KREATYWNI

NIEZAWODNI

GODNI ZAUFANIA

604 555 333

Co w naszej rzeczywistości zmieni RODO, unijne rozporządzenie o ochronie danych osobowych?

Już tylko ‚Äěkrok‚ÄĚ dzieli nas od daty wejścia w życie unijnego rozporządzenia w sprawie ochrony os√≥b fizycznych w związku z przetwarzaniem danych osobowych* (‚ÄěRODO‚ÄĚ), a tymczasem okazuje się, że nie tylko nie wszyscy są do niego należycie przygotowani, lecz co więcej nie wszyscy przedsiębiorcy zdają sobie sprawę, że dane osobowe przetwarzają!

Stąd też, tytułem wstępu należy wyjaśnić pewną podstawową kwestię:

WSZYSCY PRZEDSIĘBIORCY PRZETWARZAJĄ DANE OSOBOWE OS√ďB FIZYCZNYCH

Zatrudniając pracownik√≥w, czy nawiązując wsp√≥łpracę ze zleceniobiorcami ‚Äď przedsiębiorca już przetwarza ich dane! Trzeba zatem zdać sobie sprawę z tego, że prowadząc działalność gospodarczą, żaden przedsiębiorca nie uniknie przetwarzania danych osobowych. Można więc śmiało postawić znak r√≥wności pomiędzy przedsiębiorcą, a administratorem danych.

Pod pojęciem przetwarzania danych kryje się już ich zebranie i utrwalenie w jakiejkolwiek postaci (i.e. na papierze, w formie zapisu komputerowego), przechowywanie danych, czy wreszcie ich wykorzystywanie w działalności przedsiębiorcy.

Nie mając ani pracownik√≥w, ani zleceniobiorc√≥w, przetwarzamy dane osobowe klient√≥w, kontrahent√≥w. Ktoś powie: ‚ÄěNo dobrze, ale ja pracuję tylko ze sp√≥łkami kapitałowymi‚ÄĚ. Ok, ale te sp√≥łki mają swoje organy w postaci zarządu, rad nadzorczych. Dane osobowe os√≥b fizycznych wchodzących w ich skład też podlegają ochronie!

Z przykrością stwierdzam, że w codziennej praktyce spotykamy się jednak z niską, jeżeli nie żadną - świadomością tego zagadnienia wśr√≥d os√≥b zawodowo prowadzących swoje działalności.

Obserwując rynek widzimy, że do tej pory nie wszyscy przedsiębiorcy chronili zgromadzone przez siebie dane osobowe w spos√≥b należyty. Niekt√≥rzy, nawet dbając o ich odpowiednie zabezpieczenie ‚Äď nie przygotowali kompletnej dokumentacji przetwarzania danych (polityka bezpieczeństwa, instrukcja zarządzenia systemami informatycznymi).

Niedługo jednak posiadanie pełnej dokumentacji przetwarzania danych już nie wystarczy. Czasy, w kt√≥rych w przypadku kontroli Generalnego Inspektora Ochrony Danych Osobowych (w skr√≥cie: ‚ÄěGIODO‚ÄĚ), wystarczyło wylegitymować się stosowną dokumentacją minęły - i zapewne już nie wr√≥cą.

Nie oznacza to jednak, że od 25 maja 2018 roku wyrzucamy dokumentację przetwarzania danych osobowych do kosza!

Dokumentacja będzie przedsiębiorcom w dalszym ciągu przydatna ‚Äď choćby dla cel√≥w dowodowych. Przykładowo, prowadzący działalność gospodarczą wykażą nią przed Prezesem Urzędu Ochrony Danych Osobowych (tj. ‚ÄěPUODO‚ÄĚ ‚Äď czyli następca GIODO) m.in., że posiadają wewnętrzne procedury na wypadek wycieku danych, czy też udokumentują, jakie zabezpieczenia systemowe zastosowali dla ochrony danych, przetwarzanych za pomocą urządzeń z dostępem do sieci internet (nie tylko na komputerze, ale także na tablecie, smartfonie czy w chmurze danych).

Więc co tak naprawdę zmieni w naszej rzeczywistości RODO?

RODO zmusza przedsiębiorc√≥w do zupełnej zmiany podejścia, nie tylko w celu uniknięcia bolesnego zderzenia z‚Ķ wysokimi karami pieniężnymi. Warto więc już dziś przy przetwarzaniu danych osobowych zacząć stosować podejście oparte na ryzyku. Wieść gminna niesie bowiem, że RODO używa terminu ‚Äěryzyko‚ÄĚ ponad siedemdziesiąt razy ‚Äď RODO ryzykiem więc stoi!

Można więc zadać pytanie: dlaczego stosowanie podejścia opartego na ryzyku (risk based approach) jest tak istotne?

Dzieje się tak dlatego, że od wynik√≥w przeprowadzonej analizy ryzyka zależy spos√≥b realizacji obowiązk√≥w, kt√≥re RODO nakłada na administrator√≥w danych i z wypełnienia kt√≥rych przedsiębiorca może zostać rozliczony.

W jaki więc spos√≥b dokonać oceny ryzyka naruszenia praw lub wolności os√≥b fizycznych, kt√≥rych dane przetwarzamy?

Zgodnie z motywem 76 RODO: ‚ÄěPrawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, kt√≥rej dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i cel√≥w przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach kt√≥rej stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko‚ÄĚ.

W telegraficznym skrócie:

Stosując wybraną metodę należy przeprowadzić og√≥lną ocenę ryzyka ‚Äď pierwszym krokiem jest zatem inwentaryzacja przetwarzanych danych w oparciu o: (i) audyt zbior√≥w (zbi√≥r danych po zbiorze danych), (ii) posiadane systemy (system po systemie), (iii) klasyfikację RODO (przepis po przepisie), lub (iv) zachodzące procesy przetwarzania (proces po procesie). Śledzimy skąd się borą dane i w jakim celu są wykorzystywane. Analizujemy występujące luki i wprowadzamy stosowne zabezpieczenia.

Jeżeli okaże się, że istnieje wysokie ryzyko utraty poufności, rozliczalności lub integralności danych osobowych ‚Äď trzeba przeprowadzić tzw. ocenę skutk√≥w przetwarzania dla ochrony danych (inaczej: szczeg√≥łowa ocena ryzyka, ang. Data Protection Impact Assessment, w skr√≥cie: DPIA, art. 35 RODO).

Zgodnie z motywem 90 RODO, ma ona na celu ocenę konkretnego prawdopodobieństwa i powagi tego wysokiego ryzyka: ‚ÄěOcena skutk√≥w powinna w szczeg√≥lności obejmować planowane środki, zabezpieczenia i mechanizmy mające minimalizować to ryzyko, zapewniać ochronę danych osobowych oraz wykazać przestrzeganie niniejszego rozporządzenia‚ÄĚ. Uczulamy, że szczeg√≥łowa ocena ryzyka jest niezbędna r√≥wnież w przypadku stosowania przez przedsiębiorcę na dużą skalę monitoringu miejsc publicznie dostępnych.

Na zakończenie warto zadać sobie pytanie, czy analiza ryzyka stanowi w og√≥le nowość?

Odpowiedź jest złożona: i tak, i nie. Do tej pory należało ustalić m.in. poziomy bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych, a co za tym idzie stosować zabezpieczenia odpowiednie dla poziomu podstawowego, podwyższonego lub wysokiego (¬ß 6 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunk√≥w technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, dalej jako: ‚Äěrozporządzenie MSWiA‚ÄĚ). Już na tym przykładzie widać, że chociażby w celu ustalenia poziomu bezpieczeństwa przedsiębiorcy musieli siłą rzeczy przeprowadzić odpowiednią analizę ryzyka. Jednakże, był to co do zasady proces w swej istocie jednorazowy.

Za blisko dwa miesiące, będziemy obowiązani dokonywać analizy ryzyka w odniesieniu do kolejnych danych, kt√≥rych przetwarzania się podejmujemy. Proces ten więc będzie posiadał charakter powtarzalny, a co za tym idzie przedsiębiorcy będą obowiązani ciągle dostosowywać swoje zabezpieczenia do charakteru przetwarzanych danych, ich zakresu oraz cel√≥w przetwarzania.

I tutaj znajduje się pewien haczyk: do tej pory rozporządzenie MSWiA wskazywało ściśle określone środki zabezpieczeń, kt√≥re należy stosować w zależności od ustalonego poziomu bezpieczeństwa. Za trzy miesiące to administratorzy danych będą obowiązani do samodzielnego określenia środk√≥w oraz procedur w zakresie bezpieczeństwa danych. Będą zatem posiadali większą dowolność, ale też będzie ciążyła na nich większa odpowiedzialność. Czy polski ustawodawca zdecyduje się na dookreślenie środk√≥w bezpieczeństwa, kt√≥re należy stosować w zależności od tego czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko - czy też rozporządzenie RODO będzie w tym zakresie bezpośrednio stosowane?

Dowiemy się zapewne niebawem.¬†

Patrycja Kasprzyczak
Aplikant Radcowski

* Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os√≥b fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE