Zagadnienia dotyczące RODO
1. Zakres Ogólnego rozporządzenia o ochronie danych osobowych (RODO)
„RODO w sposób kompleksowy reguluje ochronę danych osobowych w Unii Europejskiej. Założeniem prac nad RODO było, aby ograniczyć zróżnicowanie przepisów między poszczególnymi państwami członkowskimi. Z tego powodu zdecydowano się na regulację w formie rozporządzenia, a nie dyrektywy” – wyjaśnia mecenas Sławomir Kowalski. „Rozporządzenie wiąże w całości, jest stosowane bezpośrednio i nie wymaga implementacji do porządków krajowych poszczególnych państw, dlatego jest instrumentem pozwalającym na silniejsze zbliżenie prawa”.
RODO (GDPR) wprowadza zasadniczą zmianę podejścia do ochrony danych osobowych: każdy podmiot je gromadzący i przetwarzający będzie miał obowiązek aktywnego zabiegania o ochronę prywatności na każdym etapie przetwarzania oraz na każdym etapie projektowania procesów przetwarzania – wskazują to m. in. dyrektywy Privacy by Design oraz Privacy by Default.
2. Obowiązki przedsiębiorstw wobec wejścia w życie RODO
RODO przewiduje szereg obowiązków, które podmioty przetwarzające i administratorzy powinni spełnić w celu zgodnego z prawem przetwarzania danych osobowych. Obowiązki te obejmują m.in. opracowanie i prowadzenie dokumentacji przetwarzania danych, w tym rejestru czynności przetwarzania i rejestru naruszeń, monitorowanie naruszeń ochrony danych, a w określonych sytuacjach notyfikowanie organu nadzorczego lub podmiotu danych o naruszeniu, np. wycieku danych.
3. Najważniejsze zmiany wprowadzane przez GDPR w stosunku do obecnego stanu prawnego
Największą zmianą są kary, jakie będą groziły podmiotom przetwarzającym dane w przypadku niedopełnienia obowiązków wynikających z RODO. „Oczywiście są inne zmiany, pojawiają się nowe prawa osób fizycznych, np. prawo do przenoszenia danych, nowe obowiązki w tym np. obowiązki notyfikacyjne w sytuacjach incydentów w obszarze ochrony danych, jednak największa zmiana jest taka, że dotychczas niezgodność z regulacjami ochrony danych uchodziła – przynajmniej w Polsce – płazem, a w maju 2018 może się to istotnie zmienić” – tłumaczy mecenas Kowalski. Wyzwaniem z pewnością będzie zmiana przyzwyczajeń – dotychczasowe, dość swobodne podejście do ochrony danych osobowych, będzie musiało się skończyć. Dotkliwość kar jest znaczna: w zależności od ciężaru gatunkowego naruszenia kara może wynieść do 10 lub do 20 mln euro, bądź do 2% lub 4% rocznego obrotu przedsiębiorstwa.
Inną istotną zmianą w stosunku do aktualnego stanu prawnego będzie obowiązek powołania Inspektora Danych Osobowych – odpowiednika obecnego administratora bezpieczeństwa informacji (ABI). Obecnie nie ma takiego obowiązku; po wejściu w życie RODO, „niektórzy przedsiębiorcy nie będą mieli wyjścia i będą musieli znaleźć odpowiednią osobę. Dotyczy to przede wszystkim tych przedsiębiorców, dla których przetwarzanie danych osobowych to podstawa działalności oraz tych, którzy przetwarzają dane osobowe w zaawansowany technologicznie sposób, np. monitorują zachowania osób fizycznych, analizują wzorce zachowań konkretnych osób i na tej podstawie podejmują decyzje, które mogą na tę osobę wpływać” – wyjaśnia Sławomir Kowalski.
4. Procedura oceny oddziaływania na ochronę danych osobowych
Czemu służyć ma procedura oceny oddziaływania na ochronę danych osobowych oraz konsultacje z organem ochrony danych osobowych? „Ocena skutków przetwarzania ma na celu sprawdzenie, czy przetwarzanie danych w konkretnym przypadku jest odpowiednio zabezpieczone. Na podstawie analizy ryzyka naruszenia praw i wolności osób fizycznych uzupełnionej o cel, charakter, zakres i kontekst przetwarzania powinniśmy być w stanie ocenić, jakie środki organizacyjne i techniczne pozwolą odpowiednio zabezpieczyć przetwarzanie” – tłumaczy mecenas Kowalski.
Z kolei celem konsultacji z organem ochrony danych (prawdopodobnie GIODO) będzie zapewnienie nadzoru nad procesami przetwarzania, których odpowiednie zabezpieczenie sprawia szczególne trudności. Organ nadzoru będzie w takim przypadku uprawniony do kierowania do danego podmiotu zaleceń dotyczących sposobów przetwarzania danych.
5. Wpływ RODO na procesy pozyskiwania danych od klientów
„GDPR wprowadza szerszy katalog obowiązków informacyjnych, jakie będziemy musieli wykonać zbierając dane” – mówi Sławomir Kowalski. „Dane będzie można zbierać dalej, pamiętając o tym, że musimy rzetelnie informować, a tam gdzie jest to konieczne – prosić o zgodę na przetwarzanie danych osobowych”. Warto pamiętać, że fakt odebrania zgody trzeba będzie odpowiednio udokumentować. Na potrzeby wykazania zgodności przetwarzania z prawem będziemy zobligowani do przechowywania informacji o tym kto wyraził zgodę, kiedy to zrobił, w jakim zakresie oraz jakie informacje zostały mu przekazane przy okazji odbierania zgody. „To szczególnie ważne, bo obecnie wiele systemów informatycznych nie zapewnia odpowiedniej funkcjonalności” – dodaje mecenas Kowalski.
