W najnowszym numerze magazynu Computerworld ukazał się tekst adw. Joanny Mamczur “RODO za pięć dwunasta”:
https://www.computerworld.pl/news/RODO-za-piec-dwunasta,410157.html
Poniżej znajdziecie Państwo tekst publikacji:
Wchodzi w życie rozporządzenie o ochronie danych osobowych. Poniżej przedstawiamy 10 wskazówek, które pomogą ustalić, na jakim etapie compliance, czyli dostosowania do nowych wymogów prawnych, jest twoja organizacja.
25 maja 2018 r. wchodzą w życie nowe unijne przepisy o ochronie danych osobowych – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) powszechnie znane jako RODO lub GDPR (ang. General Data Protection Regulation).
1. Świadomość zakresu zmian
Upewnij się, że w twojej organizacji co najmniej osoby na stanowiskach kierowniczych oraz osoby mające dostęp do danych osobowych zdają sobie sprawę z obowiązków wynikających z RODO, rozumieją je, wiedzą, jak zakomunikować je pozostałym pracownikom i mają świadomość, jaką dokumentację powinniście prowadzić.
Bez sprawdzenia poziomu wiedzy personelu odpowiedzialnego za przetwarzanie danych nie będzie możliwe prawidłowe zlokalizowanie zagrożeń dla danych osobowych i zapobieganie im.
2. Przegląd posiadanych danych osobowych
Wdrożenie RODO to świetna okazja do przeanalizowania i zreorganizowania zgromadzonych dotychczas danych osobowych. Robiąc to, powinieneś odpowiedzieć sobie na kilka pytań:
• W jakim celu przechowuję dane osobowe?
• Czy dla spełnienia założonego celu możemy zbierać mniej danych osobowych?
• Czy dla realizacji naszych celów przetwarzania danych (np. prowadzenia statystyk) wystarczyłyby zanonimizowane dane?
• Czy dostęp do danych mają tylko ci pracownicy, którym jest on niezbędny do pracy?
Zgodnie z RODO przechowywanie danych to również forma przetwarzania. Tym samym pozbywając się niepotrzebnych danych osobowych, zmniejszamy ryzyko nieuprawnionego dostępu do danych przez osoby trzecie oraz sankcji administracyjnych.
3. Podstawy prawne przetwarzania
Biorąc pod uwagę, że na administratorze ciąży obowiązek wykazania, iż przetwarzanie odbywa się zgodnie z prawem, już dziś powinieneś określić, która z podstaw będzie dla ciebie najdogodniejsza ze względu na charakter prowadzonej działalności.
Czasami wystarczy odwołanie się do konieczności wynikającej z wykonywania umowy czy obowiązków ustawowych. Zadbaj wówczas, aby dokumenty określające warunki świadczenia usług przez twoją firmę – umowy, regulaminy świadczenia usług, polityka prywatności etc. – jasno określały, na czym polega usługa i jakim zakresie oraz dlaczego do jej realizacji będzie niezbędne przetwarzanie danych osobowych, o których udostępnienie prosisz swojego klienta.
W innych wypadkach zastosowanie znajdzie zgoda na przetwarzanie danych osobowych. Sprawdź, czy formularze dotyczące udzielania zgody są zgodne z przepisami. W szczególności należy zadbać o to, by osoba wypełniająca formularz mogła sama zdecydować, na które cele i zakresy przetwarzania wyraża zgodę, a na które nie chce jej udzielić.
Warto dokładnie przyjrzeć się tej kwestii, bo nawet najbezpieczniejszy system przetwarzania bez odpowiedniej podstawy prawnej będzie niezgodny z przepisami RODO.
4. Rejestr czynności przetwarzania
Większość administratorów danych osobowych będzie zobligowana do prowadzenia rejestru czynności przetwarzania danych osobowych. Rejestr taki na żądanie Urzędu Ochrony Danych Osobowych należy udostępniać w celu kontroli realizowanego przez siebie przetwarzania. I choć nie ustalono jego jednej, ustandaryzowanej formy, to RODO wskazuje, że w rejestrze należy ująć informacje:
• identyfikujące administratora
• o celach przetwarzania
• o kategoriach osób i kategoriach ich danych (ze specjalnymi kategoriami, np. danymi dotyczącymi stanu zdrowia łączą się dodatkowe wymagania prawne)
• o współpracy międzynarodowej, transferze danych poza UE
• o środkach technicznych stosowanych w celu zabezpieczenia danych
• o planowanych terminach usunięcia danych (jeśli takowe są oznaczone).
Obowiązek prowadzenia rejestru przetwarzania dotyczy także podmiotów przetwarzających dane osobowe (potocznie zwanych także procesorami danych).
