Ochrona danych osobowych po nowemu

Małgorzata Brańska

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, wprowadza nowe, ujednolicone przepisy, dotyczące ochrony danych osobowych na obszarze całej Unii Europejskiej.

RODO zacznie w pełni obowiązywać 25 maja 2018 r., po upływie ponad dwóch lat karencji, którą wszelkie podmioty przetwarzające dane osobowe powinny wykorzystać na przygotowania.

Nowe prawa osób fizycznych

Rozporządzenie rozszerza dotychczasowe prawa osób fizycznych. Najważniejszy będzie moment udzielenia zgody na przetwarzanie danych osobowych. Już przy zbieraniu danych osoba fizyczna
musi być w jasny sposób poinformowana o zakresie i celach przetwarzania jej danych, o planowanym czasie ich przetwarzania i możliwościach dalszego ich podpowierzania. Zgoda nie może być domniemana, a administrator musi umieć wykazać, kiedy i jak tę zgodę zebrał. Należy wskazać też, kto u danego administratora pełni rolę Inspektora Ochrony Danych, do którego można zwracać się z pytaniami dotyczącymi ochrony danych osobowych. Biorąc pod uwagę, że każda firma przetwarza dane swoich pracowników, a zakres przetwarzanych danych jest zdefiniowany w Kodeksie Pracy, warto przygotować dokument, w którym każdy pracownik otrzyma wszystkie powyższe informacje i potwierdzi pisemnie zapoznanie się z nimi. Całkowitą nowością będzie wprowadzenie tzw. prawa do zapomnienia w przypadkach, gdy cele przetwarzania danych osobowych nie mają już zastosowania. Osoba fizyczna, której dane były przetwarzane, będzie miała prawo zwrócenia się do administratora o całkowite usunięcie wszelkich danych o niej. Kolejnym prawem będzie prawo do przenoszenia danych. Na prośbę zainteresowanego administrator danych będzie musiał udostępnić mu w prostej formie wszelkie informacje, jakie o nim przetwarza lub przetwarzał. Będzie to pomocne np. przy zmianie banku czy operatora telekomunikacyjnego.

Umowy powierzenia bardziej szczegółowe

Dla branży transportowo-spedycyjno-logistycznej (TSL) ważne będą nowe wymagania co do umów powierzenia danych. W przypadkach, gdy dane zebrane przez jedną firmę są udostępniane
innym firmom w celu np. realizacji zapisów kontraktowych, należy zawrzeć pomiędzy podmiotami tzw. umowę powierzenia. Obecne przepisy nie precyzują, jakie elementy taka umowa powinna zawierać. Przyjmuje się, że należy wskazać podmiot, który będzie przetwarzał powierzone dane oraz cel i zakres tego przetwarzania. Nie ma też wymogu pisemnej zgody administratora na dalsze powierzenie.
Przepisy nowego Rozporządzenia podchodzą do kwestii powierzenia bardziej szczegółowo. Art. 38 RODO wymaga, aby umowa powierzenia została zawarta w formie pisemnej lub w formie
elektronicznej z podpisem kwalifikowanym. W umowie muszą znaleźć się obowiązkowo takie elementy jak: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także obowiązki procesora. Obowiązki procesora to m.in.:

  • przetwarzanie danych osobowych wyłącznie na polecenie administratora,
  • zapewnienie, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy,
  • podejmowanie wymaganych środków zabezpieczających przetwarzane dane osobowe,
  • pomoc administratorowi w wywiązywaniu się z obowiązków wobec osób, których dane dotyczą,
  • usunięcie lub zwrot wszelkich danych osobowych oraz usunięcie ich istniejących kopii, jeśli administrator tego wymaga, po zakończeniu świadczenia usług związanych z przetwarzaniem.

Należy pamiętać, że administrator odpowiada za wybranie takiego procesora, który jest w stanie zapewnić ochronę powierzanym danym na poziomie ochrony zapewnianej przez administratora. Procesor jest odpowiedzialny za zgodne z prawem przetwarzanie danych w takim samym zakresie jak administrator. Nowe obowiązki administratora danych Planując przetwarzanie danych osobowych, każdy administrator danych, czyli firma zbierająca i przetwarzająca jakiekolwiek dane osobowe osób fizycznych, będzie musiał zastosować się do dwóch nowych zasad:

  • obowiązkowej minimalizacji danych (privacy by default), która nakłada na administratorów obowiązek zbierania tylko tych danych, które są niezbędne do świadczenia danej usługi oraz
  • prywatności w fazie projektowania (privacy by design), która nakłada obowiązek projektowania systemów przetwarzających dane osobowe z uwzględnieniem bezpieczeństwa tych danych.

Podczas ewentualnej kontroli, przeprowadzanej przez przedstawicieli organu nadzorczego, administrator będzie zobowiązany wykazać, że jeszcze przed rozpoczęciem przetwarzania zastosował się do powyższych zasad i wprowadził je do swoich systemów informatycznych. Należy także pamiętać, że RODO zabrania profilowania oraz podejmowania automatycznych decyzji (np. o przyznaniu kredytu) bez zgody danej osoby fizycznej. Dodatkowo ciasteczka, czyli cookies, wraz z adresem IP, zostały jasno określone jako dane osobowe. W związku z tym osoby fizyczne będą musiały wyrazić jasną zgodę na stosowanie ciasteczek w przeglądarkach internetowych. Obecnie stosowane na stronach www informacje o tym, że cookies są zbierane automatycznie, chyba że użytkownik zmieni ustawienia przeglądarki internetowej, nie będą mogły być stosowane. Możliwość zbierania tzw. ciasteczek będzie wymagała jasnej, prostej i niewymuszonej zgody użytkownika.
Dla wszystkich przedsiębiorców, oprócz firm telekomunikacyjnych, nowością będzie konieczność prowadzenia rejestru naruszeń danych osobowych. Każda firma z branży TSL i nie tylko jest
zobligowana ustanowić procedurę zgłaszania naruszeń przy przetwarzaniu danych osobowych. Wszelkie naruszenia danych osobowych, czyli np. nieuprawniony dostęp, wyciek, kradzież czy
ujawnienie danych osobowych trzeba będzie obowiązkowo zgłaszać do nowego Urzędu Ochrony Danych Osobowych (czyli następcy GIODO) w ciągu 72 godz. od momentu ich stwierdzenia.
Szczegóły tego procesu zostaną zapewne opisane w nowo przygotowywanej przez Ministerstwo Cyfryzacji ustawie.
Administratorze danych, to jeszcze nie koniec Twoich obowiązków! RODO wymaga prowadzenia oceny ryzyka w procesach przetwarzania danych osobowych (tzw. Privacy Impact Assessment – PIA), mających miejsce w danym przedsiębiorstwie. W przypadku stwierdzenia wysokiego ryzyka dla osób, których dane są przetwarzane, konieczna będzie konsultacja z Urzędem Ochrony
Danych Osobowych jeszcze przed rozpoczęciem przetwarzania tych danych.

Ponadto, każdy administrator musi prowadzić tzw. rejestr czynności przetwarzania danych, w którym opisze procesy i procedury obowiązujące w danym podmiocie odnośnie przetwarzania danych osobowych. Rejestr ten jest, w pewnym sensie, następcą Polityki Bezpieczeństwa Informacji oraz Instrukcji Zarządzania Systemem Informatycznym, które należy posiadać obecnie. Jednak wymagania co do zawartości tych dokumentów były do teraz dokładnie sprecyzowane. RODO pozostawia administratorom dowolność formy i zawartości rejestru, jednak musi on odzwierciedlać wszelkie działania firmy w zakresie procesów przetwarzania danych osobowych.

Inspektor Ochrony Danych – obowiązkowy doradca i kontroler w każdej firmie

Nowe rozporządzenie wprowadza konieczność powołania Inspektora Ochrony Danych (IOD) w trzech jasno określonych przypadkach:

  • w podmiotach publicznych (za wyjątkiem sądów) zatrudniających ponad 250 osób;
  • w jednostkach, których główna aktywność polega na regularnym i automatycznym przetwarzaniu danych osobowych poprzez monitorowanie na dużą skalę osób, których dane są przetwarzane;
  • w jednostkach, których główna działalność polega na przetwarzaniu wrażliwych danych osobowych oraz danych dotyczących przestępstw i skazań za przestępstwa.

Obowiązek ten dotyczy wszystkich firm z branży TSL, ponieważ każda z nich na co dzień przetwarza różnorodne dane osobowe w dużej ilości. Być może ta kwestia będzie dokładniej sprecyzowana w polskiej ustawie o ochronie danych osobowych, której projekt został opublikowany w marcu 2017 r., a druga wersja pojawi się już w lipcu. Przykładem doregulowania tematu powoływania IOD może być nowa niemiecka ustawa o ochronie danych osobowych, przyjęta przez tamtejszy parlament już w maju br., która określa m.in., że IOD jest obowiązkowy w firmach, w których co najmniej 10 osób jest zaangażowanych w przetwarzanie danych osobowych.

Wysokie kary

Najbardziej kontrowersyjną zmianą wprowadzoną w RODO są wysokie kary administracyjne za naruszenia dotyczące przetwarzania danych osobowych. Mogą one sięgnąć 20 mln euro lub 4 proc. rocznego przychodu danej firmy, w zależności, która kwota jest wyższa. Organ nakładający karę nie będzie sprawdzał stopnia naruszenia, ale jedynie stwierdzał jego zaistnienie. W projekcie wspomnianej wcześniej niemieckiej ustawy o ochronie danych osobowych była próba zmniejszenia wysokości tych kar do 300 tys. euro, ale w ostatecznej wersji odstąpiono od tej zmiany. Może to sugerować, że nie będzie pobłażania w kwestii ochrony danych osobowych. Najprawdopodobniej w polskiej ustawie zachowana będzie także odpowiedzialność karna (obecnie jest to do 2 lat pozbawienia wolności). Na wniosek GIODO Ministerstwo Cyfryzacji zgodziło się nie odstępować od tych zapisów i utrzymać je w mocy w nowym prawodawstwie. RODO niesie ze sobą wiele większych i mniejszych zmian w stosunku do obowiązujących obecnie przepisów. Prace nad Rozporządzeniem trwały 4 lata. W tym czasie europejski prawodawca miał szansę wziąć pod uwagę różnorodne aspekty przetwarzania danych osobowych i istniejące zagrożenia. Zapisy RODO wymuszą na przedsiębiorcach bardzo ostrożne podejście do zbierania i przetwarzania danych osobowych. Już teraz warto rozpocząć przygotowania do wprowadzenia RODO: przejrzeć zakres zbieranych danych osobowych oraz podstawy prawne do ich przetwarzania, zweryfikować cel ich przetwarzania, sprawdzić zabezpieczenia użytkowanych systemów informatycznych, przejrzeć umowy powierzenia, zaplanować stworzenie rejestru naruszeń oraz procedur dotyczących udzielania informacji osobom fizycznym o ich danych osobowych. Czas na przygotowanie się do RODO mija 24 maja 2018 r. o północy. To będzie zupełnie nowa rzeczywistość.

Artykuł pochodzi z Nr 3 czerwiec-lipiec 2017 Transport Managera

 

Małgorzata Brańska

Data Privacy Advisor Crowe Horwath