RODO – Rozporządzenie czy Rewolucja w Ochronie Danych Osobowych

Do 25 maja 2018 r. przedsiębiorcy są obowiązani dostosować proces oraz wewnętrzne regulacje przetwarzania danych osobowych do wymogów stawianych przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: RODO).

Panujące na rynku nastroje są zróżnicowane. Dla części przedsiębiorstw RODO stanowi swoistą rewolucję, której zakres wydaje się być szczególnie niebezpieczny ze względu na znaczną wysokość kar finansowych grożących za niewłaściwe przetwarzanie danych osobowych. Z drugiej strony ochrona danych osobowych nie jest tematem nowym – aktualnie przedsiębiorstwa właściwie nie są w stanie funkcjonować bez przetwarzania takich danych w jakimkolwiek zakresie, natomiast obowiązujące nadal przepisy ustawy o ochronie danych osobowych weszły w życie ponad 20 lat temu. W związku z intensywnym rozwojem społeczeństwa informatycznego, niewątpliwie należało zatem spodziewać się nowych regulacji wzmacniających ochronę danych osobowych osób fizycznych.

RODO rzeczywiście wprowadza kilka nowych instytucji, często także znacznie rozszerza te już istniejące, niemniej wydaje się, że wprowadzone rozwiązania w większości należy ocenić pozytywnie. Ponadto rozpoczęcie stosowania RODO następuje po upływie dwóch lat od jego wejścia w życie, więc podmioty podlegające jego regulacjom zyskały odpowiedni czas na pełną adaptację do nowego reżimu prawnego. Mając na uwadze powyższe, wydaje się, że RODO należy traktować raczej w kategorii ewolucji, aniżeli rewolucji. Poniżej przedstawiam zatem główne zmiany, jakie niesie za sobą RODO.

1. Katalog ogólnych zasad przetwarzania danych

Z przepisów dotychczasowej ustawy krajowej można było wyciągnąć pewne zasady, którymi należało się kierować przetwarzając dane osobowe. RODO natomiast wprost wskazuje 6 zasad ogólnych przetwarzania danych osobowych, tj. zasadę zgodności z prawem, rzetelności i przejrzystości; zasadę ograniczenie celu; zasadę minimalizacji danych; zasadę prawidłowości; zasadę ograniczenia przechowywania oraz zasadę integralności i poufności. 

Administrator nie tylko będzie obowiązany przestrzegać w/w zasad, ale będzie również musiał być w stanie wykazać ich przestrzeganie (jest to dodatkowa zasada rozliczalności).

2. Obowiązek informacyjny

RODO istotnie rozszerza katalog informacji, jakie administrator będzie obowiązany przekazać podczas pozyskiwania danych osobowych, m.in. o informacje odnoszące się do podstawy prawnej przetwarzania, przewidywanego okresu przetwarzania danych, czy też danych kontaktowych powołanego inspektora ochrony danych.

Obowiązek informacyjny będzie wiązał administratora niezależnie od tego, czy podmiot danych dostarczy informacji stanowiących jego dane osobowe z własnej inicjatywy, czy na skutek działań podjętych przez administratora.

3. Szersze uprawnienia osoby, której dane dotyczą

RODO przewiduje szereg nowych lub rozszerzonych uprawnień osób, których dane dotyczą. Wśród nich należy przede wszystkim wyróżnić nieznane dotychczasowej ustawie  „prawo do bycia zapomnianym”, a więc prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych. Warto również zwrócić uwagę na rozszerzenie prawa dostępu każdej osoby do swoich danych oraz wiążący się z tym obowiązek administratora do udzielenia odpowiedzi, co do zasady, w terminie miesiąca, a także obowiązek przekazania żądającemu kopii jego danych podlegających przetwarzaniu.

4. Zapewnienie bezpieczeństwa danych

W przeciwieństwie do dotychczas panujących regulacji prawnych, RODO nie wskazuje bezpośrednio konkretnych środków bezpieczeństwa, czy też dokumentacji, które powinien posiadać podmiot przetwarzający dane. Posługuje się natomiast generalną klauzulą konieczności zapewnienia środków bezpieczeństwa, przy uwzględnieniu charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych.

Ponadto wprowadzając koncepcję privacy by design unijny prawodawca podkreślił konieczność zwrócenia uwagi na prawidłowość i bezpieczeństwo przetwarzania danych osobowych nie tylko w fazie realizacji tego procesu, ale jeszcze zanim się on w rzeczywistości rozpocznie. Niemniej istotna jest również koncepcja privacy by default zakładająca, że domyślnie przetwarzane powinny być wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Zatem rozszerzenie zakresu przetwarzanych danych powinno być zawsze uzależnione od indywidualnej decyzji osoby, której dane dotyczą.

Mimo niewskazania konkretnych rozwiązań technicznych, wymogi stawiane przez RODO de facto prowadzą do zaostrzenia obowiązków administratora związanych z zapewnieniem bezpieczeństwa danych. Niewątpliwe zatem zaleca się przyjęcie przez przedsiębiorców różnych polityk i procedur, które pozwolą na precyzyjne określenie środków podejmowanych w celu zabezpieczenia przetwarzania danych.

5. Powierzenie przetwarzania danych osobowych

RODO doprecyzowuje również wiele kwestii związanych z powierzaniem przez administratora przetwarzania danych osobowych innemu podmiotowi. W szczególności należy wskazać, że zostały wprowadzone konkretne wymogi co do minimalnej treści takich umów. Zachowany został wymóg formy pisemnej umowy o powierzenie przetwarzania, jednak zastrzeżono, że wymóg ten zostaje spełniony także w przypadku zachowania formy elektronicznej.

Mając na uwadze przytoczone powyżej wymagania co do treści umów o powierzenie przetwarzania, należy wskazać, że znaczna część takich umów zawartych bez uwzględnienia wymagań RODO będzie wymagała odpowiedniej zmiany.

Nie można pominąć faktu, że odpowiedzialność podmiotu przetwarzającego dane zostanie znacznie rozszerzona w stosunku do dotychczasowych regulacji. Warto również zwrócić uwagę, że RODO zawiera także przepisy odnoszące się do korzystania przez podmiot przetwarzający z usług innego, dalszego podmiotu przetwarzającego.

6. Rejestr przetwarzania

Od 25 maja 2018 r. zniesiony zostanie obowiązek zgłaszania zbiorów danych do rejestracji organowi nadzorczemu (GIODO).

Zniesienie w/w wymogu związane jest z faktem, iż RODO nakłada na administratorów danych oraz podmioty przetwarzające  obowiązek prowadzenia (w formie pisemnej, w tym elektronicznej) rejestru wszelkich czynności przetwarzania danych osobowych, za które odpowiadają. Informacje jakie powinny znaleźć się w takim rejestrze zostały wprost wskazane w rozporządzeniu.

RODO przewiduje jednak wyjątek od tego obowiązku, który może pozwolić mniejszym przedsiębiorcom na pominięcie prowadzenia rejestru przetwarzania.

7. Zgłaszanie naruszeń

Na administratorze danych będzie ciążył nowy obowiązek zgłaszania organowi nadzorczemu każdego, co do zasady, naruszenia ochrony danych osobowych. Administrator powinien dokonać takiego zgłoszenia bez zbędnej zwłoki, nie później jednak niż w terminie 72 godzin po stwierdzeniu naruszenia.

Ponadto, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator będzie obowiązany powiadomić o takim naruszeniu również osobę, której dane dotyczą.

Administrator będzie także obowiązany do prowadzenia rejestru naruszeń zawierającego identyfikację naruszenia i jego okoliczności, a także jego skutki oraz podjęte działania zaradcze. Celem prowadzenia takiej dokumentacji ma być umożliwienie organowi nadzorczemu weryfikowania przestrzegania obowiązku zgłaszania naruszeń przez administratora.

8. Data Protection Impact Assessment

RODO nakłada na administratora nowy obowiązek dokonywania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, w przypadku gdy dany rodzaj przetwarzania, ze względu na swój charakter, zakres, kontekst i cele, z dużym prawdopodobieństwem mógłby powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

DPIA będzie wymagana w szczególności w przypadku:

a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

b) przetwarzania na dużą skalę danych wrażliwych;

c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Administrator będzie również obowiązany dokonywać przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z przeprowadzoną oceną skutków dla ochrony danych.

9. Profilowanie

Nowe przepisy unijne znacznie precyzyjniej regulują kwestię profilowania, definiowanego jako dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Należy wskazać, że profilowanie jest obecnie co raz częściej wykorzystywane w przedsiębiorstwach działających w przeróżnych sektorach – od instytucji finansowych po małe przedsiębiorstwa prowadzące sprzedaż internetową. Mając na uwadze ciągły wzrost popularności big data, bardziej szczegółowe uregulowanie kwestii profilowania było nieuniknione.

Przede wszystkim RODO wskazuje, że profilowanie musi oczywiście odbywać się na podstawie jednej z przesłanek legalizujących przetwarzanie, a każda osoba już na etapie pozyskiwania jej danych powinna zostać poinformowana nie tylko o fakcie stosowania profilowania, ale także o jego potencjalnych konsekwencjach. Ponadto każda osoba będzie miała prawo wnieść sprzeciw przeciwko stosowaniu profilowania na potrzeby marketingu bezpośredniego.

Warto również mieć na uwadze, że stosowanie profilowania będzie, co do zasady, powodować konieczność przeprowadzenia uprzedniej oceny skutków takich operacji.

Trzeba również pamiętać, że każda osoba będzie miała prawo, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Niemniej nie jest to rozwiązanie zupełnie nowe, gdyż kwestia ta była już w pewnym zakresie regulowana przez art. 26a ustawy o ochronie danych osobowych.

10. IOD zamiast ABI

W miejsce dotychczasowego Administratora Bezpieczeństwa Informacji, RODO wprowadza Inspektora Ochrony Danych odpowiadającego za ogólnie rozumiane bezpieczeństwo przetwarzania danych oraz zawiadamianie organu nadzorczego o naruszeniach. Zadania IOD nie będą w pełni pokrywać się z zadaniami dotychczasowych ABI, niemniej cel wprowadzenia IOD jest analogiczny do ustanowienia ABI.

Warto zaznaczyć, że ustanowienie IOD będzie obligatoryjne dla:

a) organów lub podmiotów publicznych, z wyjątkiem sądów w zakresie       sprawowania przez nie wymiaru sprawiedliwości;

b) administratorów lub podmiotów przetwarzających, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

c) administratorów lub podmiotów przetwarzających, których główna działalność polega przetwarzaniu na dużą skalę danych wrażliwych.

W odniesieniu do innych podmiotów wyznaczenie IOD będzie rozwiązaniem fakultatywnym, acz w dużej ilości przypadków zapewne zalecanym.

11. Kodeksy postępowania i Certyfikacja

Kodeksy postępowania będą miały mające na celu precyzowanie obowiązków administratorów i podmiotów przetwarzających w zakresie wypełniania dyspozycji RODO. Kodeksy przygotowywane przez zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające będą podlegać zatwierdzeniu przez organ nadzorczy.

Administratorzy oraz podmioty przetwarzające będą mogły ubiegać się o nadanie certyfikatu/znaków jakości świadczących o zgodności z RODO dokonywanych przez te podmioty operacji przetwarzania. Przewidziana w RODO procedura certyfikacji zostanie doprecyzowana na szczeblu krajowym poprzez nową ustawę o ochronie danych  osobowych.

12. Sankcje administracyjne

To czym RODO szokuje najbardziej są administracyjne kary pieniężne za naruszenie obowiązków związanych z przetwarzaniem danych osobowych.

Wysokość przewidzianych kar pieniężnych będzie zależna przede wszystkim od rodzaju, powagi i okoliczności naruszenia obowiązków i może wynosić nawet do 20.000.000 EUR lub do 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.

Apl. adw. Jakub Rowicki
Rudnicki Korolczuk Adwokaci i Radcowie Prawni sp. p.

Powrót