Nadchodzi RODO. Gotowy na zmiany? – część II


Administratorom danych pozostanie już niespełna pół roku, by dostosować przetwarzanie danych osobowych do przepisów RODO. Od 25 maja 2018 r. wszyscy administratorzy danych muszą spełniać wymogi określone w unijnym ogólnym rozporządzeniu o ochronie danych osobowych (RODO).Trzeba przy tym pamiętać, że rozporządzenie to znacząco zmieni dotychczasowe podejście do ochrony danych, zaś administratorzy danych w większym niż dotąd stopniu staną się podmiotami odpowiedzialnymi za to, by dane osobowe były przetwarzane zgodnie z prawem.

(…) Przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. (…) Tak sformułowane zdanie motywu 171 ogólnego rozporządzenia o ochronie danych jest bardzo wyraźnym wskazaniem, że to właśnie teraz jest czas na dokonywanie przeglądu i weryfikacji stosowanych dotychczas rozwiązań z zakresu ochrony danych osobowych.

Zanim jeszcze będziemy stosować rozporządzenie, warto dokonać swego rodzaju audytu przygotowawczego i udokumentowania, jakie dane osobowe są przetwarzane, skąd pochodzą i jakie są uprawnienia do ich wykorzystywania, czy i komu są udostępniane oraz jak są zabezpieczane. Rzetelnie przeprowadzona analiza wszystkich operacji przetwarzania danych w organizacji będzie pierwszym krokiem do prowadzenia rejestru czynności przetwarzania, który od 25 maja 2018 r. będzie obowiązkowy dla wielu podmiotów (z całą pewnością dla tych zatrudniających więcej niż 250 pracowników oraz tych, którzy przetwarzają tzw. dane wrażliwe).

Na każdym administratorze danych ciąży obowiązek zapewnienia, że przetwarzane przez niego dane są prawidłowe i aktualne. Dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, muszą zostać niezwłocznie usunięte lub sprostowane. Taki audyt przygotowawczy może pomóc w aktualizacji wszystkich przetwarzanych danych i uporządkować dokumentację oraz procedury przetwarzania danych. Może również pomóc administratorowi danych w realizacji zasady rozliczalności, która wymaga, by każdy, kto przetwarza dane osobowe, był w stanie wykazać, że robi to w zgodzie z zasadami przyjętymi w rozporządzeniu. Tę zgodność można wykazać na przykład poprzez wdrożenie efektywnych polityk i procedur przetwarzania danych.

Zawsze, gdy decydujesz się przetwarzać dane osobowe, dobrą praktyką powinno być podejście oparte na poszanowaniu prywatności osób, których te dane dotyczą. Zakłada ono, że ochrona prywatności powinna być brana pod uwagę i stosowana w praktyce przy prowadzeniu wszelkich projektów i działań, tak w sferze publicznej, jak i prywatnej. Tak rozumiana koncepcja privacy by design – jako część każdego podejmowanego projektu, niezależnie od jego charakterui celu– została sformułowana wiele lat temu przez Ann Cavoukian – b. rzeczniczkę ds. informacji i prywatności kanadyjskiej prowincji Ontario – jako wynik wieloletnich prac nad wprzęgnięciem zasad ochrony prywatności do nowych projektów infrastrukturalnych realizowanych w Kanadzie. Ogólne rozporządzenie o ochronie danych czyni tę koncepcję prawnie wiążącym obowiązkiem, wprowadzając do porządku prawnego uwzględnianie ochrony danych w fazie projektowania oraz – jako pewnego rodzaju jeden z szerszych postulatów privacy by design – zasadę domyślnej ochrony danych.

Uwzględnianie ochrony danych w fazie projektowania ma z zasady umożliwić włączanie ochrony prywatności w samo tworzenie projektu, działanie jego składników oraz w zarządzanie technologiami informacyjnymi i systemami przez cały cykl życia informacji. To proaktywne podejście wyrażone przez zasadę privacy by design zakłada, że ochrona prywatności powinna być wbudowana w każdy nowy projekt – co oznacza, że prywatność będzie chroniona nie poprzez dodatki do systemu lub nakładki przygotowane na już istniejące rozwiązania, lecz jest wbudowana w jego konstrukcję tak, że jest po prostu składową projektu. W przypadku systemów teleinformatycznych oznacza to wbudowanie ochrony prywatności zarówno w architekturę systemu, jak i w procesy biznesowe, które system obsługuje – np. poprzez jak najszybszą pseudonimizację danych czy też umożliwienie osobie, której dane dotyczą, monitorowania przetwarzania danych.

