Już tylko „krok” dzieli nas od daty wejścia w życie unijnego rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych* („RODO”), a tymczasem okazuje się, że nie tylko nie wszyscy są do niego należycie przygotowani, lecz co więcej nie wszyscy przedsiębiorcy zdają sobie sprawę, że dane osobowe przetwarzają! 

Stąd też, tytułem wstępu należy wyjaśnić pewną podstawową kwestię: 

WSZYSCY PRZEDSIĘBIORCY PRZETWARZAJĄ DANE OSOBOWE OSÓB FIZYCZNYCH 

Zatrudniając pracowników, czy nawiązując współpracę ze zleceniobiorcami – przedsiębiorca już przetwarza ich dane! Trzeba zatem zdać sobie sprawę z tego, że prowadząc działalność gospodarczą, żaden przedsiębiorca nie uniknie przetwarzania danych osobowych. Można więc śmiało postawić znak równości pomiędzy przedsiębiorcą, a administratorem danych. 

Pod pojęciem przetwarzania danych kryje się już ich zebranie i utrwalenie w jakiejkolwiek postaci (i.e. na papierze, w formie zapisu komputerowego), przechowywanie danych, czy wreszcie ich wykorzystywanie w działalności przedsiębiorcy. 

Nie mając ani pracowników, ani zleceniobiorców, przetwarzamy dane osobowe klientów, kontrahentów. Ktoś powie: „No dobrze, ale ja pracuję tylko ze spółkami kapitałowymi”. Ok, ale te spółki mają swoje organy w postaci zarządu, rad nadzorczych. Dane osobowe osób fizycznych wchodzących w ich skład też podlegają ochronie! 

Z przykrością stwierdzam, że w codziennej praktyce spotykamy się jednak z niską, jeżeli nie żadną – świadomością tego zagadnienia wśród osób zawodowo prowadzących swoje działalności. 

Obserwując rynek widzimy, że do tej pory nie wszyscy przedsiębiorcy chronili zgromadzone przez siebie dane osobowe w sposób należyty. Niektórzy, nawet dbając o ich odpowiednie zabezpieczenie – nie przygotowali kompletnej dokumentacji przetwarzania danych (polityka bezpieczeństwa, instrukcja zarządzenia systemami informatycznymi). 

Niedługo jednak posiadanie pełnej dokumentacji przetwarzania danych już nie wystarczy. Czasy, w których w przypadku kontroli Generalnego Inspektora Ochrony Danych Osobowych (w skrócie: „GIODO”), wystarczyło wylegitymować się stosowną dokumentacją minęły – i zapewne już nie wrócą. 

Nie oznacza to jednak, że od 25 maja 2018 roku wyrzucamy dokumentację przetwarzania danych osobowych do kosza! 

Dokumentacja będzie przedsiębiorcom w dalszym ciągu przydatna – choćby dla celów dowodowych. Przykładowo, prowadzący działalność gospodarczą wykażą nią przed Prezesem Urzędu Ochrony Danych Osobowych (tj. „PUODO” – czyli następca GIODO) m.in., że posiadają wewnętrzne procedury na wypadek wycieku danych, czy też udokumentują, jakie zabezpieczenia systemowe zastosowali dla ochrony danych, przetwarzanych za pomocą urządzeń z dostępem do sieci internet (nie tylko na komputerze, ale także na tablecie, smartfonie czy w chmurze danych). 

Więc co tak naprawdę zmieni w naszej rzeczywistości RODO? 

RODO zmusza przedsiębiorców do zupełnej zmiany podejścia, nie tylko w celu uniknięcia bolesnego zderzenia z… wysokimi karami pieniężnymi. Warto więc już dziś przy przetwarzaniu danych osobowych zacząć stosować podejście oparte na ryzyku. Wieść gminna niesie bowiem, że RODO używa terminu „ryzyko” ponad siedemdziesiąt razy – RODO ryzykiem więc stoi! 

Można więc zadać pytanie: dlaczego stosowanie podejścia opartego na ryzyku (risk based approach) jest tak istotne? 

Dzieje się tak dlatego, że od wyników przeprowadzonej analizy ryzyka zależy sposób realizacji obowiązków, które RODO nakłada na administratorów danych i z wypełnienia których przedsiębiorca może zostać rozliczony. 

W jaki więc sposób dokonać oceny ryzyka naruszenia praw lub wolności osób fizycznych, których dane przetwarzamy? 

Zgodnie z motywem 76 RODO: „Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko”. 

W telegraficznym skrócie: 

Stosując wybraną metodę należy przeprowadzić ogólną ocenę ryzyka – pierwszym krokiem jest zatem inwentaryzacja przetwarzanych danych w oparciu o: (i) audyt zbiorów (zbiór danych po zbiorze danych), (ii) posiadane systemy (system po systemie), (iii) klasyfikację RODO (przepis po przepisie), lub (iv) zachodzące procesy przetwarzania (proces po procesie). Śledzimy skąd się borą dane i w jakim celu są wykorzystywane. Analizujemy występujące luki i wprowadzamy stosowne zabezpieczenia. 

Jeżeli okaże się, że istnieje wysokie ryzyko utraty poufności, rozliczalności lub integralności danych osobowych – trzeba przeprowadzić tzw. ocenę skutków przetwarzania dla ochrony danych (inaczej: szczegółowa ocena ryzyka, ang. Data Protection Impact Assessment, w skrócie: DPIA, art. 35 RODO). 

Zgodnie z motywem 90 RODO, ma ona na celu ocenę konkretnego prawdopodobieństwa i powagi tego wysokiego ryzyka: „Ocena skutków powinna w szczególności obejmować planowane środki, zabezpieczenia i mechanizmy mające minimalizować to ryzyko, zapewniać ochronę danych osobowych oraz wykazać przestrzeganie niniejszego rozporządzenia”. Uczulamy, że szczegółowa ocena ryzyka jest niezbędna również w przypadku stosowania przez przedsiębiorcę na dużą skalę monitoringu miejsc publicznie dostępnych. 

Na zakończenie warto zadać sobie pytanie, czy analiza ryzyka stanowi w ogóle nowość? 

Odpowiedź jest złożona: i tak, i nie. Do tej pory należało ustalić m.in. poziomy bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych, a co za tym idzie stosować zabezpieczenia odpowiednie dla poziomu podstawowego, podwyższonego lub wysokiego (§ 6 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, dalej jako: „rozporządzenie MSWiA”). Już na tym przykładzie widać, że chociażby w celu ustalenia poziomu bezpieczeństwa przedsiębiorcy musieli siłą rzeczy przeprowadzić odpowiednią analizę ryzyka. Jednakże, był to co do zasady proces w swej istocie jednorazowy. 

Za blisko dwa miesiące, będziemy obowiązani dokonywać analizy ryzyka w odniesieniu do kolejnych danych, których przetwarzania się podejmujemy. Proces ten więc będzie posiadał charakter powtarzalny, a co za tym idzie przedsiębiorcy będą obowiązani ciągle dostosowywać swoje zabezpieczenia do charakteru przetwarzanych danych, ich zakresu oraz celów przetwarzania. 

I tutaj znajduje się pewien haczyk: do tej pory rozporządzenie MSWiA wskazywało ściśle określone środki zabezpieczeń, które należy stosować w zależności od ustalonego poziomu bezpieczeństwa. Za trzy miesiące to administratorzy danych będą obowiązani do samodzielnego określenia środków oraz procedur w zakresie bezpieczeństwa danych. Będą zatem posiadali większą dowolność, ale też będzie ciążyła na nich większa odpowiedzialność. Czy polski ustawodawca zdecyduje się na dookreślenie środków bezpieczeństwa, które należy stosować w zależności od tego czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko – czy też rozporządzenie RODO będzie w tym zakresie bezpośrednio stosowane? 

Dowiemy się zapewne niebawem.  

Patrycja Kasprzyczak 
Aplikant Radcowski 

* Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE