RODO w 10 (niekoniecznie łatwych) krokach
Już od 25 maja zaczniemy stosować RODO, czyli nowe unijne rozporządzenie ogólne o ochronie danych regulujące zasady przetwarzania danych osobowych. Celem RODO jest wprowadzenie we wszystkich krajach członkowskich Unii Europejskiej jednolitych zasad dotyczących ochrony i bezpieczeństwa danych osobowych. Zastanówmy się w dziesięciu krokach, co należy zrobić, aby zapewnić zgodność przetwarzania danych z RODO.
Ten artykuł pochodzi z archiwalnego iMagazine 5/2018
1. Ustal, jakie operacje przeprowadzasz na danych
Powinieneś rozpocząć od przejrzenia własnych zbiorów danych i ustalenia wszystkich czynności dokonywanych z danymi – począwszy od ich gromadzenia, przez sposoby przechowywania, operacje na danych, do udostępniania osobom trzecim i usuwania. Warto ustalić, czy we wszystkich przypadkach samodzielnie ustalasz cele i środki przetwarzania danych. RODO dopuszcza sytuację, w której dwa lub więcej podmiotów wspólnie ustalają takie cele i sposoby. Podmioty takie są współadministratorami, którzy powinni podzielić się obowiązkami wynikającymi z RODO.
Po przeprowadzeniu takiej analizy można zastanowić się nad zakresem zmian koniecznych do dokonania w celu dostosowania operacji przetwarzania danych do nowych regulacji.
2. Sprawdź, czy musisz wyznaczyć Inspektora Ochrony Danych
Nowe przepisy nakładają na niektóre podmioty obowiązek wyznaczenia inspektora ochrony danych. To odpowiednik obecnego ABI, czyli administratora bezpieczeństwa informacji. Wyznaczenie inspektora ochrony danych będzie wymagane wobec podmiotów zajmujących się regularnym i systematycznym monitorowaniem danych dużej liczby osób lub też, gdy ich główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, czyli tak zwanych danych wrażliwych.
Ustal, czy należysz to tej kategorii podmiotów i czy jesteś w związku z tym związany obowiązkiem wyznaczenia takiej osoby. Możesz rozważyć wyznaczenie inspektora danych osobowych, nawet gdy nie jesteś związany takim obowiązkiem. Może to ułatwić wdrożenie nowych regulacji i spowodować, że ktoś w Twojej organizacji będzie odpowiedzialny za wykonanie obowiązków z nich wynikających.
3. Sprawdź, na jakiej podstawie przetwarzasz dane osobowe
W odniesieniu do każdej kategorii danych, jakie są przetwarzane, upewnij się, że istnieje podstawa do ich przetwarzania. RODO wskazuje katalog przypadków, w których dane osobowe można przetwarzać. Nowy katalog nie jest bardzo różny od dotychczasowego, niemniej powinieneś potwierdzić, że przetwarzane dane nadal mieszczą się w jednej z kategorii, jakie wskazuje RODO.
4. Sprawdź i popraw treść zgód na przetwarzanie danych
Najczęstszą podstawą przetwarzania danych jest zgoda osoby, której dane dotyczą. RODO kładzie ogromny nacisk na rozliczalność danych osobowych, co polega na tym, że każdy administrator musi być w stanie wykazać przestrzeganie podstawowych zasad przetwarzania danych osobowych. Jednym z elementów zapewnienia rozliczalności będzie wykazanie, że dysponujesz odpowiednimi zgodami na przetwarzanie danych osobowych oraz że możesz wykazać, że dana osoba taką zgodę wyraziła. Zasady udzielania zgód zgodnie z RODO ulegają pewnym zmianom – zgoda będzie mogła być wyrażona poprzez każde dobrowolne, konkretne, świadome i jednoznaczne okazanie woli. Obecnie taka zgoda może przyjąć nie tylko formę oświadczenia, ale również może zostać udzielona w drodze wyraźnego działania potwierdzającego, że dana zgoda pozwala na przetwarzanie dotyczących jej danych osobowych.
