Kiedy zbierać zgodę na przetwarzanie danych? Powierzenie czy udostępnienie? Jak ocenić, czy incydent jest naruszeniem i czy muszę go zgłosić do UODO? Na te oraz kilka innych pytań nurtujących w 2024 r. jeszcze niejedną duszę, postaram się odpowiedzieć w tym krótkim tekście.

Czytaj też: Przesyłka na ulicy, zgubiony pendrive - za wyciek danych odpowiada często pech lub bezmyślność

 

Zacznijmy od początku...

… czyli od pytania o to, czym dane osobowe są, a czym nie. Tym, którzy poczuli się obruszeni rozpoczynaniem tekstu od takiego, wydawać się może, banału (szczególnie po takim czasie od wejścia w życie RODO), spieszę z wyjaśnieniem. Zidentyfikowanie, czy dana informacja stanowi daną osobową, szczególnie w sytuacji, gdy np. dokonujemy zgłoszenia naruszenia do Urzędu Ochrony Danych Osobowych, może mieć kluczowe znaczenie do prawidłowej oceny zakresu tego naruszenia oraz skutków dla osób, których ono objęło.

Kończąc przydługą dygresję, w celu wyjaśnienia pojęcia, zacznijmy od definicji z art. 4 RODO. Zgodnie z nią „dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej” Takiej identyfikacji (bezpośredniej lub pośredniej) dokonujemy przy pomocy identyfikatorów, do których zaliczyć możemy m.in. imię i nazwisko, czy identyfikator internetowy, ale też całą gamę innych danych, które dają nam informacje na temat takiej osoby, w tym chociażby jej cechy fizyczne, czy tożsamość kulturową.

Gdy dana osoba jest już przez nas zidentyfikowana, to każda dodatkowa informacja na jej temat będzie stanowiła daną osobową. W przypadku sklepu internetowego będzie to np. numer klienta czy historia zakupów. Na tym jednak lista się nie kończy, a każdy przedsiębiorca musi odpowiedzieć sobie na pytanie – jakie dokładnie dane na temat osób zbieram w swojej bazie?

Zobacz w LEX: Publiczny dostęp do elektronicznych ksiąg wieczystych w kontekście ochrony danych osobowych  > >

 

Cena promocyjna: 36.5 zł

|

Cena regularna: 50 zł

|

Najniższa cena w ostatnich 30 dniach: 36.5 zł


Naruszenia, czyli zgłaszać czy nie zgłaszać?

Dreszczowcami dla niejednego administratora (ale też Inspektora Ochrony Danych) w 2024 r. są incydenty oraz naruszenia ochrony danych. Szczególnie, że rok ten zaowocował dużą liczbą ataków hakerskich oraz wycieków danych, z którymi przedsiębiorcy oraz wybrani przez nich IOD musieli - i często nadal muszą - się mierzyć. Problem obsługi naruszeń jest o tyle skomplikowany, że jest kilkuetapowy, a każdy z tych etapów wymaga rzetelnej oceny oraz podjęcia jasno określonych działań. Czy zdarzenie stanowi incydent, czy już naruszenie? Jeśli naruszenie, to czy jest wymóg zgłoszenia go do UODO? A może należy także poinformować podmioty danych? No i jak to wszystko ocenić i przeprocesować, w dodatku w terminie 72h (i od kiedy liczyć ten termin)?

Przejdźmy przez te zagadnienia po kolei, zachowując logiczną konsekwencję. Każda niebezpieczna sytuacja, zagrażająca bezpieczeństwu informacji, klasyfikowana jest jako „incydent bezpieczeństwa”. Administrator powinien przeanalizować każdy incydent i odpowiedzieć na pytanie – czy w związku z tym zdarzeniem doszło do niezgodności z zasadami przetwarzania danych (np. poprzez nieuprawnioną modyfikację)?

Jeżeli odpowiedź będzie twierdząca, wówczas mamy do czynienia z naruszeniem i należy zgłosić go do UODO w terminie 72h od jego stwierdzenia (nie zaś od jego wystąpienia). Obowiązek ten spoczywa na administratorze tylko gdy naruszenie może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych.

Przypadki, gdy o naruszeniu należy poinformować także podmioty danych, jasno określa art. 34 RODO. Obowiązek występuje, gdy może ono powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Konieczna więc będzie kompleksowa ocena zdarzenia z perspektywy skutków dla osób objętych naruszeniem.

Pamiętajmy także, że po drugiej stronie ekranu może nie znajdować się prawnik ze specjalizacją w ochronie danych osobowych. Dlatego też komunikat ze strony administratora powinien być sformułowany w prosty, jasny i transparentny sposób.

 

„Zgoda na kontakt” i inne perypetie

Mogłoby się wydawać, że czasy, gdy wybór zgody (art. 6 ust. 1 lit. a RODO) jako podstawy prawnej przetwarzania danych osobowych we wszystkich możliwych przypadkach bezpowrotnie minęły. Niestety, jest to raczej życzeniowe myślenie, niż odzwierciedlenie stanu wdrożenia RODO w wielu podmiotach.

