- Słucham wykładu o RODO. To jednak obłęd jest. My mamy prowadzić firmy, zarabiać, zatrudniać ludzi, inwestować czy zajmować się jakimiś biurokratycznymi kretynizmami? Europa postanowiła się jednak wykończyć w interesie US i Azji i systematycznie to czyni – napisał na Twitterze 22 maja Cezary Kazimierczak, prezes Związku Przedsiębiorców i Pracodawców.
- Nie wiem, jaki jest cel słuchania "wykładów" o RODO w momencie, gdy każdy podmiot przetwarzający dane powinien mieć już dokumentację i procesy organizacyjne do tego rozporządzenia dostosowane. Serio – skomentował Matusz Parys, publicysta i politolog.
Dla każdego przedsiębiorcy, który nie ma pewności, czy jest gotowy na RODO przygotowaliśmy listę zadań do wykonania lub sytuacji, na które trzeba być przygotowanym. Niedopełninie któregoś obowiązku może słono kosztować. Od 25 maja za naruszanie RODO prezes nowego Urzędu Ochrony Danych Osobowych może nałożyć karę w wysokości do 20 mln euro lub do 2 proc. wartości rocznego światowego obrotu przedsiębiorstwa. Co prawda Ministerstwo Cyfryzacji zapewnia, że RODO poza karami wprowadza ostrzeżenia, upomnienia, możliwość wydania decyzji bez kary, ale... Aby kara nie była groźna, firma musi wykazać, że przygotowała się do RODO. Ponadto groźniejszy od postępowania administracyjnego może być proces cywilny o odszkodowanie za naruszenie prywatności, np. związany z wyciekami danych.
- Zostanie zgubiona baza danych: telefon, pendrive z 10 tys. danych osobowych. Ktoś to przejrzy, ujawni i zgłosi. Teoretycznie nic się nie stało, ujawniono tylko czyjąś prywatność. Ile można za to dostać odszkodowania? 50 zł, ale gdy pomnożymy przez 10 tys. zł to jest już pół miliona. Jest się o co bić - obrazowo tłumaczy Maciej Gawroński, radca prawny, partner w kancelarii Gawroński & Partners.
Do tego doochodzą koszty zastępstwa procesowego, więc w praktyce można mówić o znacznie wyższych kwotach.
Czytaj również: Po 25 maja ruszy RODO trolling >>
1. Rejestr czynności przetwarzania - prawie każdy musi go mieć
Wbrew powszechnej opinii do jego prowadzenia zobowiązane są nie tylko firmy zatrudniająca powyżej 250 osób. Musi go mieć każdy przedsiębiorca, który systematycznie przetwarza dane, np. pracowników. Tak uważa niezależny europejski organ doradczy Grupa Robocza Art. 29. Co powinien zawierać rejestr wskazuje art. 30 RODO*. Z tym, że Generalny Inspektor Ochrony Danych Osobowych przygotował szablony, które ułatwiają stworzenie własnych rejestrów lub sprawdzenie, czy już stworzony jest prawidłowy. Można je pobrać tutaj.
LEX Ochrona Danych Osobowych >>
Przy tej okazji warto sprawdzić, czy wszystkie przetwarzane dane są adekwatne, stosowne oraz ograniczone do tego, co niezbędne. Dotychczas też musieliśmy to zrobić, a nawet przekazać pewne informacje GIODO rejestrując zbiór danych – a RODO likwiduje obowiązek rejestracyjny. Chodzi jednak o ustalenie czy administrator nie przetwarza za dużo danych. Maciej Kawecki, dyrektor departamentu zarządzania danymi w MC i główny autor projektu krajowej ustawy o ochronie danych osobowych przypomina, że nie można gromadzić danych na zapas. Np. serwisy z grami komputerowymi poza adresem mailowym, proszę o adres zamieszkania i numer telefonu. Jeżeli jednak konsument nie chce faktury, a transakcję obsługują firmy oferujące usługi płatnicze, te dane są zbędne. Inny przykłade to gromadzenie CV. Od 25 maja po wyłonieniu najlepszego kandydata, zgromadzone CV nie mogą być bez zgody kandydata wykorzystywane w przyszłości. RODO dba o to, aby osoba, której dane dotyczą mogła decydować o tym, kto, gdzie i jak długo nimi dysponuje.
