ZAKRESU OCHRONY DANYCH OSOBOWYCH / SZKOLENIA

Z uwagi na zmiany wprowadzane przez RODO, wskazane jest przeprowadzenie audytu z zakresu ochrony danych osobowych („data protection compliance”), a także szkoleń personelu.

ROLA PRAWNIKA (OFERTA NASZEJ KANCELARII)

Nasza Kancelaria świadczy następujące działania z zakresu ochrony danych osobowych:

  1. audyt co do form przetwarzania danych osobowych i zgodność stosowanych dokumentów, procedur i zabezpieczeń z przepisami prawa;
  2. szkolenia dla osób zarządzających i personelu;
  3. pomoc w opracowaniu formularzy zgód, dokumentów wewnętrznych (procedur, polityk, instrukcji);
  4. tworzenie umów o powierzenie przetwarzania danych osobowych.