Weryfikując więc dokumentację czy audytując strony internetowe, nadal natrafić można na perełki, takie jak zgoda na przetwarzanie danych w celu realizacji umowy o pracę czy udział w rekrutacji. A wszystko to sześć lat po wejściu w życie RODO. Kiedy więc zbierać zgodę i dlaczego nie robić tego „na zapas”?

Podstawowymi pytaniami, które należy postawić w przypadku dowolnego procesu związanego z przetwarzaniem danych są:

  • czy są przepisy, które obligują nas do realizowania tego procesu (np. kodeks pracy)?
  • czy działanie będzie oparte o jakąś formę umowy (np. rozumianej jako akceptację regulaminu, czy warunków usługi)?
  • czy przetwarzanie jest niezbędne do zrealizowania naszego prawnie uzasadnionego interesu (np. przekazywanie danych w ramach grupy przedsiębiorstw dla wewnętrznych celów administracyjnych)?

Jeżeli nadal nie uważamy, że któraś z podstaw prawnych dobrze uzasadniła nasz cel przetwarzania danych, warto zastanowić się, czy nie oprzeć go na zgodzie podmiotu.

Zobacz również w LEX: Niedopuszczalne lub nieuprawnione przetwarzanie danych osobowych – aspekty prawnokarne > >

 

Jak powierzać dane, żeby nie żałować

Jedną z problematycznych kwestii w 2024 roku wydaje się wciąż być określenie relacji pomiędzy podmiotami w przypadku przekazywania danych (powierzenie czy udostępnienie?) oraz zapewnienie bezpieczeństwa w trakcie takich operacji. Rozwieję zatem w prosty sposób to – na pierwszy rzut oka złożone – zagadnienie oraz przygotuję krótką listę „to do”, którą warto stosować, by spać spokojnie, nawet gdy powierzamy dane osobowe.

Co do zasady o powierzeniu mówimy, gdy niejako „zlecamy” innej firmie (tzw. Procesorowi) wykonanie określonych przez nas czynności na „naszych” danych osobowych (np. wysyłkę newslettera do naszych klientów). To my decydujemy o tym, przez jaki okres będzie trwało to przetwarzanie oraz na jakich warunkach. W przypadku naruszenia ochrony danych u procesora, my również ponosimy odpowiedzialność, gdyż to obowiązkiem administratora jest wybór rzetelnego podmiotu przetwarzającego, który gwarantuje wysoki standard zabezpieczeń.

Odmienną sytuacją jest tzw. udostępnienie danych, gdy zewnętrzna firma przyjmuje rolę odrębnego administratora danych. Realizuje ona wówczas także swoje cele, całkowicie niezależnie od nas.

Zakładając więc sytuację, że chcemy powierzyć dane osobowe warto jest zastosować się do planu pięciu kroków (nie jest to oficjalna nazwa, została wymyślona właśnie w tej chwili):

  1. Wprowadzenie procedury wyboru podmiotu przetwarzającego, która określi standardy bezpieczeństwa, którym potencjalny Procesor będzie musiał sprostać.
  2. Audyt wstępny. Przed podpisaniem umowy warto przeprowadzić jest dokonać analizy zabezpieczeń firmy, z którą chcemy nawiązać współpracę.
  3. Umowa powierzenia. W trakcie jej konstruowania warto zadbać o to, by m.in. w jasny sposób określone zostały zasady powierzenia, czas jego trwania, zabezpieczenia oraz jaki los spotka dane osobowe po zakończeniu obowiązywania umowy.
  4. Aktualizacja rejestru Procesorów oraz dokumentów wewnętrznych, w tym rejestru czynności przetwarzania i analizy ryzyka. Każde powierzenie będzie bowiem miało wpływ na poziom ryzyka dla poszczególnych procesów przetwarzania w organizacji.
  5. Audyt okresowy. Będzie to miało szczególne znaczenie przy wieloletniej współpracy, gdzie w podmiocie mogą wystąpić np. zmiany technologiczne oraz stosowane systemy i zabezpieczenia.

 

Czytaj również w LEX: Dostęp do informacji publicznej w praktyce funkcjonowania samorządu terytorialnego  > >

 

Na zakończenie

Powyższe przykłady to jedynie wierzchołek góry lodowej zagadnień, które w 2024 roku nadal mogą sprawiać problemy zarówno administratorom, jak i inspektorom ochrony danych. W szczególności, że w związku z dynamicznym rozwojem e-commerce, marketingu czy sztucznej inteligencji, raz po raz przybywa nowych wyzwań, którym nie zawsze da się sprostać w sposób praktykowany jeszcze rok czy dwa lata wcześniej. W tej sytuacji kluczowe więc jest być wciąż „na bieżąco” z nowymi kierunkami nadawanymi przez Polską i europejską legislację, nieustanne zwiększanie kompetencji i uczestniczenie w panelach dyskusyjnych, w trakcie których poruszana jest tematyka nowych rozwiązań prawnych problemów nowoczesnego cyfrowego biznesu.

Oskar Zacharski, prawnik, inspektor ochrony danych, audytor ISO 27001, autor publikacji branżowych