Obowiązek taki nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, jakiego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych (dane wrażliwe) lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa. Zatem jeśli twoja firma jest narażona na ryzyko naruszenia praw osób indywidualnych lub przetwarza szczególne kategorie danych, będziesz musiał zadbać o prowadzenie rejestru.
5. Powiadomienia
RODO zapewnia osobom, których dane dotyczą, szereg praw. Administratorzy zaś będą musieli je o tych prawach poinformować. Zazwyczaj należy robić to z chwilą pozyskania danych, chyba że te nie pochodzą bezpośrednio od osoby, której dotyczą; wtedy poinformować należy w „rozsądnym terminie”, nie dłuższym od miesiąca.
W praktyce oznacza to konieczność przeredagowania umieszczanych na stronach internetowych pouczeń, bieżącego informowania o zmianie celu, okresu lub sposobu przetwarzania albo też zmiany podejścia do samej czynności pozyskiwania danych. Już na tym etapie przy niejasnych lub nierzetelnych komunikatach istnieje bowiem ryzyko dopuszczenia się zaniedbań.
Wyjątkiem od tego obowiązku będzie zasadniczo sytuacja, w której osoba indywidualna dysponuje już wspomnianymi informacjami.
6. Prawa osób, których dane dotyczą
Podstawowym uprawnieniem przyznanym osobom indywidualnym przez RODO jest prawo dostępu do ich danych osobowych. Dla administratora oznacza to konieczność umożliwienia im złożenia odpowiedniego wniosku, techniczną możliwość wydobycia z systemu pełnych danych jednej osoby oraz zdolność zrobienia tego w ciągu miesiąca. Jednakże obok tego uprawnienia znajdują się i inne, takie:
• prawo do sprostowania nieprawidłowych danych (i wstrzymania przetwarzania do tego czasu);
• prawo do bycia zapomnianym w przypadku odpadnięcia podstawy prawnej (wiąże się to z obowiązkiem poinformowania współadministratorów, którym przekazaliśmy dane);
• prawo do mobilności danych oznaczające konieczność udostępnienia danych w formacie pozwalającym na wprowadzenie ich do innego systemu (np. pdf);
• prawo do sprzeciwu, gdy przetwarzanie dotyczy marketingu bezpośredniego lub opiera się na uzasadnionym interesie administratora lub wykonywaniu władzy publicznej.
Sprawdź, czy twoja organizacja jest gotowa technicznie i organizacyjnie do realizacji powyższych uprawnień osób indywidualnych.
7. Inspektorzy i ocena skutków
Inspektor Ochrony Danych to osoba (pracownik albo zakontraktowany podmiot zewnętrzny) sprawująca pieczę nad wszystkim, co w danej organizacji dotyczy danych osobowych. Odpowiada za zgodność procedur z prawem, raportuje potencjalne zagrożenia i stanowi pierwszą linię kontaktu dla osób egzekwujących swoje prawa. Jego wyznaczenie jest obowiązkowe dla podmiotów publicznych oraz tych, których działalność wiąże się ze stałym monitorowaniem zmieniających się danych osobowych lub przetwarzaniem na dużą skalę specjalnych kategorii danych. Jednak nawet gdy nie ma takiego obowiązku, jego powołanie będzie istotnym krokiem w stronę zwiększenia bezpieczeństwa.
Ocena Skutków dla Ochrony Danych to natomiast proces ciągłej analizy ryzyka. Należy przeprowadzać je, gdy przetwarzanie „może prowadzić do wystąpienia wysokiego ryzyka dla praw i wolności osób fizycznych”. I choć jest to pojęcie bez szczegółowej definicji, należy przyjąć, że ocena niezbędna będzie w większości przypadków przetwarzania danych osobowych z wykorzystaniem nowoczesnych technologii, w tym rozwiązań opartych na cloud computingu.
W praktyce oznacza to przygotowywanie dla nowych operacji przetwarzania raportów określających ich podstawę prawną, cele, sposoby, ryzyka oraz środki zaradcze.
8. SaaS i umowy z partnerami biznesowymi
Jako administrator danych ponosisz odpowiedzialność nie tylko za siebie, ale również za podmioty zewnętrzne, które dopuszczasz do przetwarzania. Dlatego tak ważne jest wykorzystanie pozostałych do implementacji miesięcy na przyjrzenie się umowom łączącym cię z kontrahentami.
Sprawdź, w jakim stopniu partnerzy gwarantują własną zgodność z RODO, jak dużą swobodę mają w udostępnianiu danych innym podmiotom przetwarzającym, na ile są w stanie wyjść na przeciw uprawnieniom osób indywidualnych i co stanie się z danymi po zakończeniu waszej współpracy.