6. Uzyskiwanie zgody na przetwarzanie danych
Co w praktyce będzie wedle nowych przepisów oznaczała zgoda na przetwarzanie danych? Jakie zmiany wprowadzi RODO w zakresie wymiany danych pomiędzy różnymi firmami?
Udostępnianie danych innemu podmiotowi stanowi czynność przetwarzania – jej przeprowadzenie wymaga odpowiedniej podstawy prawnej. „Jeśli nie mamy takiej podstawy, nie możemy udostępnić danych osobowych – w przeciwnym wypadku ryzykujemy odpowiedzialność” – przestrzega mec. Kowalski. Udostępnianiem danych osobowych jest m. in. popularny obecnie handel bazami danych osobowych. Stosunkowo łatwo jest obecnie nabyć bazę danych np. w celu wykorzystania jej w celach marketingowych. Obrót ten częściowo odbywa się niezgodnie z obecnie obowiązującymi regulacjami albo bez podstawy prawnej, np. zgody. W nowej rzeczywistości ochrony danych osobowych działalność polegająca na sprzedawaniu baz danych osobowych oraz ich kupowaniu może być bardzo niebezpieczna dla zaangażowanych w proceder podmiotów.
7. Obowiązek notyfikacyjny oraz sankcje za jego niedopełnienie
„Obowiązek notyfikacyjny polega konieczności zgłoszenia do organu nadzorczego incydentu naruszenia bezpieczeństwa w ciągu 72 godzin od jego zajścia” – mówi Sławomir Kowalski. „W określonych sytuacjach obowiązek notyfikacyjny będzie musiał być wykonany także w odniesieniu do osób, których dane dotyczą”.
Obowiązek powiadomienia osób, których dane osobowe zostały – bądź mogły zostać – poważnie naruszone, może być bardzo trudny do wypełnienia. Taka konieczność z pewnością będzie generować poważne problemy, zarówno techniczne, jak i organizacyjne i finansowe, w szczególności przy wyciekach danych na dużą skalę. Należy pamiętać, że niedopełnienie obowiązku notyfikacyjnego będzie mogło skutkować nałożeniem kary finansowej do 10 mln euro.
8. Architektura IT i rozwiązania technologiczne w kontekście RODO
IT będzie miało bardzo duży udział we właściwym dostosowaniu przedsiębiorstwa do zapisów Ogólnego rozporządzenia o ochronie danych osobowych. Rozporządzenie będzie generowało koszty związane z zapewnianiem wysokiego poziomu bezpieczeństwa IT m. in. z racji na konieczność zachowania kontroli nad miejscami, w których przechowywane są dane, stworzenia mechanizmów udostępniania informacji (notyfikacji) o naruszeniach bezpieczeństwa, czy też możliwości zagwarantowania określonego okresu przetrzymywania danych, ich modyfikacji i usuwania, w tym z danych nieustrukturyzowanych oraz z kopii zapasowych. Dostosowania będą wymagały także procesy związane z uzyskiwaniem zgody na przetwarzanie danych oraz klasyfikacja danych.
9. RODO a chmura obliczeniowa
Ogólne rozporządzenie o ochronie danych osobowych może okazać się dla części przedsiębiorstw dodatkowym motywatorem na rzecz wykorzystania chmury obliczeniowej od jej publicznych dostawców. „Dostawcy chmurowi będą ponosić odpowiedzialność za własne działanie” – mówi Sławomir Kowalski. „Można oczekiwać ruchu na rynku. Z uwagi na to, że podmioty chcące korzystać z usług chmurowych będą musiały wykazać, że wybrały rozwiązania bezpiecznie i zgodne z prawem, dostawcy najprawdopodobniej częściej niż obecnie będą pytani o zakres i rodzaj stosowanych zabezpieczeń. Z drugiej strony chmury uznanych dostawców oferują wysoki poziom bezpieczeństwa, który trudno jest osiągnąć przy użyciu własnej infrastruktury – to rozpędzi rynek po stronie popytu”.
10. Skutki RODO w Polsce i Europie
Na ile GDPR ujednolici europejskie prawodawstwo w zakresie ochrony danych osobowych? Jakiego rodzaju różnice pozostaną w tej kwestii między państwami członkowskimi UE?
„Różnic powinno być możliwie niewiele, tylko tyle, ile nie jesteśmy w stanie uniknąć. Pamiętać należy, że mamy do czynienia z rozporządzeniem UE. Oznacza to, że wszelkie zmiany lub uzupełnienia prawa na poziomie krajowym muszą mieć podstawę prawną” – podkreśla mec. Kowalski. Wskazuje, że nowa ustawa o ochronie danych osobowych nie powinna ingerować w treść praw i obowiązków wynikających z RODO. Jej zadaniem powinno być jedynie uregulowanie kwestii proceduralnych, takich jak postępowanie przed organem nadzoru czy ścieżka odwoławcza, oraz ustrojowych, jak np. organizacja organu nadzorczego.