Ochrona danych osobowych – nowe obowiązki, których nie można zlekceważyć

adw. dr Rafał Choroszyński, [email protected], www.choroszynski.pl

Od 25 maja tego roku zacznie obwiązywać Rozporządzenie Rady UE 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej zwane jako RODO, z ang. GDPR – General Data Protection Regulation) stanowiące akt prawa Unii Europejskiej obowiązujący bezpośrednio w Polce. Rozporządzenie to na nowo definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w odmienny sposób niż dotychczasowa ustawa o ochronie danych osobowych. Wejście w życie nowego prawa jest o tyle istotne, że wprowadza się w nim szereg obowiązków i związane z tym nowe rodzaje odpowiedzialności, a także wysokie sankcje finansowe.

Nieszablonowy system

RODO ma zastosowanie praktycznie do wszystkich przedsiębiorców, którzy na potrzeby działalności gromadzą i przetwarzają dane osobowe i jest wynikiem kilkuletnich dyskusji, a w rezultacie doprowadza do ujednolicenia prawa w tym zakresie we wszystkich 28 państwach Unii.

Problem z RODO sprowadza się do tego, że grozi ogromnymi karami za naruszenie procedur, a jednocześnie nie zawiera żadnych konkretnych wytycznych, jak zabezpieczać dane osobowe, co tłumaczono odmiennością branż i zmieniającymi się warunkami technologicznymi. W rezultacie każdy przedsiębiorca ma obowiązek zaprojektować własny system ochrony danych i dostosować go indywidualnie do charakteru swojego przedsiębiorstwa.

Zaprojektowanie całego systemu ochrony i ustanowienie procedur uwzględniających procesy i obieg informacji w firmie, uwzględniających wykorzystanie danych osobowych, wyklucza zastosowanie jednolitego szablonu. Polskie Ministerstwo Cyfryzacji obiecało przedsiębiorcom pomoc w postaci doradztwa urzędniczego w postaci tzw. dobrych praktyk, wskazujących rekomendowane sposoby zabezpieczania danych w określonym sektorze gospodarki, aczkolwiek nie będą to konkretne wytyczne, lecz raczej wskazówki, którymi można się kierować. Przedsiębiorca będzie więc zobowiązany samodzielnie przeanalizować, jakimi danymi osobowymi dysponuje, co konkretnie się z nimi dzieje i jakie ryzyko się z tym wiąże, a ostatecznie dobrać optymalne środki, które to ryzyko zminimalizują. Natomiast oceną tego, czy dane są należycie zabezpieczone, każdorazowo zajmie się pracownik urzędu ochrony danych osobowych i w przypadku stwierdzenia wadliwości zabezpieczeń może nałożyć wysokie kary.

Inspektor od danych

W związku z tym RODO nakłada obowiązek stworzenia w firmie nowej funkcji – osoby odpowiedzialnej za bezpieczeństwo danych osobowych oraz za raportowanie naruszeń do organu nadzoru w postaci Inspektora Ochrony Danych Osobowych. Zadania realizowane przez IODO są odmienne w porównaniu z tymi wykonywanymi obecnie przez Administratora Bezpieczeństwa Informacji (ABI). Należy podkreślić, że funkcję ABI może pełnić tylko osoba fizyczna powołana przez administratora danych, natomiast funkcję IODO może pełnić także jednostka organizacyjna powołana przez administratora.

Po wejściu w życie nowego prawa sam administrator będzie oceniał, jak wysokie ryzyko wiąże się z przetwarzaniem danych i co powinien w związku z tym zrobić: czy ograniczyć zbierane dane, czy też wdrożyć określone procedury zabezpieczeń w firmie. RODO w miejsce dotychczasowego obowiązku zgłoszenia zbioru danych do GIODO i stworzenia standardowej dokumentacji wprowadza elastyczny „proces oceny ryzyka”, który ma być przeprowadzany wewnątrz firmy, a jego wyniki mają się przekładać na konkretne procedury w relacji z osobami, których dane są przetwarzane (pracownikami, kontrahentami). Ponieważ większość modeli biznesowych zakłada zarządzanie danymi o ludziach: pracownikach, klientach, odbiorcach i zasadza się na korzystaniu z Internetu i jego aplikacji, to RODO wymaga oceny ryzyka od każdego, kto ma styczność z danymi osobowymi i ten proces oceny ryzyka musi mieć stały charakter.

W myśl autonomii informacyjnej

Niektóre nowe obowiązki wynikające z RODO mogą zaskakiwać. Obecnie bowiem każdy obywatel będzie mógł wystąpić do administratora – czyli przedsiębiorcy, który zarządza jego danymi – z żądaniem przekazania danych osobowych w formie pliku pdf, a przedsiębiorca będzie zobowiązany na wezwanie pokazać, które konkretnie dane wykorzystuje w swojej działalności. Jest to element zasady autonomii informacyjnej, w myśl której każdy ma prawo decydować o własnych danych osobowych, i pod tym kątem przedsiębiorca przetwarzający dane ma zapewnić bezpieczeństwo oraz wygodę.

Jednym z najistotniejszych nowych obowiązków jest to, aby w ciągu 72 godzin od wykrycia naruszenia mogącego skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone, zgłosić się do właściwego organu nadzoru (Urzędu Ochrony Danych Osobowych). Należy tam zgłaszać takie naruszenia, które z dużym prawdopodobieństwem powodują naruszenie praw i wolności osób, których dane dotyczą, i powiadomić konkretną osobę, której prawa i wolności zostały zagrożone naruszeniem.

Horrendalne kary

Najwięcej emocji budzą tu sankcje za nieprzestrzeganie postanowień RODO, bowiem przetwarzający dane będzie ponosił bezpośrednią odpowiedzialność, a powołanie Inspektora Ochrony Danych Osobowych, czy wynajęcie firmy zewnętrznej w tym obszarze, nie zwalnia z tej odpowiedzialności. Tworzenie umów o powierzeniu przetwarzania będzie podlegało wymogom bardziej restrykcyjnym niż ma to miejsce dotychczas, gdyż RODO szczegółowo wskazuje, jaka powinna być treść umowy o powierzeniu i kiedy można dokonać powierzenia dalszemu podwykonawcy. Każdy przedsiębiorca, który przetwarza dane osobowe, musi się zatem liczyć z nowymi zasadami i obowiązkami i powinien dobrze przygotować się do wdrożenia RODO, bowiem rozporządzenie przewiduje horrendalne kary, w wysokości 10 lub 20 milionów euro bądź 2−4% wartości rocznego światowego obrotu przedsiębiorstwa, a także 100 tysięcy złotych kary administracyjnej za naruszenia spowodowane przez administrację publiczną. Podaję maksymalne wymiary kary, ale, oczywiście, nie za każdym razem będą one tak wysokie. Kary mają być bowiem nakładane proporcjonalnie, w zależności od skali naruszenia przepisów.

W kolejnych wydaniach Fachowca Lubelskiego zostaną omówione konkretne wymogi stawiane małym i średnim przedsiębiorcom w procesie wdrażania RODO.

Kancelaria dr. Rafała Choroszyńskiego świadczy kompleksową obsługę w zakresie ustawy o RODO.