Adwokat Anna Kolęda-Klinkosz o RODO


NADCIĄGA RODO, CZYLI OCHRONA DANYCH OSOBOWYCH 2.0

 

Obecnie to chyba jeden z najgorętszych prawniczych tematów. RODO, czyli rozporządzenie o ochronie danych osobowych, które zaczniemy stosować od 25 maja 2018 roku (a więc już całkiem niedługo) sprawia, że u wielu krew pulsuje nieco szybciej. Dlaczego? Głównie dlatego, że strach ma wielkie oczy, a strach przed sankcjami prawnymi z reguły jeszcze większe.

Zacznijmy od tego, że na ten moment obowiązuje nas ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. Określa ona zasady postępowania przy przetwarzaniu danych osobowych. Do dnia wejścia w życie unijnego rozporządzenia obowiązują nas zawarte w niej postanowienia. Pamiętaj więc, że jeśli przetwarzasz lub będziesz przetwarzał dane osobowe przed dniem 25 maja 2018 roku, to nadal musisz wypełnić obowiązki, które ta ustawa przewiduje.

Najważniejsze i najistotniejsze z punktu widzenia tego artykułu elementy obecnie obowiązującej ustawy to: kompetencje i uprawnienia organu ochrony danych osobowych (obecnie GIODO), zasady i procedury, których należy przestrzegać przetwarzając dane osobowe oraz obowiązek rejestracji zbioru danych osobowych i administratorów bezpieczeństwa informacji. Dlaczego? Ponieważ to właśnie w zakresie tych elementów zajdą największe zmiany.

PO CO NAM RODO?

Głównym celem wprowadzenia nowego rozporządzenia jest zharmonizowanie ochrony praw i wolności osób fizycznych w związku z czynnościami przetwarzania oraz zapewnienie swobodnego przepływu danych osobowych między państwami członkowskimi. Rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli bez związku z działalnością zawodową lub handlową. Zgodnie z rozporządzeniem przykładem takiej działalności jest np. korespondencja i przechowywanie adresów służących podtrzymywaniu więzi społecznych. Należy jednak pamiętać, że podmioty udostępniające środki do przetwarzania takich danych już rozporządzeniu podlegają. Pamiętaj również, że działalnością osobistą i domową nie jest np. prowadzenie bloga w ramach którego zbierasz i przetwarzasz dane osobowe.

JAK BĘDZIE?

Będzie mniej formalnie. Co wcale nie oznacza mniejszej ilości obowiązków i dokumentów związanych z ochroną danych osobowych. RODO kieruje się zasadami zgodności z prawem, rzetelności i przejrzystości. Regulacje dążą do tego, by przestrzeganie ochrony danych osobowych stało się dla każdego z nas naturalne i oczywiste. Trudność polega na tym, że nie dostajemy gotowego przepisu, ani jedynej słusznej instrukcji postępowania. Mam wrażenie, że właśnie to jest głównym elementem wzbudzającym lęk i panikę. RODO bowiem zobowiązuje każdego, kto przetwarza dane osobowe, do dbałości o ich ochronę, do odpowiedniego poziomu informacji, do trzymania ręki na pulsie… ale nie wskazuje konkretnie jak. Ochrona ma być realna i skuteczna a informacja jasna dla odbiorcy.

ZBIORY PRAKTYK I CERTYFIKATY

Z czasem na tych nieznanych terytoriach pojawią się oczywiście przewodnicy w postaci firm i organizacji, które będą wytyczać standardy ochrony danych osobowych. Pojawią się „mapy” w postaci zbiorów praktyk i systemów certyfikacji, które już teraz rozporządzenie przewiduje. Jednakże na te trzeba będzie chwilę poczekać. Co robić zanim otrzymamy prawne kompasy? Odpowiedź najprostsza – stosować rozporządzenie. Prowadzić realne działania związane z ochroną danych osobowych tak, by były jak najbardziej zgodne z duchem regulacji. Przyjrzyj się swoim dotychczasowym mechanizmom ochrony danych. Czy są wystarczające? Czy można je ulepszyć? Przede wszystkim – czy gwarantują rzeczywistą ochronę?

Jeśli twoje mechanizmy ochrony danych i dokumentacja z nimi związana spełniają obecnie obowiązujące standardy oraz rzeczywiście zapewniają wysoki poziom ochrony i informacji, to wdrożenie rozporządzenia nie powinno sprawić Ci większych problemów.

