Skuteczna ochrona danych osobowych spędza sen z oku niejednemu właścicielowi firmy lub administratorowi. Ale nie musi – kontaktując się z nami i zlecając nam opracowanie polityki bezpieczeństwa wraz z wdrożeniem odpowiednich procedur, pozbędą się Państwo kłopotów.

Jak przygotować firmę do wymogów RODO?

We Wrocławiu zapraszamy do nas!
Tymczasem polecamy podstawowe informacje na temat ochronnych danych w świetle nowych unijnych przepisów:

Abstrahując od oczywistego „wszyscy”, w tym wpisie chcę nakreślić grupy najbardziej dotknięte nowymi przepisami.

Dział prawny
Każda firma od momentu wejścia w życie regulacji będzie musiała zadbać o prosty, zwięzły i zrozumiały przekaz adnotacji i klauzul. Nie będzie już można odsyłać użytkowników pomiędzy Dziennikiem Ustaw, regulaminami i instrukcjami. A w przypadku gdy z naszych usług mogą korzystać dzieci – przekaz powinien być zrozumiały również dla nich – wraz z informacją o konieczności akceptacji przez opiekuna. Nie można oczekiwać od osób chcących zapisać się na newsletter tego, że sprawdzą treść Dziennika Ustaw sprzed dwudziestu lat.

Sklepy internetowe
O ile sama sprzedaż produktów w internecie może odbywać się na zasadzie innych niż zgoda przesłanek legalizacyjnych (czyli w skrócie możemy bezpiecznie założyć, że ktoś kupujący na naszej stronie chce nam podać adres zamieszkania, żebyśmy mogli wysłać mu towar), o tyle już proponowanie klientowi następnych zakupów może się wiązać z profilowaniem – czyli automatycznym zbieraniem danych o użytkownikach i ich maszynowym przetwarzaniem w celu podejmowania jakichś decyzji. I choć w tym przypadku jedynie chcemy klientowi zaproponować pasujące do krawata skarpetki – klient musi zostać w jasny i wyraźny sposób poinformowany, że jego dane (a do takich należy m.in. historia zakupów, adres IP i ciasteczka w przeglądarce) są profilowane.

Marketing bezpośredni
RODO będzie utrudnieniem dla marketingowców w dwojaki sposób. Po pierwsze wspomniane wyżej profilowanie (również w przypadku wyselekcjonowania odpowiedniej grupy odbiorców ze względu na dane demograficzne, zainteresowania czy lokalizację). Nie jest też tajemnicą, że telemarketerzy kupują bazy potencjalnych klientów. Według nowych regulacji operowanie takimi danymi będzie podlegało innym zasadom. Na każdą operację przetwarzania danych (w tym ich przechowywanie czy używanie do celów marketingowych) będzie potrzebna uzyskana a priori zgoda. Brak takiej zgody na pewno wywrze wpływ na skuteczność kampanii marketingowych.

Pracownicy IT
Przechowywanie, przetwarzanie i usuwanie danych osobowych zostało obłożone wieloma obwarowaniami. Szacuje się, że trzy z czterech organizacji przechowujących dane osobowe nie poczyniła żadnych kroków w celu ich zabezpieczenia. Tylko niektóre organizacje przechowują dane osobowe na komputerach odciętych od internetu albo korzystają z szyfrowanych baz danych. Większość niewielkich sklepów internetowych korzysta z niezaktualizowanych środowisk. Podstawowe czynności zabezpieczające powinny być wykonane w każdym przypadku operowania na danych klienta.

W treści RODO znajdują się wyraźnie sprecyzowane zapisy dotyczące ochrony danych dzieci. W artykule 8. zapisano, że w przypadku „usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat”. Jeżeli natomiast dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem.
Co więcej, na tym legislator nie kończy. W rozporządzeniu zawarto przepis, że administrator danych „uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała”. Przepisy nie precyzują, co oznacza sformułowanie „rozsądne starania”. Nie wiadomo więc, na czym będzie polegało zweryfikowanie, czy faktycznie rodzic lub opiekun zgodził się na przetwarzanie danych dziecka.

W RODO pojawia się też m.in. informacja, że dane osób niepełnoletnich „wymagają szczególnej ochrony”. Jest to związane z tym, że dzieci mogą być mniej świadome ryzyka, konsekwencji, zabezpieczeń i przysługujących im praw.
Prawodawca w rozporządzeniu zawarł informację, że szczególna ochrona „powinna mieć zastosowanie przede wszystkim do wykorzystywania danych osobowych dzieci do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich”.
Co to oznacza w praktyce? M.in. to, że wszelkie przekazywane informacje i komunikaty będą musiały być sformułowane jak najprościej i jak najbardziej jasno. „Tak, by dziecko mogło je bez trudu zrozumieć”. Nie będzie już wobec tego możliwe np. przekazanie komunikatu językiem prawniczym czy zbyt złożonym. Będzie stanowiło to wyzwanie dla osób odpowiedzialnych za tworzenie treści, ale również zapewni większe bezpieczeństwo dzieci.

Ogólne Rozporządzenie o Ochronie Danych Osobowych reguluje wiele kwestii związanych z ochroną danych. Bardzo często można się więc spotkać z pytaniem „czy ta regulacja dotyczy także mnie?”. Najczęściej odpowiedź brzmi „tak”.

Rozporządzenie nie wylicza w sposób bezpośredni podlegających mu jednostek. Taki zapis znajduje się tylko w odniesieniu do podmiotów wyłączonych z zapisów dokumentu. Dlatego można założyć, że rozporządzenie dotyczy wszystkich przypadków przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany. Do wyjątków należą wyłącznie działalności nieobjęte zakresem prawa Unii (np. kwestie bezpieczeństwa narodowego), przez osoby fizyczne w zakresie czysto osobistym, organy ścigania, sądy, instytucje unijne czy też dyplomatyczne. Wyłączenia opisane są w artykule 2. RODO.

Bezpośrednim skutkiem tego zapisu jest włączenie większości organizacji przetwarzających (czyli również przechowujących) dane osobowe w sposób elektroniczny. Tak więc osiedlowe przedszkole, które na jednym komputerze w sekretariacie przechowuje dane rodziców i dzieci również powinno zabezpieczyć te dane w odpowiedni sposób. Sklep internetowy, niezależnie, czy jest to wielki portal aukcyjny czy niewielki sklep wysyłkowy musi tak samo (czyli odpowiednio) zadbać o dane klientów.
W szczególny sposób RODO dotyka instytucji przetwarzających dane szczególnie wrażliwe (np. szpitale czy przychodnie), które również powinny zastosować odpowiednie mechanizmy obronne, zabezpieczające dane o stanie zdrowia pacjentów.
W jednym z ostatnich zapisów RODO porusza też kwestię związków wyznaniowych. Te podlegają pod stare przepisy (ale dostosowane do wymagań RODO), ale mogą podlegać nadzorowi niezależnego – nawet odrębnego – organu nadzorczego.

4 proc. rocznego obrotu firmy albo 20 mln euro – takie kary będą musiały ponieść przedsiębiorstwa, które nie będą przestrzegały przepisów zawartych w RODO. Ma to wymusić na firmach przestrzeganie przepisów o ochronie danych osobowych. Takie sankcje będzie mógł nałożyć Generalny Inspektor Ochrony Danych Osobowych.
Nowe przepisy nakładają więcej obowiązków na administratorów i dają więcej praw dla właścicieli danych.
Przykładowo, kiedy firma będzie przetwarzała dane na podstawie zgody, która jest nieważna (czyli np. uzyskana w niewłaściwy sposób), nie będzie mógł dłużej tego robić.
Administratorzy danych będą musieli również umożliwić zainteresowanym dostęp do takich danych – w tym m.in. do ich sprostowania, uzupełnienia, ale też do usunięcia. Wówczas, gdy zgoda zostanie wycofana, administrator będzie musiał usunąć dane ze wszystkich systemów.
Administrator będzie musiał także poinformować osobę, której dane zostaną naruszone, że takie zdarzenie miało miejsce. Zgłoszenie będzie musiało również wpłynąć do GIODO – administrator będzie miał na to 72 godziny.
Dodatkowo, według nowych przepisów w przypadku poniesienia szkody w wyniku naruszenia przepisów rozporządzenia (np. wycieku danych) poszkodowany będzie miał prawo uzyskać odszkodowanie.
Z kolei osoba, której dane dotyczą, będzie mogła też zażądać ograniczenia ich przetwarzania. Nowe przepisy gwarantują też prawo do bycia zapomnianym.
Nadzór nad przestrzeganiem przepisów będzie sprawował Generalny Inspektor Danych Osobowych (GIODO). Będzie on monitorował i egzekwował przestrzeganie rozporządzenia, do niego również będzie się można zgłosić w przypadku, gdy nasze dane zostaną naruszone. GIODO będzie mógł wszcząć postępowanie i podjąć tzw. działania egzekucyjne.
Ten organ nadzorczy będzie miał prawo również do wglądu w pracę samych administratorów

W kontekście RODO często spotykam się z bardzo szczegółowymi pytaniami dotyczącymi ogólnych przypadków. Te wszystkie pytania wywołał tak naprawdę Art. 32, ust. 1. RODO, który jest poświęcony bezpieczeństwu przetwarzania danych. Stwierdza on, że:
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

  • pseudonimizację i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

Najwięcej pytań budzi wyrażenie „odpowiednie środki”. Co to znaczy? Nie jest to przecież określenie techniczne, ani tym bardziej nie definiuje konkretnych, gotowych wymagań, dostępnych dla każdego ad hoc. Wyjaśnienia należy szukać na początku artykułu. Chodzi o środki adekwatne do stanu wiedzy technicznej, kosztu wdrożenia, charakteru, zakresu, kontekstu, celów przetwarzania danych oraz ryzyku i wagi zagrożenia naruszenia praw osób fizycznych. Jest to oczywista „furtka” w stronę małych, kilkuosobowych przedsiębiorstw, które nie mogą pozwolić sobie na zaawansowane i często bardzo drogie rozwiązania. Wytyczne wymuszają zdroworozsądkowe podejście do tematu, eliminując niepotrzebną paranoję, jedynie ogólnie pokazując kierunek działania.
Dane osobowe przetwarzane w każdej organizacji powinny być chronione. Odpowiednie szyfrowanie jest najprostszą spełniającą wszystkie wymogi metodą ochrony danych. W przypadku ewentualnej kradzieży fizycznego nośnika, dostęp do danych jest dla potencjalnego złodzieja niemożliwy. Ponadto, również odpowiednio do kosztów, powinny być zastosowane przynajmniej podstawowe procedury typu Disaster Recovery czy kopii zapasowych. Na szczęście tego typu usługi najczęściej znajdują się w portfolio firm dostarczających rozwiązania IT.
Ostateczną odpowiedź na pytanie „co to są odpowiednie środki” można uzyskać dopiero po przeprowadzeniu dokładnej analizy przetwarzania danych osobowych. Każda firma będzie mieć inne dane, inne podejście, inne wymagania. Dla każdej firmy „odpowiednie” będzie znaczyło coś innego.