Rewolucja w ochronie danych osobowych od maja 2018 roku
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: RODO), którego przepisy będą miały zastosowanie od 25 maja 2018 roku, unifikuje na poziomie unijnym kwestię ochrony danych osobowych i stanowi niemałe wyzwanie dla podmiotów zajmujących się w ramach prowadzonej działalności gospodarczej przetwarzaniem takich danych. RODO nie tylko nakłada na przetwarzających dane osobowe nowe obowiązki, ale także przewiduje surowe kary za naruszenia, sięgające nawet 20 milionów EUR, a w przypadku przedsiębiorstwa do 4% światowego obrotu z poprzedniego roku. Aby móc od maja 2018 roku spać spokojnie, podmioty przetwarzające dane osobowe powinny jak najszybciej dostosować swoją działalność i procedury do nowych wymogów.
RODO jest aktem, który reguluje kwestię ochrony danych osobowych osób fizycznych na poziomie unijnym, dodatkowo jako rozporządzenie jest bezpośrednio stosowany w państwach członkowskich, bez potrzeby odrębnej implementacji przez akty prawa krajowego. Obowiązująca obecnie ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 roku utraci moc, a w jej miejsce wejdzie w życie nowa ustawa, której zakres regulacji będzie jednak ograniczony do kwestii nie skodyfikowanych w RODO lub rozmyślnie przekazanych przez RODO do doprecyzowania przez przepisy wewnętrzne państw członkowskich UE. Prace nad nową polską ustawą cały czas trwają wobec czego nie mamy jeszcze pełnego obrazu modyfikacji, jakie czekają nas w tej dziedzinie.
Poniżej wskazujemy zatem zmiany, o których już wiemy z lektury RODO:
Rozszerzenie grona podmiotów objętych regulacją
Zmianami wynikającymi z RODO powinny się zainteresować nie tylko te osoby i organizacje, które podlegają obecnie reżimowi polskiej ustawy o ochronie danych osobowych. Rozporządzenie rozszerza bowiem spektrum podmiotów ponoszących odpowiedzialność za naruszenie przepisów, m.in. o organizacje przetwarzające dane osobowe pochodzące z innych firm w ramach świadczenia usług na ich rzecz – w szczególności firmy dostarczające przestrzeń w chmurze oraz usługi hostingowe. Ponadto do rozporządzenia wprowadzono pojęcie „podmiotu przetwarzającego”, co oznacza, że podmioty przetwarzające dane jako zleceniobiorcy – procesorzy, także będą odpowiadali za prawidłowość stosowania RODO oraz w określonych przypadkach będą musieli wyznaczać inspektora ochrony danych, o którym będzie mowa poniżej.
Nowe prawa osób, których dane są przetwarzane
RODO wprowadza szereg przepisów zapewniających osobom fizycznym, których dane są przetwarzane, nowe prawa i wynikające z nich możliwe żądania wobec administratorów oraz procesorów danych. W szczególności Rozporządzenie sankcjonuje prawo do żądania usunięcia danych, czyli słynne już „prawo do bycia zapomnianym”, skierowane do osób, które życzą sobie, aby ich dane osobowe zostały w określonych sytuacjach wymazane. Choć pierwotnie tematyka ta była poruszana w odniesieniu do relacji między szarym obywatelem a internetowymi gigantami, jak Google czy Facebook, tak naprawdę identyczne uprawnienie będzie przysługiwało w stosunku do każdego podmiotu przetwarzającego ich dane osobowe.
Niezmiernie istotne dla administratorów i procesorów danych osobowych, wymagające przygotowania merytorycznego i technicznego, jest zapewnienie przez RODO prawa do żądania przeniesienia danych. Prawo to zapewnia osobom, których dane dotyczą, możliwość otrzymania od administratora w ustrukturyzowanym, powszechnie używanym formacie, nadającym się do odczytu maszynowego tych danych osobowych, które temu administratorowi dostarczyły, a także późniejsze przesłanie tych danych innemu administratorowi. Uprawnienie to wpisuje się w podstawowe założenie RODO, jakim jest zapewnienie osobom fizycznym kontroli nad ich danymi osobowymi oraz bezpośredniego do nich dostępu i wglądu. Związane z tym jest także rozszerzenie prawa do sprzeciwu wobec przetwarzania danych, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych. Jest to niezwykle istotne ograniczenie dla podmiotów zajmujących się profilowaniem i analityce danych osobowych.
Administratorzy i procesorzy danych osobowych muszą się odpowiednio przygotować do stosowania RODO, dokonując audytu i dostosowania obecnie używanych formuł kontaktu z osobami których dane pozyskują, w zakresie otrzymywania zgody na przetwarzanie oraz zapewnienia technicznej realizacji uprawnień osób, których dane są procesowane. RODO prowadza w tym zakresie stwierdzenie data protection by design and default, które najłatwiej przetłumaczyć na język polski w ten sposób, że podmiot zajmujący się przetwarzaniem danych musi domyślnie i już na etapie projektowania swojej działalności brać pod uwagę ochronę danych osobowych, i pod założenie całkowitej ochrony opracować swoje systemy informatyczne i procedury, najlepiej przed rozpoczęciem zbierania danych.
Odpowiedzialność za naruszenia – kary pieniężne i odpowiedzialność odszkodowawcza
Najważniejszą nowością w relacjach między podmiotem przetwarzającym dane a osobą, której dane są przetwarzane, jest umożliwienie temu, kto poniósł szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO, uzyskania od administratora lub procesora odszkodowania za poniesioną szkodę. Jest to niezwykle istotna zmiana, wcześniej bowiem osoby, której dane były nieprawidłowo przetwarzane miała trudności z dochodzeniem swoich praw, musząc się posiłkować przy swoich roszczeniach naruszeniem dóbr osobistych. Należy zwrócić uwagę, że z powództwem odszkodowawczym będą mogły występować nie tylko pojedyncze osoby fizyczne, ale także organizacje non-profit, których celem statutowym jest ochrona danych osobowych.
Poza wspomnianymi powyżej roszczeniami odszkodowawczymi, właściwie najistotniejszą sankcją za naruszenie RODO są bardzo dotkliwe kary finansowe, które w zależności od rodzaju i stopnia naruszenia mogą wynieść do 10 milionów EUR lub 2% światowego obrotu z poprzedniego roku, lub nawet do odpowiednio 20 milionów EUR lub 4% światowego obrotu, w zależności od tego która kwota będzie wyższa. Kwestią sporną może być dokładne określenie jak rozumiana będzie „globalność” obrotu, niezależnie od tego należy uznać, że nowy katalog kar stanowi potężny oręż w walce z niezgodnym z prawem przetwarzaniem danych.
Zwiększona rola Inspektora Danych Osobowych wobec dotychczasowego ABI
Choć RODO likwiduje część uciążliwych dla administratorów obowiązków biurokratycznych, w szczególności konieczność zgłaszania baz danych do Generalnego Inspektora Danych Osobowych (który zresztą na podstawie Rozporządzenia i nowej polskiej ustawy zostanie zastąpiony nowym organem z rozszerzonymi kompetencjami), to jednocześnie zobowiązuje do prowadzenia rejestrów czynności przetwarzania wewnątrz organizacji, a w określonych sytuacjach (działania wysokiego ryzyka, jak profilowanie na dużą skalę lub przetwarzanie danych wrażliwych) także czasochłonne przeprowadzenie uprzedniej analizy skutków takich działań dla bezpieczeństwa danych.
Zwiększenie nacisku na dostosowanie wewnętrznych procedur i prowadzenie przez administratorów i procesorów rejestrów, spowoduje, że wzrośnie rola osób odpowiadających w danej organizacji za bezpieczeństwo danych osobowych. Dotychczasowy Administrator Bezpieczeństwa Informacji, na dzień dzisiejszy w dużej mierze powoływany dobrowolnie, zostanie zastąpiony Inspektorem Danych Osobowych, którego wyznaczenie będzie obowiązkowe w znacznej większości podmiotów, zarówno administratorów danych jak i ich zleceniobiorców. Jest to ważna zmiana w kontekście schematu organizacyjnego i podziału kompetencji w danej organizacji. Dane IOD będą musiały być podane osobom, których dane dotyczą, będą one mogły się z nim bezzwłocznie skontaktować, a sam IOD (może być pracownikiem lub świadczyć usługi na podstawie umowy cywilnoprawnej) będzie odpowiadał za kontrolę prawidłowości przestrzegania przepisów RODO oraz za monitowanie do GIODO (lub jego następcy) w razie wycieku danych osobowych. To ważne, że w razie naruszenia procedur, skutkującego uzyskaniem dostępu do danych przez osoby niepowołane, IOD musi niezwłocznie poinformować organ nadzorczy, a w określonych sytuacjach także osobę, których dane wyciekły. Dopełnienie tego obowiązku informacyjnego (swego rodzaju autodenuncjacja) i prawidłowe przeprowadzenie działań naprawczych będą kluczowymi aspektami branymi pod uwagę przy wymiarze kary za dane przewinienie.
Czas na dostosowanie do RODO powoli się kończy
Opisane powyżej wątki to jedynie część potężnej regulacji jakim jest nowe unijne Rozporządzenie. Dostosowanie działalności danej firmy lub jednostki do RODO, w kontekście zbliżającego się rozpoczęcia stosowania jego przepisów w maju 2018 roku, wymaga czasu i nakładów. Już teraz Kancelaria DCC pomaga swoim Klientom w przygotowaniach do nadchodzących zmian. Jest to bowiem proces czasochłonny i niezwykle ważny dla przyszłości każdej z firm.
Jak najszybsze przeprowadzenie audytu procedur, schematów, rozwiązań technicznych, a także umów z kontrahentami (dostawcami cloud computing, szczególnie gdy są zarejestrowane poza UE, zleceniobiorcami będącymi procesorami danych osobowych, dostawców serwerów a także partnerów biznesowych, na zlecenie których przetwarzamy dane) umożliwi dostosowanie swojej działalności do nowych wymogów, i dzięki temu pozwoli uniknąć niezgodności z prawem przetwarzania danych osobowych począwszy od 25 maja 2018 roku.
Alan Dudkiewicz, radca prawny