Pamiętaj, że dotychczasowo stosowane dokumenty mogą być bardzo pomocne (pod warunkiem oczywiście, że nie są wyłącznie „na papierze” a są faktycznie przestrzegane i stosowane), warto więc już teraz sprawdzić, co można dodać/zmienić w skutecznych i działających rozwiązaniach, by dostosować je w pełni do nowej regulacji.

ZADANIA ADMINISTRATORA

Jeśli jesteś administratorem danych, to nowe regulacje wymagają od Ciebie wdrożenia odpowiednich środków technicznych i organizacyjnych – odpowiednich, czyli takich, by zapewnić spełnienie wymogów rozporządzenia. RODO wskazuje przykładowe elementy, które administrator powinien wziąć pod uwagę. Są to m.in. minimalizacja i pseudonimizacja (pojęcia wskazane i doprecyzowane w rozporządzeniu) przetwarzania danych osobowych, przejrzystość co do funkcji i przetwarzania danych, oraz umożliwienie osobie, której dane dotyczą, monitorowania tego, w jakim celu i w jakim zakresie dane są przetwarzane. Na mocy rozporządzenia administrator jest zobowiązany dbać o to, by zastosowanie środki ochrony były w razie potrzeby uaktualniane. Ponadto, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki powinny obejmować również wdrożenie przez administratora odpowiednich polityk ochrony danych.

PRZEKAZYWANIE PRZETWARZANIA DANYCH

Jeśli przekazujesz przetwarzanie gromadzonych przez Ciebie danych zewnętrznemu podmiotowi, to pamiętaj o obowiązku zawarcia pisemnej umowy. W takiej umowie powinny się znaleźć co najmniej informacje dotyczące przedmiotu i czasu trwania przetwarzania danych, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie osób, których dane dotyczą oraz konkretne zadania i obowiązki podmiotu przetwarzającego.

DODATKOWE OBOWIĄZKI ADMINISTRATORA

W wypadkach przewidzianych w rozporządzeniu, administrator lub podmiot przetwarzający powinien prowadzić rejestry czynności przetwarzania danych osobowych. Obowiązek ten nie dotyczy wszystkich administratorów danych, dlatego przed wejściem w życie RODO sprawdź koniecznie, jaka jest twoja sytuacja.

Kolejnymi instrumentami przewidywanymi przez RODO są: ocena skutków przetwarzania oraz obowiązek wyznaczenie inspektora ochrony danych. Ponowie – w każdym wypadku należy indywidualnie ustalić, czy dany obowiązek Cię dotyczy.

KONSEKWENCJE NARUSZEŃ

Brak obowiązku rejestracji zbiorów danych osobowych i sztywnych procedur dla niektórych może oznaczać „rozluźnienie” rygorów prawnych związanych z ochroną danych osobowych. Nic bardziej mylnego. Kolejną bowiem zasadą wynikającą z rozporządzenia jest zasada „rozliczalności”. Administrator danych jest odpowiedzialny za przestrzeganie przepisów i co bardzo ważne – musi być w stanie wykazać ich przestrzeganie. Rozwój nowych technologii, wszechobecna automatyzacja i informatyzacja procesów sprawia, że zagadnienia ochrony danych osobowych odgrywają coraz większą rolę. Jednym z przejawów tego trendu oraz wprowadzenia zasady rozliczalności jest zastosowanie w unijnym rozporządzeniu możliwości nakładania przez organ nadzoru kar finansowych za dokonane naruszenia.

ADMINISTRACYJNE KARY PIENIĘŻNE

Są. To prawda, że za nieprzestrzeganie RODO można zostać obciążonym administracyjną karą pieniężną. Prawdą jest też to, że wskazane w rozporządzeniu graniczne wartości są bardzo wysokie – nawet do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości nawet do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Podkreślenia jednak wymaga, że rozporządzenie wskazuje również, że zastosowane kary pieniężne mają być w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Dlaczego ta informacja jest tak ważna? Ponieważ wskazuje, że przewidywane kary mają być nakładane tak, by były dostosowane do podmiotu, który dopuścił się naruszeń. Oprócz tych powyższych kwantyfikatorów, w RODO znajdziemy również wskazania, którymi ma się kierować organ decydujący o nałożeniu kary i jej wysokości. Organ będzie zobligowany do wzięcia pod uwagę m.in. charakteru, wagi i czasu trwania naruszenia, liczby poszkodowanych i rozmiarów poniesionej przez nich szkody, umyślnego lub nieumyślnego charakteru naruszenia oraz działań podjętych przez administratora danych w celu zminimalizowania poniesionych szkód.

ZGODA NA PRZETWARZANIE

RODO kładzie duży nacisk na to, by zgoda wyrażana na przetwarzanie danych osobowych była jednoznaczna, dobrowolna i w pełni zrozumiała dla osoby, która jej udziela. Pamiętaj, że jedna zgoda może dotyczyć jedynie jednego celu przetwarzania danych. Jeżeli przetwarzanie służy różnym celom – na każdy z nich potrzebujesz osobnych zgód. Dla każdego musi być przejrzyste i oczywiste do czego dane osobowe są wykorzystywane, przeglądane czy przetwarzane.

Rozporządzenie wskazuje na przykładowe, podstawowe informacje, które powinny być dostępne dla osób udzielających zgody na przetwarzanie danych – są to np. tożsamość administratora oraz sposoby wykonywania praw przysługujących im w związku z przetwarzaniem danych. Jeżeli administrator planuje przetwarzać dane osobowe w celu innym niż cel, w których je zebrał, powinien on przed takim dalszym przetwarzaniem poinformować osobę, której dane dotyczą, o tym innym celu oraz dostarczyć jej innych niezbędnych informacji. Ponadto, zgodnie z rozporządzeniem – wycofanie zgody na przetwarzanie danych musi być równie łatwe jak jej wyrażenie, o co również musi zadbać administrator.

Pamiętaj, że administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania oraz, że jest świadoma wyrażenia zgody, jej zakresu i praw z nią związanych.

PRAWO DO BYCIA ZAPOMNIANYM

Kolejną szeroko omawianą w związku z RODO kwestią jest prawo danej osoby do sprostowania danych osobowych jej dotyczących oraz do „bycia zapomnianym”. Rozporządzenie wskazuje, w jakich wypadkach można z tego prawa skorzystać. Ponadto, z regulacji wynika, że każdy powinien mieć prawo do tego, by jego dane osobowe zostały usunięte i przestały być przetwarzane m. in. jeżeli nie są już niezbędne do celów, w których były zbierane oraz w wypadku cofnięcia zgody wobec przetwarzania danych osobowych które jej dotyczą.

OSWOIĆ SIĘ Z RODO

RODO jest moim zdaniem w pewnym sensie przykładem nowego rodzaju regulacji prawnych. Takich, które dają ramy do działania jednocześnie kładąc nacisk na zwiększenie świadomości społeczeństwa i nakłaniając do brania czynnego udziału w budowaniu dobrych praktyk i standardów. Do maja zostało jeszcze trochę czasu, jednak z rozporządzeniem warto się zapoznać już teraz, żeby mieć świadomość, jakie obowiązki i prawa będą nas dotyczyć oraz by się do nich odpowiednio przygotować.

W związku z obszernością regulacji w niniejszym artykule poruszyłam oczywiście jedynie niektóre zagadnienia. Jeśli zainteresowała Cię tematyka RODO i nowych zasad ochrony danych osobowych, zaglądaj na lawstories.pl, gdzie będą pojawiały się kolejne artykuły dotyczące tej tematyki.

 


 AUTORKA: Anna Kolęda-Klinkosz 

adwokat, przedsiębiorca i autor. Zawodowo skupia swoje zainteresowania wokół prawa handlowego, cywilnego, prawa autorskiego i własności intelektualnej oraz ochrony danych osobowych. Interesuje się prawem nowych technologii oraz szeroko pojętą branżą kreatywną i związanymi z nią zagadnieniami. Na co dzień pracuje z przedsiębiorcami i twórcami. Pisze o prawie i o tym, jak się w nim nie pogubić. Codziennie stara się przybliżyć zagadnienia, z którymi najczęściej borykają się osoby, które chcą budować swój biznes świadomie i zgodnie z prawem oraz odczarowuje skomplikowane przepisy i regulacje. W poprzednim wcieleniu dziennikarz i copywriter. Jako autor na lawstories.pl chętnie łączy zamiłowanie do pióra i tworzenia treści z zainteresowaniami zawodowymi. Testuje wody jako szkoleniowiec.