RODO – co czeka podmioty przetwarzające dane?

RODO – czyli unijne Rozporządzenie o Ochronie Danych Osobowych (ang. GDPR – General Data Protection Regulation) – wchodzi w życie w maju 2018 roku. Czasu zatem pozostało niewiele, a wymagań jakie muszą spełnić wszystkie podmioty przetwarzające dane osobowe jest sporo.

GDPR General Data Protection Regulation

Celem RODO jest podniesienie poziomu bezpieczeństwa danych wszystkich obywateli UE. W związku z tym podmioty przetwarzające dane osobowe – zarówno przedsiębiorstwa, jak i instytucje publiczne – muszą dostosować się do nowych regulacji do 25 maja 2018 roku (w tym również te podmioty, które nie mają swojej siedziby na obszarze UE, ale przetwarzają dane obywateli UE).

Dane osobowe

Jak mówi Ustawa o ochronie danych osobowych z 29 sierpnia 1997 oraz 2004 roku, za dane osobowe przyjmuje się wszelkie informacje, które mogą posłużyć do bezpośredniego lub pośredniego zidentyfikowania danej osoby lub też pozwalające na ustalenie tożsamości, a więc m.in.: imię i nazwisko, adres, PESEL, adres e-mail (jeżeli zawiera np. imię i nazwisko), adres IP komputera, zapis linii papilarnych lub wzór siatkówki, DNA, a także jeden lub więcej charakterystycznych czynników określających tożsamość fizyczną, fizjologiczną, genetyczną, ekonomiczną, kulturową bądź społeczną.

Zasady przetwarzania danych

Główne zalecenia przy przetwarzaniu danych osobowych, jak również obowiązki administratora danych zawarte są w art. 5 GDPR.

Zadaniem administratora danych jest zapewnienie ochrony interesów osób, których dane dotyczą, a w szczególności jest on zobowiązany, aby dane te były:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą;
  • zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2;
  • merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane;
  • przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania;
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą środków technicznych lub organizacyjnych.
(Art. 26 projekt UODO; Art. 5 GDPR)
Prawo do bycia „zapomnianym”

GDPR wskazuje, że każda osoba fizyczna może żądać od administratora usunięcia swoich danych w przypadku gdy:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  • osoba, której dane dotyczą, cofnęła zgodę na przetwarzanie jej danych osobowych i nie ma podstawy prawnej do dalszego ich przetwarzania;
  • wnosi sprzeciw wobec przetwarzania dotyczących jej danych osobowych;
  • dane osobowe były przetwarzane niezgodnie z prawem;
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  • dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8.
(art. 17 GDPR)

W przypadku wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe bądź zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych jest zobowiązany do natychmiastowego uzupełnienia, uaktualnienia, sprostowania danych, bądź też czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych albo ich usunięcia.

(art. 35 projekt UODO)
Jak dochodzi do utraty danych?

Badanie Data Breaches – Privacy Rights Clearinghouse z 2016 roku jako główny powód utraty danych wskazuje cyberataki – 57%. Na kolejnych miejscach są takie zdarzenia, jak nieumyślne przesłanie danych (22%), wykorzystywanie urządzeń przenośnych (10%), fizyczna utrata urządzenia (7%) i inne czynniki (4%).

Naruszenie bezpieczeństwa danych

Każdorazowo naruszenie bezpieczeństwa danych – zarówno przypadkowe, jak i niezgodne z prawem zniszczenie, utrata, modyfikacja bądź nieuprawnione ujawnienie czy dostęp – musi zostać niezwłocznie (a nie później niż 72 godziny od stwierdzenia faktu naruszenia danych) zgłoszone przez administratora do organu nadzorczego.

Dodatkowo administrator jest zobowiązany do poinformowania o zdarzeniu poszkodowanego, jeżeli naruszenie chronionych danych może nieść za sobą konsekwencje w postaci naruszenia praw lub wolności osób fizycznych. Wyjątkiem jest sytuacja, w której administrator wdrożył odpowiednie techniczne i organizacyjne środki, które zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie (art. 4 GDPR).

Inspektor Ochrony Danych

Wejście w życie RODO zmieni też kompetencje i zadania osoby nadzorującej przestrzeganie przepisów o ochronie danych osobowych. Dotychczasowego Administratora Bezpieczeństwa Informacji zastąpi Inspektor Ochrony Danych.

Wyznaczenie Inspektora Ochrony Danych obowiązuje w przypadku gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania na dużą skalę, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą

lub

  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10.
(art. 37 GDPR)

W pozostałych przypadkach wyznaczenie inspektora ochrony danych nie będzie obligatoryjne, jednak zgodnie z wymienionym wyżej artykułem, obowiązek wyznaczenia inspektora może zostać rozszerzony na inne podmioty, jeżeli wprowadzi je prawo Unii bądź państwa członkowskiego.

Główne zadania inspektora ochrony danych

Do głównych zadań inspektora ochrony danych należeć będą:

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników przetwarzających dane o spoczywających na nich obowiązkach i doradzanie im w tej sprawie;
  • monitorowanie przestrzegania rozporządzenia oraz innych przepisów Unii o ochronie danych, w tym szkolenia personelu przetwarzającego dane, przeprowadzanie audytów;
  • udzielanie na żądanie zaleceń, co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
  • współpraca z organem nadzorczym;
  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
(art. 39 GDPR)
Kary za naruszenie przepisów

Kary za naruszenie przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego (art. 8, 11, 25-29, 42 i 43), podmiotu certyfikującego (art. 42 i 43) oraz podmiotu monitorującego (art. 41 ust. 4) podlegają administracyjnej karze pieniężnej w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Kary za naruszenie przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody (art. 5, 6, 7 oraz 9), praw osób, których dane dotyczą (art. 12-22), przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej (art. 44-49), wszelkich obowiązków wynikających z prawa państwa członkowskiego, czy też nieprzestrzeganie nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy (art. 58 ust. 2) lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1 podlegają administracyjnej karze pieniężnej w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

(art. 83 GDPR)

Na decyzję o nałożeniu kary i jej wysokości wpływ będę miały takie czynniki jak:

  • charakter, waga, czas naruszenia
  • ilość poszkodowanych osób
  • umyślne/nieumyślne naruszenie
  • wdrożone środki organizacyjne, kodeks postępowania, certyfikacje
  • wdrożone środki techniczne, szyfrowanie, ograniczenie utraty danych, zabezpieczenie systemów
  • stopień odpowiedzialności
  • forma zgłoszenia, współpraca z organem
  • przestrzeganie zaleceń
  • okoliczności dodatkowe, np. korzyści finansowe.
Ochrona danych

Jakie działania powinny podjąć przedsiębiorstwa i instytucje publiczne by dostosować się do nowych regulacji związanych z wejściem w życie RODO? Wszystkie podmioty przetwarzające dane osobowe powinny wdrożyć odpowiednie narzędzia i procedury, umożliwiające zapewnienie maksymalnego poziomu bezpieczeństwa przechowywanym danym.

Jak mówi art. 32 GDPR do działań tego typu należą m.in.:

  • szyfrowanie danych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (ochrona i wysoka dostępność systemów);
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego (kopie zapasowe);
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (monitorowanie i audyt).

Więcej o rozwiązaniach do ochrony danych tutaj.

Źródło: materiały konferencyjnej Konsorcjum FEN Sp. z o.o., ustawa GDRP.