• Polecane
• Biznes

Autor: Kamil Pietrasik / 10 maja 2018

Czy RODO to rewolucja?

Od 25 maja br. w Polsce będzie obowiązywać RODO, czyli Rozporządzenie o Ochronie Danych Osobowych. Dzięki niemu m.in. zostaną ujednolicone zasady przetwarzania danych osobowych w całej Unii Europejskiej. W związku z powyższym, aby przybliżyć naszym czytelnikom ten temat zadaliśmy pani Barbarze Sośnickiej – Radcy Prawnemu kilka pytań, dotyczących RODO.

Rozporządzenie unijne, RODO, weszło w życie 2 lata temu, w maju 2016 roku.
25 maja 2018 r. kończy się okres na dostosowanie. Większość podmiotów tak naprawdę zajęła się tym tematem dopiero w tym roku, stąd powszechna panika. Wykorzystywane jest to przez różne firmy, które masowo proponują przedsiębiorcom różne opcje związane z wdrożeniem RODO. Ktoś, kto dopiero teraz zaczął interesować się tematem może w popłochu podjąć złą decyzję i wdrożenie RODO nie przebiegnie gładko.

Wiele osób chce czekać na pojawienie się polskiej ustawy. Ustawa ta jednak nie zmieni treści RODO. Jest to rozporządzenie unijne, a zatem będzie stosowane w Polsce bezpośrednio nawet bez uchwalenia ustawy. Ustawa uporządkuje jedynie pewne kwestie dot. postępowania kontrolnego czy działania nowego urzędu.

Rozporządzenie unijne wchodzi bezpośrednio do naszego porządku, co więcej jest ono „ważniejsze” niż polska ustawa. Jeżeli w ustawie pojawiłyby się postanowienia, które byłyby niezgodne wobec postanowień RODO, w takim przypadku i tak zastosowanie miałoby RODO.

W chwili obecnej w polskim prawie funkcjonuje:

• ustawa o ochronie danych osobowych z 1997 roku,
• Rozporządzenie Ministra Spraw Wewnętrznych z 2004 r., które określa wskazania techniczne jakie na dany dzień konkretna firma powinna spełniać.

Można posiłkować się również normą PN-ISO/IEC-17799:2005, która określa, że przez bezpieczeństwo informacji należy rozumieć zachowanie poufności, integralności, dostępności, rozliczalności, autentyczności, niezaprzeczalności i niezawodności.

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 2004 r., przestanie niedługo obowiązywać, ale można stamtąd czerpać pomysły dotyczące np. zabezpieczeń systemów informatycznych. Należy jednak wziąć pod uwagę, że jest tam dużo przestarzałych informacji. Technologie dzisiaj stosowane są znacząco różne od tych z 2004 r.
Co zaś się tyczy normy PN-ISO/IEC-17799:2005 to RODO niewiele zmienia w jej aspekcie, powtarzając część z zasad w niej wymienionych.

To prawda. Po przeczytaniu rozporządzenia możemy mieć wrażenie, że dalej nie wiemy, co mamy robić oraz jak mamy zabezpieczyć dane w firmie. Tego w RODO nie ma i nie będzie. Założenie jest takie, że RODO ma funkcjonować 50 lat i ze względu na to, nie są tam wprowadzane zapisy dotyczące np. technologii i konkretnych zabezpieczeń. Jest to logiczne ponieważ technologie się zmieniają bardzo szybko i to co jeszcze 2 lata temu było innowacyjne, dzisiaj już nie jest i dalej będzie ulegać zmianie. W RODO jest co prawda mowa o szyfrowaniu czy pseudonimizacji, ale te pojęcia są użyte w bardzo ogólnym kontekście.

Można zatem domniemywać, że nie będą już obowiązywać sztywne standardy bezpieczeństwa, takie jak np. że hasło ma być zmieniane co 30 dni, i że mamy mieć ognioodporne drzwi, albo że pendrive musi być zaszyfrowany itp.

Trzeba wykonać analizę ryzyka i dostosować środki bezpieczeństwa stricte pod własną firmę. Zupełnie inaczej wdrożenie RODO będzie wyglądać u osoby, która prowadzi jednoosobową firmę, nie zatrudnia pracowników, pracuje z domu i ma sklep internetowy niż np. laboratorium, które zatrudnia 50 pracowników, posiada przedstawicieli handlowych w całym kraju oraz przetwarza dane genetyczne (czyli dane ze specjalnych kategorii). W tym drugim przypadku skala obowiązków do zrealizowania będzie większa.

Na ten moment RODO nie wymaga żadnej dokumentacji. RODO wymaga prowadzenia rejestru czynności przetwarzania, ale to również w określonych przypadkach. Nie ma tam wymienionego dokumentu, który się nazywa polityka bezpieczeństwa, czy instrukcja zarządzania systemem informatycznym.

Każdy administrator powinien udowodnić, że spełnia wszystkie wymagania RODO, a zatem nie zawsze dobrym rozwiązaniem będzie rezygnacja z tych dokumentów. Poza tym o pewnych kwestiach możemy nie pamiętać, zapomnieć, warto zatem pewne procedury rozpisać i je aktualizować. To nie musi być taka polityka bezpieczeństwa jak kiedyś, można po prostu zapisać procedury systemu ochrony danych osobowych, bo mamy np. politykę dotyczącą kluczy, komputerów służbowych czy telefonów komórkowych.

Nie ma wymogu, żeby taką analizę przeprowadziła firma z zewnątrz. Bezpieczniejszym rozwiązaniem może się jednak okazać zlecenie tego ekspertom. Jeśli dana firma zdecyduje się to zrobić samodzielnie, polecam stronę internetową GIODO www.giodo.gov.pl, gdzie znajdują się naprawdę ciekawe i wysoce merytoryczne materiały na temat RODO, w tym również dwa dokumenty dotyczące właśnie analizy ryzyka.

Zacznijmy od tzw. ADO czyli Administratora. Jest nim osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który ustala cele i sposoby przetwarzania danych osobowych.
Trzeba się zatem zastanowić, czy to my ustalamy cele i sposoby przetwarzania danych.

Na pewno jesteśmy Administratorem danych naszych:

• pracowników etatowych oraz osób pracujących dla nas w ramach umów cywilnoprawnych,
• dostawców, również gdy są to dane osób fizycznych, prowadzących działalność gospodarczą, dane wpisane w CEIDG,
• klientów i osób zainteresowanych naszą działalnością, usługą czy też zarejestrowanych na naszym blogu.

Dane osobowe są to wszelkie informacje dotyczące osoby fizycznej pozwalające na jej zidentyfikowanie (pośrednio lub bezpośrednio), np. imię i nazwisko, adres, zamieszkania, PESEL, NIP, czy e-mail.

Dane osób prawnych i osób zmarłych nie są danymi osobowymi w świetle RODO – nie podlegają ochronie. Sama spółka z o.o. nie podlega ochronie RODO, ale już jej udziałowcy i członkowie zarządu tak.

Podkreślę w tym miejscu, że kluczowym aspektem jest identyfikowalność.

W zasadzie nie. Ale w określonych okolicznościach może nią być.

Jeśli ktoś w Warszawie zgubi kartkę z zeszytu stosowanego przez właściciela jakiegoś sklepu, w którym byłoby napisane, że Jan Kowalski, Adam Nowak są winni 50 zł za zakupy dokonane w marcu 2017 roku, to fakt identyfikalności tych danych z konkretnymi osobami jest bardzo mały. Jeśli jednak taka kartka zostałaby zgubiona w sklepie na wsi gdzie mieszka kilkadziesiąt osób, w tym tylko jeden Jan Kowalski i Adam Nowak to mamy pełną identyfikowalność i naruszenie zasad ochrony danych osobowych.

Dobrze, zatem po kolei.

Współadministrator – współadministrowanie pojawia się, gdy mamy do czynienia np. z grupami kapitałowymi. Ale niekoniecznie muszą to być duże grupy kapitałowe. Małą grupę kapitałową może tworzyć np. 5 małych spółek, ale jeżeli o celach i sposobach administrowania decydują dwa podmioty, należy spisać, kto i za co odpowiada. Konkretne osoby, których dane są przetwarzane muszą wiedzieć do kogo mają się zwrócić, jeżeli np. będzie jakiś problem czy będą miały pytania odnośnie ich danych.

Procesor – kto może być takim procesorem? Na przykład nasz hostingodawca, biuro rachunkowe, firma dostarczająca nam system CRM, agencja, która realizuje dla nas kampanie reklamowe m.in. na Facebooku czy w Google.

Inspektor ochrony danych – muszą go wyznaczyć wszystkie podmioty publiczne oraz np. firmy, które przetwarzają na dużą skalę specjalne kategorie danych. Co kryje się pod pojęciem duża skala? Tego RODO nie dookreśla. Jest to kwestia, którą należy ocenić indywidualnie, przy danym wdrożeniu.

I na koniec PUODO (Prezes Urzędu Ochrony Danych Osobowych), czyli organ nadzorczy, który zastąpi GIODO.

Nie będę omawiać tej kwestii szczegółowo, bo to temat na osobny wywiad. Powiem jednak o kilku istotnych aspektach. Jeśli wiemy, kim jesteśmy i jakie dane osób fizycznych zbieramy to już jest wstęp do przygotowania analizy ryzyka.

Należy też zawsze zastanowić się, czy niektóre z danych, które gromadzimy są nam w ogóle potrzebne. Mamy np. bazę klientów do wysyłki newslettera, a około dwa miesiące temu podjęliśmy decyzję, że wstrzymujemy wysyłanie newsletterów albo kiedyś takie zgody zebraliśmy, a jeszcze nie wiemy kiedy i czy w ogóle będziemy taki newsletter wysyłać. Zbieramy np. datę urodzin, bo chcemy wysyłać życzenia urodzinowe, a wcale tego nie robimy albo dawno zaprzestaliśmy.

Należy również dokonać analizy wykorzystywania przez przedsiębiorstwo własnych systemów informatycznych. Należy mieć pewność że dany program/narzędzie odpowiednio chroni nasze dane.
Polecam spisać wszystkie rozwiązania/aplikacje/programy, z których korzystamy i sprawdzić czy są one dostosowane do wymagań RODO.

Ustalmy, kto w naszej firmie pracuje przy wykorzystaniu konkretnych danych, co robi z nimi, w jakich projektach/działaniach może ich używać/przetwarzać. Weźmy też pod uwagę osoby, które bezpośrednio nie pracują z tymi danymi, ale mogą mieć do nich łatwy dostęp. Pamiętajmy też o osobach, które mają utrudniony dostęp do danych, ale mimo wszystko istnieje ryzyko z ich strony, że mogą te dane naruszyć.

Pamiętajmy też, żeby uregulować kwestię używania prywatnych urządzeń w firmie i ewentualnych ich powiązań/integracji z urządzeniami firmowymi.

Tych kwestii jest sporo, pozwolę sobie je po kolei wyszczególnić. Musimy zatem:

• podać kim jest administrator danych, i przekazać jego dane kontaktowe,
• podać podstawę prawną przetwarzania i cele przetwarzania,
• określić prawnie uzasadnione cele przetwarzanych przez administratora danych, jeżeli takimi celami uzasadnia swoją możliwość przetwarzania danych osobowych,
• wyszczególnić odbiorców danych lub kategorie tych odbiorców, jeżeli istnieją,
• poinformować o ewentualnym zamiarze przekazania danych poza UE lub do organizacji międzynarodowej,
• podać okres przechowywania danych lub kryteria ustalania tego okresu,
• poinformować o prawie tej osoby do dostępu do swoich danych, możliwości ich sprostowania, ograniczenia przetwarzania oraz usunięcia,
• powiadomić o prawie do: przenoszenia danych (przy okazji należy zadbać o to, żeby te dane były faktycznie przenoszalne); wniesienia sprzeciwu co do przetwarzania danych; cofnięcia zgody na przetwarzanie danych; wniesienia skargi do organu nadzorczego,
• poinformować, czy decyzje dot. danej osoby są podejmowane automatycznie, czy zastosowanie ma profilowanie,
• wskazać, czy podanie danych to obowiązek ustawowy, umowny czy warunek konieczny do zawarcia umowy.

To fakt. Nadmienię jednak już na samym początku, że nałożenie kary, nie jest obowiązkiem, ale kompetencją organu nadzorczego. Może się zatem zdarzyć, że w przypadku jakichkolwiek nieprawidłowości, które zauważy kontroler, otrzymamy od niego jedynie pouczenie i obędzie się bez jakichkolwiek sankcji finansowych. Ale to tylko domniemany scenariusz i przypuszczam, że może on dotyczyć jedynie pojedynczych, niedużych nieprawidłowości podczas pierwszej kontroli. Warto zatem, jak najlepiej przygotować się do RODO, abyśmy mogli z czystym sumieniem stwierdzić, że zrobiliśmy w tej kwestii wszystko, co mogliśmy na dzień dzisiejszy. Zwłaszcza, że kary mogą być naprawdę dotkliwe, o czym możemy przeczytać w:

• art. 84 ust. 4 RODO: administracyjna kara pieniężna w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego,
• art. 84 ust. 5 RODO: administracyjna kara pieniężna w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Ja również bardzo dziękuję.

Barbara Sośnicka jest radcą prawnym, prowadzącym swoją kancelarię w Tychach, przy ul. Dąbrowskiego 87. Kancelaria oferuje pomoc prawną m.in. w zakresie prawa konsumenckiego, autorskiego oraz doradztwo w aspekcie wdrożenia RODO. Jeżeli wymaga tego sytuacja usługi są świadczone także w języku niemieckim i angielskim. Po więcej informacji zapraszamy na stronę: www.kancelariasosnicka.pl