Powinieneś zatem przejrzeć posiadane zgody, aby upewnić się, że ich treść oraz sposób udzielenia odpowiadają nowym regulacjom. Zastanów się nad tym, czy zgody można uznać za uzyskane dobrowolnie – w tym celu musisz między innymi zastanowić się, czy od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy albo świadczenie usługi, zwłaszcza jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.
Niebagatelne znaczenie ma też ustalenie, czy zgody udzielają osoby pełnoletnie. RODO dopuszcza udzielanie zgody przez osoby, które ukończyły 16 lat (w Polsce ta granica najprawdopodobniej zostanie obniżona do lat 13). W przypadku zbierania zgód od małoletnich powinieneś wdrożyć mechanizm ustalania wieku osoby udzielającej zgody.
5. Sprawdź, czy jesteś gotowy realizować prawa osób, których dane przetwarzasz
Przeanalizuj i – jeśli to konieczne – wdróż procedury pozwalające na realizację praw osób, których dane są przetwarzane, takich jak: prawo do uzyskania od administratora potwierdzenia, czy dane osobowe są przetwarzane, do uzyskania dostępu do takich danych, prawo do sprzeciwu wobec przetwarzania danych czy też prawo do sprostowania danych.
RODO wprowadza również nowe uprawnienia dla podmiotów danych: prawo do bycia zapomnianym, polegające na tym, że każda osoba może żądać usunięcia dotyczących jej danych osobowych, a administrator musi je usunąć – a także zażądać od podmiotów, którym dane udostępnił, aby usunęli wszelkie łącza do tych danych oraz własne kopie tych danych osobowych. Nowością są też dwa prawa: prawo do ograniczenia przetwarzania w określonych przypadkach oraz prawo do przenoszenia danych, polegające na tym, że każda osoba, której dane dotyczą, ma prawo otrzymać w łatwym do otwarcia pliku komputerowym dane osobowe jej dotyczące oraz zażądać przesłania tych danych innemu administratorowi. Pamiętaj też o obowiązku informowania organu nadzorczego (GIODO) i zainteresowanych osób o dostrzeżonych naruszeniach bezpieczeństwa danych. Upewnij się, że masz możliwości techniczne i potrafisz zrealizować takie prawa.
6. Uzupełnij informacje przekazywane osobom, których dane przetwarzasz
Jednym z kluczowych elementów realizacji praw osób, których dane są przetwarzane – również dzisiaj – jest wykonanie wobec nich obowiązku informacyjnego. RODO znacząco rozszerza zakres informacji, jakie muszą być przekazane osobom, których dane przetwarzasz oraz precyzuje terminy, w których obowiązek informacyjny powinien zostać wykonany. Informacje przekazywane osobom, których dane przetwarzasz, powinieneś napisać jasnym i prostym językiem, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Informacje takie możesz przekazać na piśmie lub w inny sposób, na przykład elektronicznie. Na żądanie informacji możesz też udzielić ustnie, o ile innymi sposobami potwierdzisz tożsamość osoby, której dane dotyczą. Powinieneś zatem przeanalizować zakres i dotychczasowe sposoby realizacji obowiązków informacyjnych i ewentualnie dostosować treść przekazywanych informacji do nowych wymagań.
7. Przejrzyj i aneksuj umowy z procesorami
RODO określa wiele elementów, które powinny znaleźć się w umowie z podmiotem, któremu powierzyłeś przetwarzanie danych osobowych (obecnie zwanym procesorem danych). Powinieneś zatem przejrzeć, a jeśli okaże się to konieczne – aneksować takie umowy. Warto przy tej okazji nałożyć w umowie na procesora szczegółowe obowiązki związane z zabezpieczeniem danych oraz uregulować zakres jego odpowiedzialności za naruszenie zasad przetwarzania danych wynikających z nowych regulacji.
8. Oceń i wdróż środki ochrony danych osobowych
RODO nie precyzuje ani rodzaju, ani zakresu technicznych i organizacyjnych sposobów, w jakie dane osobowe powinny być chronione, przerzucając na Ciebie jako administratora obowiązek oceny, jakiego rodzaju środki będą niezbędne, aby zapewnić danym osobowym bezpieczeństwo i integralność. Wraz z rozpoczęciem stosowania RODO powinieneś zatem dokonać oceny wdrożonych środków, uwzględniając przy jej dokonywaniu stan aktualnej wiedzy technicznej, koszt wdrażania środków technicznych, charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób, których dane są przetwarzane. Jako przykłady środków bezpieczeństwa danych RODO wskazuje pseudonimizację danych osobowych, szyfrowanie danych oraz potrzebę tworzenia kopii zapasowych, nie wskazuje jednak na inne sposoby zapewnienia dostępności i odporności systemów i usług przetwarzania, pozostawiając administratorom i procesorom dobór środków ochrony. Upewnij się też, że realizujesz nowy wymóg, polegający na tym, że zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania, domyślnie przetwarzane są tylko i wyłącznie takie dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.
RODO nie określa również sposobów organizacji przetwarzania danych, jakie powinieneś wdrożyć w celu zapewnienia bezpieczeństwa danych. Tu również samodzielnie musisz dokonać oceny – analogicznej jak przy środkach technicznych – oraz wprowadzić odpowiednie mechanizmy przetwarzania danych. Może to wiązać się z wdrożeniem wewnętrznych regulacji, regulaminów i procedur, którymi objęte zostaną osoby mające dostęp do danych i pracujące przy ich przetwarzaniu. Pamiętaj koniecznie, aby osoby, które przetwarzają dane w Twojej organizacji, miały imienne upoważnienia do przetwarzania danych.
9. Sprawdź, czy potrzebujesz nowej dokumentacji opisującej przetwarzanie danych
Wraz z wprowadzeniem RODO uchylona zostanie dotychczasowa ustawa o ochronie danych osobowych. Co za tym idzie, znikną obowiązki utrzymywania wymaganej do tej pory dokumentacji – polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym. Powstanie jednak obowiązek stworzenia rejestru czynności przetwarzania danych osobowych (w przypadku administratora) bądź rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora (w przypadku procesora), zawierających liczne informacje o procesach przetwarzania, szczegółowo określone w RODO. Warto podkreślić, że obowiązku posiadania takiej dokumentacji nie mają organizacje zatrudniające mniej niż 250 osób, chyba że sposób przetwarzania przez nie danych może powodować ryzyko naruszenia praw osób, których dane są przetwarzane, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych (czyli dane wrażliwe). Niezależnie jednak od tego, czy masz obowiązek prowadzenia takiej dokumentacji, rozważ stworzenie dokumentu, który będzie opisywał prowadzone operacje na danych. Ze względu na to, że RODO zniosło obowiązek rejestracji zbiorów danych, będzie to jedyne źródło wiedzy o przetwarzanych danych, które może okazać się kiedyś bardzo przydatne w przypadku kontroli.
10. Zorganizuj okresową weryfikację środków ochrony danych
Zgodnie z RODO masz obowiązek dokonywania przeglądów i uaktualniania środków zabezpieczenia danych. Zaplanuj i wdróż sposoby dokonywania takich przeglądów i ich dokumentowania.
Dostosowanie przetwarzania danych osobowych do nowych regulacji może być niełatwym zadaniem, ale warto rozpocząć nad nim prace jak najszybciej – tym bardziej, że właśnie kończy się okres przejściowy na takie dostosowanie, który rozpoczął się dwa lata temu wraz z przyjęciem nowego prawa, a zakończy się 25 maja, kiedy wszyscy zaczniemy je stosować.
Autor jest radcą prawnym w kancelarii Doktór Jerszyński Pietras