Czytaj więcej: RODO już obowiązuje. O czym muszą pamiętać pracodawcy >>
2. Podstawy przechowywania danych - kiedy zgoda nie jest potrzebna
Generalnie dane można przetwarzać, gdy osoba, której dotyczą wyraziła na to zgodę - liczy się też wyrażona na podstawie dotychczas obowiązującej, starej, ustawy. Dane jednak można posiadać również, gdy przetwarzanie ich jest niezbędne:
- a) do wykonania umowy z osobą, której dane dotyczą lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby;
- c) do wypełnienia obowiązku prawnego ciążącego na administratorze;
- d) do celów wynikających z prawnie uzasadnionych interesów realizowanych przez
- administratora lub przez stronę trzecią;
- e) do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- f) do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
Oznacza to, że nie zawsze posiadanie zgody jest wymagane. Kiedy nie trzeba jej mieć? Na przykład, gdy przetwarzanie danych jest konieczne do realizacji umowy, np. sprzedaży w sklepie internetowym. Komunikat typu: zgadzam się na przetwarzanie danych osobowych w związku z zawarciem umowy sprzedaży, jest więc zbędny, a wręcz wprowadzający w błąd. Jeśli jednak sklep chce skorzystać z danych klienta w celach marketingowych, np. chce mu wysyłać newsletter, musi mieć co najmniej jego zgodę na komunikację elektroniczną.
Dla firmy ważniejsze jest, że klient może zgodę na przetwarzanie danych osobowych odwołać. Odwołanie powinno być równie łatwe, jak jej udzielenie. Jeżeli więc zgody są zbierane przy pomocy dedykowanej strony internetowej, odwołanie powinno być możliwe w ten sam sposób.
Trzeba też pamiętć, że obowiązujące do 25 maja przepisy nie regulowały wprost przetwarzania danych osobowych małoletnich. Natomiast zgodnie z nową ustawą serwisy internetowe będą musiały podczas rejestracji pytać o wiek użytkowników. W przypadku młodszych niż 16 lat zgodę na przetwarzanie będzie wyrażał rodzic. W interesie administratora serwisu będzie więc stworzenie systemu weryfikującego prawdziwość takich oświadczeń. Co to oznacza w praktyce?
– Teoretycznie nastolatek bez zgody rodziców nie będzie mógł zapisać się na kinowy newsletter, udostępniać informacji o swojej lokalizacji, czy być adresatem informacji o korkach i opóźnieniach. Osoby takie będą mogły korzystać z serwisów streamingowych (np. wideo lub muzyki), ale serwisy te nie będą mogły wyświetlać im polecanych obok filmów czy utworów bazując na ich preferencjach – tłumaczy dr Aleksandra Musielak z Konfederacji Lewiatan. Tyle, że jej zdaniem przyjęty przepis będzie martwy, bo dostawcy usług nie mają możliwości technicznych, aby zweryfikować, kto siedzi przed monitorem i kto taką zgodę udzielił.
Wiele firm martwi się o zgody na profilowanie, czyli korzystanie z cookies/ciasteczek. Maciej Gawroński uważa jednak, że w normalnej sytuacji dane pozyskiwane dzięki cookies nie pozwalają na identyfikację użytkowników stron. Stąd stosuje się do nich wyłączenie z art. 11 RODO. Dlatego lepiej zadbać na razie o spełnienie innych wymogów RODO, o ile nie korzysta się z usług Google. Google wymaga bowiem od swoich partnerów pozyskania zgód użytkowników, aby udostępniać swoje narzędzia analityczne.
3. Obowiązek informacyjny, czyli o dostosowaniu powiadomień
RODO nakazuje, aby przy zbieraniu danych przekazywać osobie, której one dotyczą, szereg informacji. Muszą one wiedzieć o:
- tożsamości administratora danych i o jego danych kontaktowych,
- jeżeli administrator danych powołał Inspektora Ochrony Danych (IOD) – o jego danych kontaktowych,
- celach i podstawie przetwarzania danych, a jeżeli jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów, to tych prawnie uzasadnionych interesach,
- odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego,
- okresie czasu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu (może on wynikać z innych ustaw, np. dokumentacja pracownicza)
- prawie do żądania od administratora dostępu do danych osobowych dotyczących danej osoby, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia,
- prawie do cofnięcia zgody w dowolnym momencie, jeżeli przetwarzanie odbywa się na jej podstawie
- prawie wniesienia skargi do organu nadzorczego – Urzędu ochrony Danych Osobowych.
- o tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
- jeżeli dochodzi do tzw. zautomatyzowanego podejmowania decyzji lub profilowania – należy poinformować o tym fakcie oraz podać istotne informacje o zasadach automatycznego podejmowania decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Czytaj więcej: Sprzeciw na profilowanie nie zawsze uzasadniony >>
Paweł Litwiński, adwokat, partner w kancelarii Barta Litiwiński zwraca uwagę, że zgodnie z art. 13 RODO nie trzeba ponownie wykonywać obowiązku informacyjnego wobec osób, których dane zebraliśmy rok, dwa czy 10 lat temu. Dotyczy on danych pozyskiwanych. Trzeba być jednak przygotowanym na przekazanie osobom, których dane posiadamy informacji na ich wniosek.
Warto pamiętać, że RODO przyznaje prawo do bycia zapomnianym. Osoba, której dane dotyczą, może więc żądać od administratora usunięcia jej danych, a także poinformowania o żądaniu innych, którym je upublicznił. Realizacji tego prawa można i należy jednak odmówić w dwóch przypadkach. Po pierwsze, gdy istnieje przepis prawa, który nakazuje przetwarzanie/przechowywanie danych osobowych przez określony czas - dotyczy to, np. dokumentacji medycznej, kadrowej, księgowej. Po drugie, dane są niezbędne do ustalenia, dochodzenia lub obrony roszczeń, np. przez internet kupiliśmy telefon komórkowy, i sprzedawca nie może od razu usunąć danych, bo przysługuje nam prawo do reklamacji.
4. Posiadanie dokumentacji, czyli biurokracja do opanowania
Ani RODO, ani UODO - w przeciwieństwie do już nieobowiązujących przepisów - nie nakładają obowiązku posiadania polityki bezpieczeństwa czy instrukcji zarzadzania system informatycznych. Z drugiej strony RODO często odwołuje się do „polityk ochrony danych” stosowanych przez administratora. Z tego względu lepiej mieć nadal oba dokumenty, ale zaktualizowane, czyli dostosowanie do nowych przepisów. Trzeba się więc w nich powoływać na ustawę z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 24 maja 2018 r., poz. 1000) lub Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Jednym z nowych dokumentów jest też wymieniony w punkcie pierwszym rejestr czynności przetwarzania danych, który jest niezbędny w dokumentacji. Należy też posiadać lub zaktualizować umowy powierzania przetwarzania danych. Kiedy do niego dochodzi?
Gdy firma zleca na zewnątrz: obsługę księgową, poczty elektronicznej, niszczenie dokumentów, archiwizację, itp. RODO zobowiązuje do wyboru takiego podmiotu przetwarzającego, który gwarantuje odpowiednią ochronę danych osobowych, i który zobowiąże się m.in. podejmowania środków zabezpieczenia danych wymaganych przez RODO oraz pomagania administratorowi wywiązać się z tych obowiązków, usunięcia danych lub do zwrotu danych administratorowi danych po zakończeniu przetwarzania, zgodnie z decyzją administratora.
Ponadto warto, aby firma opracowała rejestry naruszeń, odbiorców danych, zgód, żądań osób, których dotyczą czy naruszeń. Wszystkie te działania, na wypadek kontroli, lepiej mieć udokumentowane.
Trzeba też pamiętać, że RODO zobowiązuje do powiadomienia Urzędu Ochrony Danych Osobowych o naruszeniu przepisów w ciągu 72h od momentu, w którym administrator lub procesor dowie się onim. 72 godziny to bardzo mało czasu. Dlaczego?
- Nie chodzi tylko o przygotowanie dokumentacji incydentu, ale to także o podjęcia środków naprawczych. Dlatego każdy pracownik powinien wiedzieć jak zareagować na incydent, do kogo się zwrócić – uważa Piotr Topolski, administrator bezpieczeństwa danych Uniwersytetu Łódzkiego.
Ocena naruszenia opiera się o konsekwencje, jakie może wywołać dla danej osoby fizycznej. Dla przykładu jeśli zostanie zgłoszony wyciek faktur, to nie zawsze będzie oznaczał istotne zagrożenie. Jeśli będą to faktury za zakup określonych produktów medycznych przez osobę fizyczną, to sprawa jest już poważniejsza.
Zgodnie z art. 35 ust. 4 RODO, jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator musi dokonać oceny skutków planowanych operacji dla ochrony danych osobowych. O jakich prawach i wartościach mowa? Przykładowo do naruszenia prywatności, kradzieży tożsamości, straty finansowej, dyskryminacji, naruszenia dobrego imienia, zagrożenia autonomii woli jednostki. Co jednak w praktyce znaczy wysokie ryzyko? W tej kwestii z pomocą przyszedł Generalny Inspektor Ochrony Danych Osobowych (GIODO od 25 maja prezes UODO). Przygotował propozycję wykazu rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych (danych z ang. Data Protection Impact Assessment, DPIA).
Czytaj również: Kto nie uniknie oceny skutków dla ochrony danych >>
Czytaj również: E-sklepy, ubezpieczycieli, firmy marketingowe czeka gruntowna analiza systemów informatycznych >>
5. Inspektor Ochrony Danych – kto musi go mieć
Wyznaczenie Inspektora Ochrony Danych (IOD) jest obowiązkowe gdy:
- a) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
- b) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących.
Nie każdy podmiot, którego główną działalnością jest przetwarzanie danych, musi jednak powołać IOD – a tylko taki, którego działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę albo taki, którego działalność polega na przetwarzaniu szczególnych kategorii danych. Jak wskazuje Paweł Litwiński, przedsiębiorca zajmujący się obsługą IT szpitali będzie musiał wyznaczyć IOD – ale przedsiębiorca, który zajmuje się podobną obsługą firm nie przetwarzających na dużą skalę danych wrażliwych już nie.
Pytanie, czym jest monitrowanie. Grupa Robocza Art. 29 podaje następujące przykłady regularnego i systematycznego monitorowania osób:
- obsługa sieci telekomunikacyjnej;
- świadczenie usług telekomunikacyjnych;
- przekierowywanie e-mail;
- profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy);
- śledzenie lokalizacji, na przykład w aplikacjach telefonicznych;
- programy lojalnościowe;
- reklama behawioralna;
- monitorowanie danych o stanie zdrowia za pośrednictwem urządzeń przenośnych;
- monitoring wizyjny;
- urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa, etc.
Na rynku jednak brakuje osób, które mogą zostać IOD. I to, mimo że zgodnie z RODO zatrudniający nie może mówić IOD, co i w jaki sposób ma robić, a także ukarać go lub zwolnić za wykonywanie swoich zadań.
6. RODO ma plusy
Warto pamiętać, że zdaniem wielu ekspertów RODO to dla firm szansa na skorzystanie z nowoczesnych rozwiązań. - Konieczność sprawowania całkowitej kontroli nad miejscami przechowywania i przetwarzania danych, monitorowania ich czy usuwania na życzenie ze wszystkich zbiorów sprawia, że firmy podejmują prace nad optymalizacją obecnego lub wdrożeniem bardziej wydajnego systemu zarządzania informacjami – przekonuje Marcin Czarnecki z Konica Minolta Business Solutions Polska. - Konieczność sprawowania całkowitej kontroli nad miejscami przechowywania i przetwarzania danych czy usuwania na życzenie sprawia, że firmy podejmują prace nad optymalizacją obecnego lub wdrożeniem bardziej wydajnego systemu zarządzania. Rewizja danych przy wdrażaniu rozporządzenia pozwala je ujednolicić oraz usunąć te, które są już nieaktualne i źle wpływają na jakość przetwarzania informacji - podkreśla ekspert.
----------------------------------------------------------------------
* Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu.