RODO bez tajemnic

9 lutego 2018

(informacja rozbudowana o RODO)

Rozporządzenie Parlamentu Europejskiego i Rady 2016/697 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: RODO) nakłada na podmioty administrujące danymi osobowymi szereg obowiązków, nieznanych dotychczas prawu polskiemu. 

Kto jest podmiotem administrującym danymi osobowymi w świetle RODO?

Na gruncie Rozporządzenia administratorem danych jest każda osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych w związku z działalnością zawodową lub handlową tego podmiotu. Tak szeroka definicja powoduje, że obowiązek stosowania postanowień RODO spoczywa na każdym przedsiębiorcy, który w zakresie prowadzonej działalności zbiera, przechowuje i wykorzystuje w jakiejkolwiek formie dane osobowe osób fizycznych (kandydatów do pracy, pracowników, kontrahentów).

Warto podkreślić, iż przepisy Rozporządzenia dokonują unifikacji standardów ochrony danych osobowych na terenie całej Unii Europejskiej, co powoduje, iż takie same obowiązki dotyczące ochrony danych ciążą na wszystkich unijnych przedsiębiorcach, niezależnie od miejsca siedziby lub lokalizacji prowadzonej działalności.

Zgoda na przetwarzanie danych osobowych

Dane osobowe będą mogły być przetwarzane jedynie w przypadku posiadania tzw. podstawy przetwarzania danych osobowych. Taką podstawą będzie m. in. zgoda na przetwarzanie danych osobowych. Zgodnie z RODO zgoda będzie musiała być wyrażona w drodze jednoznacznej, potwierdzającej czynności, a do tego w sposób dobrowolny i świadomy. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie będą oznaczać zgody. Zgoda będzie musiała dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie będzie służyć różnym celom, potrzebna będzie zgoda na wszystkie te cele. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.

Możliwość wycofania zgody

Administrator danych osobowych będzie miał obowiązek zapewnić danej osobie możliwość wycofania zgody w dowolnym momencie. Wycofanie zgody musi być równie łatwe jak jej wyrażenie i co najważniejsze – informacja o możliwości wycofania zgody musi zostać udzielona zanim pojawi się możliwość wyrażenia zgody na przetwarzanie. Dla oceny łatwości odwołania zgody brana będzie pod uwagę forma komunikacji, za pośrednictwem której zgoda została udzielona. Przykładowo: jeżeli zgoda wyrażana jest na stronie internetowej poprzez tzw. checkboxy, to na stronie powinien pojawić się również dodatkowy checkbox umożliwiający wycofanie zgody; jeśli zgodę można wyrazić w formie ustnej w trakcie rozmowy telefonicznej (np. za pośrednictwem infolinii), jej odwołanie powinno być możliwe również w tej samej formie. RODO zakazuje stosowania praktyk polegających m. in. na wyrażaniu zgody poprzez jedno kliknięcie na stronie internetowej i uzależnianiu jej wycofania od złożenia pisemnego oświadczenia.

Dobrowolność zgody

Za legalnie pozyskaną, uznawana będzie wyłącznie zgoda wyrażona w sposób dobrowolny. Kryterium tego nie spełni zgoda, od udzielenia której uzależnione zostało wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nią objętych nie jest niezbędne do wykonania tej umowy. Zgoda nie będzie wyrażona dobrowolnie również wtedy, gdy osoba, której dane dotyczą, nie będzie miała rzeczywistego lub wolnego wyboru oraz nie będzie mogła odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

Zapytanie o zgodę

Zapytanie o zgodę będzie musiało wyraźnie odróżniać się od pozostałych kwestii i będzie musiało być napisane jasnym, prostym i zrozumiałym językiem. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy. Dodatkowo na każdy cel przetwarzania trzeba będzie pozyskać odrębną zgodę, a więc oddzielną na realizację zamówienia, oddzielną na cele marketingowe itd.

 Rozliczalność

Administrator danych musi mieć możliwość wykazania, że posiadane przez niego zgody spełniają wymogi określone w RODO, co może wiązać się z koniecznością wprowadzenia zmian IT w aktualnie stosowanych rozwiązaniach informatycznych.   

Zgoda na przetwarzanie danych dzieci do lat 16

Jeżeli odbiorcą usługi będzie dziecko poniżej 16 roku życia, zgodę na przetwarzanie danych osobowych będzie musiała wyrazić osoba sprawująca władzę rodzicielską. Starania mające na celu zweryfikowanie, czy właściwa osoba wyraziła stosowną zgodę będą obciążać administratora danych.

Minimalizacja danych

RODO nakazuje, aby przy każdym celu przetwarzania stosować zasadę adekwatności i minimalizacji przetwarzania. W praktyce oznacza to dopuszczalność przetwarzania danych, ale tylko takich bez których nie da się osiągnąć zamierzonego celu przetwarzania i nic ponad to (przykład: dane o płci zamawiającego są na ogół zbędne dla prawidłowej realizacji zamówienia). Jednocześnie RODO nakłada na administratora obowiązek przechowywania posiadanych danych osobowych przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. W praktyce oznacza to, że wraz z momentem osiągnięcia celu przetwarzania (np. zrealizowania umowy), dane powinny zostać usunięte, a dalsze ich przetwarzanie może okazać się nielegalne z uwagi na brak istnienia podstawy i celu przetwarzania. Właściwie i precyzyjne opisanie celów przetwarzania danych osobowych oraz właściwe sformułowanie treści pozyskiwanych zgód na przetwarzanie danych osobowych może stworzyć przedsiębiorcy podstawy dalszego przetwarzania danych, np. w celu dochodzenia roszczeń czy realizacji uprawnień gwarancyjnych itp.

 Obowiązki informacyjne wobec osób, których dane dotyczą.

RODO zobowiązuje do wskazania m. in. następujących informacji:

  • tożsamości administratora danych wraz z danymi kontaktowymi;
  • danych kontaktowych inspektora ochrony danych;
  • celów przetwarzania oraz podstawy prawnej przetwarzania,
  • informacji o odbiorcach danych lub o kategoriach odbiorców;
  • okresie przechowywania danych ewentualnie kryteriach ustalania tego okresu;
  • prawie dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawie wniesienia sprzeciwu oraz prawie do przenoszenia danych;
  • prawie do wycofania zgody w dowolnym momencie;
  • prawie wniesienia skargi do organu nadzorczego;
  • czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
  • źródle pochodzenia danych osobowych;
  • kategoriach danych, które są przetwarzane.

Obowiązki te powinny być wykonane przy pierwszym kontakcie z osobą, której dane dotyczą. W praktyce oznacza to stworzenie albo aktualizację zapisów formularzy informacyjnych, formularzy zamówień czy zleceń, w tym regulaminów stanowiących integralne części zawieranych z osobami fizycznymi umów.

 Prawo do bycia zapomnianym

Celem prawa do bycia zapomnianym jest „zapewnienie użytkownikom Internetu skutecznego prawa do bycia zapomnianym w Internecie: prawo do usunięcia swoich danych przez osoby fizyczne, jeśli wycofają swoją zgodę i nie ma innych zasadnych podstaw do zachowania tych danych”. W praktyce prawo to obejmuje dwa uprawnienia:

1)  możliwość żądania usunięcia danych osobowych przez administratora danych,

2) możliwość żądania, aby administrator danych poinformował innych administratorów, którym upublicznił dane osobowe tej osoby, aby usunęli oni wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

Zgłoszenie żądania usunięcia danych osobowych może nastąpić w sytuacji, w której:

1)  dane osobowe nie będą już niezbędne do celów, do których zostały zebrane lub w inny sposób przetwarzane;

2)  wycofana zostanie zgoda na przetwarzanie danych i nie będzie istnieć inna podstawa ich przetwarzania;

3)  wniesiony zostanie sprzeciw na przetwarzanie tych danych;

4)  dane osobowe były przetwarzane niezgodnie z prawem;

5) zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

Prawo do bycia zapomnianym nie będzie przysługiwać m. in. wówczas, gdy przetwarzanie danych niezbędne będzie do dochodzenia roszczeń.

Prawo do przenoszenia danych osobowych

RODO wskazuje, że osoby fizyczne winny uzyskać większą kontrolę nad swoimi danymi, w szczególności tymi przetwarzanymi w sposób zautomatyzowany. Tym samym osoba, której dane dotyczą, powinna mieć możliwość otrzymywania dotyczących jej danych, „w ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego i interoperacyjnym formacie oraz przesyłania ich innemu administratorowi”.

 W praktyce prawo to obejmuje dwa uprawnienia:

1)  prawo otrzymania przez osobę, której dane dotyczą, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, danych osobowych jej dotyczących, które dostarczyła administratorowi,

2)  prawo przesłania przez osobę, której dane dotyczą, danych osobowych jej dotyczących, które dostarczyła administratorowi, innemu administratorowi, bez przeszkód ze strony administratora danych.

Prawo do przenoszenia danych osobowych będzie zatem przysługiwać osobie, której dane przetwarzane są na podstawie jej zgody lub w celu wykonania umowy oraz przetwarzanie tych danych odbywa się w sposób zautomatyzowany.

Obowiązek prowadzeni oceny ryzyka

RODO znosi obowiązek rejestracji zbiorów danych osobowych, znany na gruncie aktualnie obowiązującej Ustawy o ochronie danych osobowych i zastępuje go procedurami oceny skutków dla ochrony danych i stanowiącymi ich uzupełnienie instytucjami uprzednich konsultacji. W praktyce oznacza to konieczność podejmowania przez administratorów danych osobowych następujących czynności:

1)  systematycznego opisywania planowanych operacji przetwarzania i celów przetwarzania;

2)  ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

3)  ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;

4)  planowanie środków w celu zaradzenia ryzyku, w tym środków i mechanizmów bezpieczeństwa mających zapewnić ochronę danych osobowych;

5) wykazywania przestrzegania RODO z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

 Zabezpieczanie danych osobowych

RODO nakłada na administratorów danych osobowych obowiązek zabezpieczania danych, przy czym wybór metod i narzędzi pozostawia samym administratorom, obciążając ich ewentualnymi nietrafionymi decyzjami podjętymi w tej sferze. RODO nakazuje, by środki zabezpieczenia danych były dobieranie z uwzględnieniem: stanu wiedzy technicznej, kosztów wdrażania, charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Jednocześnie RODO wskazuje na określone rodzaje środków zabezpieczania danych jak:

  1. pseudonimizacja, a więc odwracalny proces polegający na takim przekształceniu danych osobowych, że informacja poddana pseudonimizacji nie może być przypisana konkretnej osobie fizycznej bez dodatkowych informacji, które jednakże są przechowywane oddzielnie i szyfrowaniu;
  2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

W każdym przypadku jednak to administrator danych i podmiot przetwarzający będą wybierać, jakie środki zabezpieczenia danych zostaną zastosowane. Mechanizm ten w praktyce może powodować najwięcej trudności na gruncie RODO, zwłaszcza u podmiotów niewielkich, niedysponujących samodzielnie odpowiednią wiedzą i doświadczeniem z zakresu zabezpieczenia danych osobowych.  

Dokumentacja przetwarzania

RODO nakłada na administratorów danych obowiązek prowadzenia rejestru czynności przetwarzania, z którego będzie wynikać:

  • imię i nazwisko lub nazwa oraz dane kontaktowe administratora;
  • cel przetwarzania;
  • opis kategorii osób, których dane dotyczą oraz kategorii danych im nadanych;
  • kategorii odbiorców, którym dane zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • informację o transferach danych do państw trzecich lub organizacji międzynarodowych, ze wskazaniem tych państw lub organizacji (wraz z udokumentowaniem odpowiednich środków bezpieczeństwa);
  • planowany termin usunięcia poszczególnych kategorii danych;
  • ogólny opis stosowanych technicznych i organizacyjnych środków bezpieczeństwa zapewniających bezpieczeństwo danych osobowych.

Rejestru nie będą musieli prowadzić przedsiębiorcy zatrudniający mniej niż 250 osób, chyba że przetwarzanie przez nich danych osobowych może powodować ryzyko naruszenia praw i wolności osób, których dane dotyczą, przetwarzanie nie ma charakteru sporadycznego lub dotyczy danych wrażliwych.

 Inspektor Danych Osobowych

RODO dotychczasowego Administratora Bezpieczeństwa Informacji zastępuje instytucją Inspektora Danych Osobowych. Wyznaczenie Inspektora będzie obowiązkowe m.in. wtedy, gdy główna działalność administratora lub podmiotu przetwarzającego polegać będzie na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących.

Incydenty bezpieczeństwa

RODO wprowadza obowiązek zgłaszania organowi nadzorczemu incydentów bezpieczeństwa związanych z ochroną danych osobowych. Zgłoszeniu podlegać będą naruszenia bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Przykładem naruszenia bezpieczeństwa danych osobowych będzie ujawnienie danych osobowych osobie do tego nieupoważnionej.  Administrator danych osobowych zobowiązany będzie niezwłocznie, lecz nie później niż 72 godziny od wykrycia, poinformować o naruszeniu organ nadzorczy ze wskazaniem opisu naruszenia, kategorii i przybliżonej liczby osób, których dane dotyczą, kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie, możliwych konsekwencjach naruszenia i zastosowanych lub proponowanych środkach reakcji doraźnej i na przyszłość. 

Korzystanie z usług podwykonawców – umowa o powierzenie przetwarzania danych osobowych

Firmy korzystające z usług podmiotów zewnętrznych, którym przekazywane są dane osobowe klientów czy pracowników typu: biura rachunkowe, zewnętrzna obsługa kadrowo-płacowa, podmioty obsługujące stronę internetową i mechanizm przesyłania klientom materiałów informacyjnych, będą musiały zmodyfikować treść łączących ich umów o powierzenie przetwarzania danych osobowych w zakresie zapisów dotyczących przedmiotu i czasu trwania przetwarzania, charakteru i celu przetwarzania, rodzaju danych osobowych i kategorii osób, których dane dotyczą oraz obowiązków i praw administratora. Te podmioty, które przekazują posiadane dane podmiotom zewnętrznym i nie mają podpisanych stosownych umów będą musiały je zawrzeć.

Zgodnie z RODO umowa będzie musiała dodatkowo zawierać m. in. zobowiązanie drugiej strony do:

1)  przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora;

2)  zapewnienia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

3)  podejmowania wszelkich środków zabezpieczenia danych osobowych wymaganych przez RODO;

4)  przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego;

5)  pomagania administratorowi za pomocą odpowiednich środków technicznych i organizacyjnych w wywiązywaniu się z obowiązku realizacji praw osób, których dane są przetwarzane, a wiec np. prawa do przenoszenia danych czy prawa do bycia zapomnianym;

7)  usuwania lub zwracania danych osobowych oraz wszelkich ich istniejących kopi;

8) udostępniania administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków związanych z powierzeniem.

Co istotne, administrator danych osobowych będzie ponosił odpowiedzialność za wybór właściwego podmiotu przetwarzającego dane na swoje zlecenie. Zgodnie z RODO ma on prawny obowiązek korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Dokonując wyboru, administrator danych powinien uwzględniać w szczególności poziom zabezpieczenia danych osobowych przez niego oferowanych.

Podsumowanie

RODO to zmiana podejścia do ochrony danych osobowych. Z jednej strony RODO pozostawia przedsiębiorcy decyzyjność w zakresie wyboru stosowanych metod ochrony danych osobowych, z drugiej – nakłada na przedsiębiorcę pełną odpowiedzialność za decyzje nietrafione. Aktualnie sfera ochrony danych osobowych uchodzi w Polsce za dziedzinę prawa, w której organy uprawnione do sprawowania nadzoru nad przestrzeganiem tego prawa, faktycznie nie mają instrumentów umożliwiających im efektywne egzekwowanie swoich decyzji w tej sferze. RODO poprzez wprowadzenie kar finansowych za naruszanie przepisów o ochronie danych osobowych zmienia ten stan rzeczy, tj. daje organom nadzoru konkretne instrumenty egzekwowania nowych przepisów oraz stwarza realny do stosowania i egzekwowania system karania za ich nieprzestrzeganie.  Założeniem RODO jest nakładanie na podmioty nieprzestrzegające jego postanowień kar finansowych, a możliwość odstąpienia od nałożenia kary finansowej stanowi wyjątek, który może mieć miejsce przy zaistnieniu szczególnych okoliczności. W związku z tym, że wpływy z nakładanych kar finansowych mają stanowić dochód budżetu Państwa, domniemywać można, że organy nadzoru będą efektywnie korzystać z nowych możliwości jakie stworzy im RODO. Dlatego tak ważne jest, aby do wdrożenia postanowień RODO podejść w sposób systemowy, poczynając od analizy aktualnego stopnia ochrony danych osobowych w przedsiębiorstwie, a kończąc na decyzjach co do koniecznych w tym zakresie zmian technicznych, organizacyjnych i prawnych.

Osoby zainteresowane uzyskaniem dodatkowych informacji dotyczących wdrożenia RODO –  zachęcamy do kontaktu z Kancelarią.