Ustal, czy posiadasz partnerów biznesowych z siedzibą poza Unią Europejską. Jeśli przekazujesz dane osobowe do takich krajów, powinieneś o tym poinformować osoby, których dane przetwarzasz, i w sposób szczególny zadbać o zapewnienie bezpieczeństwa tych danych. W pierwszej kolejności sprawdź, jaki poziom ochrony danych osobowych jest wymagany w krajach, w których działają twoi partnerzy biznesowi. W większości przypadków istotne będzie narzucenie kontrahentom spoza Europejskiego Obszaru Gospodarczego (EOG) standardów przetwarzania danych zgodnych z RODO i egzekwowanie przestrzegania tych wymogów.
Jeśli posiadasz licencje na oprogramowanie typu SaaS, w szczególności funkcjonujące na podstawie rozwiązań chmurowych, ustal, czy serwery znajdują się na obszarze EOG lub na terytorium kraju uznanego przez Komisję Europejską za zapewniający adekwatny poziom bezpieczeństwa dla danych osobowych. Fizyczna lokalizacja serwerów przetwarzających dane osobowe jest niezwykle istotna z punktu widzenia odpowiedzialności za przestrzeganie RODO. Niestety, w praktyce wielu dostawców oprogramowania nie jest w stanie udzielić jednoznacznej odpowiedzi, z jakich serwerów korzysta.
To ostatni dzwonek na wynegocjowanie nowych postanowień, wprowadzenie niezbędnych poprawek, zweryfikowanie wiarygodności lub też na zmianę kontrahenta.
9. Czynnik ludzki
W odniesieniu do wielu dziedzin mówi się, że najczęściej zawodzi człowiek. W kwestii ochrony danych nie jest inaczej. Nawet najlepiej zaprojektowane systemy nie zapobiegną zwykłej ludzkiej nieodpowiedzialności. Powinieneś zadbać o przeszkolenie personelu w zakresie podstawowych zasad bezpieczeństwa informacji oraz poinformować, jak brzemienne w skutkach może być kliknięcie w podejrzany link albo np. podłączenie do komputera przypadkowego pendrive’a.
Temat inżynierii społecznej i analizy behawioralnej jest kluczowy z punktu widzenia zapewnienia bezpieczeństwa danych w firmie, zarówno w odniesieniu do danych przetwarzanych w tradycyjnej formie papierowej, jak i danych przetwarzanych elektronicznie.
10. W przypadku włamania
Ustal procedury reagowania na incydenty dotyczące naruszenia bezpieczeństwa danych osobowych. Niezbędne jest ustalenie zasad wewnętrznej komunikacji, w tym przypadku, zebranie danych dotyczących przyczyn naruszenia i zaraportowanie zdarzenia do organu nadzoru w ciągu 72 godzin od wykrycia naruszenia.
W notyfikacji takiej powinien znaleźć się opis strat, przewidywane konsekwencje oraz proponowane lub przedsięwzięte środki zaradcze. Jednakże w przypadku wysokiego ryzyka naruszenia praw i wolności osób, których dane przetwarzasz, będziesz również zobowiązany do bezzwłocznego ich poinformowania.
RODO zostaje na co dzień
Powyższe wskazówki nie wyczerpują tematu wdrożenia RODO w organizacji, ani nie wskazują pełnej listy obowiązków wynikających z tej regulacji. Temat przetwarzania danych, przygotowania systemów informatycznych do wymogów RODO, przeszkolenia personelu, reagowania na zdarzenia prowadzące do naruszenia bezpieczeństwa danych jest niezwykle obszerny, stąd rekomendowane jest indywidualne podejście do każdej organizacji: przeprowadzenie audytu gotowości na wymogi RODO, zidentyfikowanie tzw. compliance gap (tzn. jaka jest rozbieżność między wymogami stawianymi przez RODO a faktycznym stanem gotowości organizacji), przygotowanie dokumentów wymaganych przez RODO oraz przeszkolenie personelu. Wszystkie te działania powinny mieć ścisły związek ze specyfiką struktury konkretnej firmy lub organizacji oraz przedmiotu jej działalności.
Należy przy tym pamiętać, że wdrożenie RODO to nie jest jednorazowy proces. To sposób myślenia o bezpieczeństwie informacji, ze szczególnym uwzględnieniem danych osobowych; przygotowanie systemów informatycznych, dokumentacji tak, by długofalowo, w perspektywie kolejnych lat wprowadzić i ugruntować politykę dbania o bezpieczeństwo danych na co dzień w każdym aspekcie funkcjonowania firmy.