Pozbawiony barier Internet, postępująca globalizacja, szybki rozwój nowoczesnych technologii – to te zjawiska powodują, że dane osobowe bardzo często przetwarzane są w kontekście transgranicznym, przez co aktywność coraz większej liczby przedsiębiorców wykracza poza granice jednego państwa. Jednym z założeń unijnej reformy ochrony danych osobowych było wprowadzenie ułatwień dla tych podmiotów – przede wszystkim jednolitych przepisów oraz mechanizmu określanego mianem „punktu kompleksowej współpracy”. Istotą tego mechanizmu jest ustanowienie jednego, konkretnego organu ochrony danych, który w pierwszym rzędzie odpowiada za nadzór nad przetwarzaniem danych przez danego administratora danych. Organu, który będzie także koordynował wszystkie postępowania, w które są zaangażowane organy nadzorcze innych krajów (tzw. organy, których sprawa dotyczy), zwłaszcza wówczas, kiedy jeden z organów rozpatruje skargę na administratora z innego kraju członkowskiego.

Jednym z podstawowych celów ogólnego rozporządzenia o ochronie danych było dostosowanie zasad ochrony danych do wyzwań XXI wieku, takich jak internet rzeczy, czytniki RFID czy przetwarzanie danych w chmurze obliczeniowej. Prawo nigdy nie nadąży za rozwojem technologicznym, stąd też wiele przepisów rozporządzenia jest bardzo ogólnych i przede wszystkim technologicznie neutralnych (bez odniesień do konkretnych rozwiązań) – po to aby rozporządzenie zachowało aktualność także za 5 czy 10 lat. Efektem takiego myślenia jest przyjęta w rozporządzeniu koncepcja uwzględniania w każdym procesie przetwarzania danych ryzyka dla praw i wolności, jakie może nieść to przetwarzanie i każdorazowe dostosowywanie wykorzystywanych narzędzi zabezpieczających dane do tego ryzyka

Administratorzy danych coraz częściej decydują się na powierzanie przetwarzania danych osobowych innym podmiotom, które w ich imieniu wykonują część operacji na danych. Trudno w tym kontekście nie dostrzec np. coraz popularniejszych rozwiązań chmurowych. Administrator – chcąc wykorzystać możliwości obliczeniowe chmury – decyduje się na przetwarzanie danych przy użyciu tego właśnie instrumentu, powierzając tym samym proces przetwarzania danych usługodawcy świadczącemu tego rodzaju usługę.

W takich sytuacjach ważne jest, by podpisując umowę powierzenia, nie stracić kontroli nad danymi osobowymi, czyli nie dopuścić do sytuacji, w której powierzone dane będą wykorzystywane w innym celu niż ten określony przez samego administratora. Pamiętaj więc, aby powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać wyłącznie z usług podmiotów przetwarzających posiadających odpowiednią wiedzę fachową, wiarygodność i zasoby. W szczególności jeżeli chodzi o gwarancje wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom ogólnego rozporządzenia o ochronie danych osobowych, w tym wymogom bezpieczeństwa przetwarzania. Mogą to być na przykład podmioty, które posiadać będą odpowiednie certyfikaty wydane na podstawie rozporządzenia.

Powierzenie danych powinno być regulowane umową lub innym instrumentem prawnym, określającym przedmiot i czas trwania przetwarzania, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie osób, których dane dotyczą. Ta umowa lub inny instrument prawny powinny również uwzględniać konkretne zadania i obowiązki podmiotu przetwarzającego w kontekście planowanego przetwarzania oraz ryzyko naruszenia praw lub wolności osoby, której dane dotyczą.

Niestosowanie się do nowych zasad przetwarzania danych osobowych może m.in. skutkować odpowiedzialnością finansową – administracyjnymi karami pieniężnymi nawet do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu albo odpowiedzialnością cywilną, gdyż osoby, których dane dotyczą, będą miały prawo dochodzić od administratora danych lub podmiotu przetwarzającego odszkodowania za szkodę majątkową lub niemajątkową spowodowaną naruszeniem przepisów rozporządzenia.

Źródło:
http://www.giodo.gov.pl/pl/1520281/10255