Nowe Rozporządzenie UE o ochronie danych osobowych – Rozdział IV (odc. 5/10)

Komentarz (1) Biznes, porady ekspertów, Prawo i Podatki

Prezentujemy Państwu kolejną część analizy Rozporządzenia Parlamentu i Rady UE 2016/679 ujednolicające zasady ochrony danych osobowych w Unii Europejskiej (General Data Protection Resolution; GDPR). W tym cyklu chcielibyśmy zaprezentować kluczowe regulacje objęte wspomnianym aktem prawnym, gdyż już od maja 2018 roku każdy administrator danych osobowych będzie zobowiązany stosować je bezpośrednio, niezależnie od postanowień aktów prawa krajowego.

Rozdział IV GDPR obejmuje cały szereg przepisów, które w dużym skrócie można określić, jako zapewniające bezpieczeństwo przetwarzania danych osobowych. Szczególnie w tym rozdziale objawiają się zmiany, na jakie powinni przygotować się administratorzy przed majem 2018 roku. Poniżej postaramy się omówić najważniejsze z tych modyfikacji oraz przedstawić nowe instytucje wprowadzane przez Rozporządzenie.

Administrator sam decyduje o tym, jak chronić dane

Jedną z podstawowych idei GDPR jest elastyczność przewidywanych mechanizmów bezpieczeństwa. Jest to na pewno cecha, której brakuje ustawie polskiej. Nasza legislacja próbuje bowiem tak różnorodny proces, jakim jest przetwarzanie danych osobowych, ująć i zamknąć w instytucjach uniwersalnych dla wszystkich odbiorców. GDPR stawia zaś na rozwiązania „szyte na miarę”, przy czym każdy z administratorów ma być sam sobie krawcem.

Zgodnie z GDPR zadaniem administratora danych osobowych jest przede wszystkim ocena zakresu, kontekstu i celów przetwarzania, a także ryzyka, jakie ono za sobą niosą i na podstawie takiej oceny wdrożenie odpowiednich środków technicznych i organizacyjnych. Ciężar wyboru odpowiednich środków jest więc przesunięty na administratora, ale co najważniejsze pozwala mu swobodnie zdecydować, jak te środki ukształtować, by były adekwatne do przetwarzanych przez niego danych osobowych.

Tak to wygląda w teorii. W praktyce stworzy to jednak nowy obowiązek dla administratora danych osobowych, który będzie musiał dokładnie zdiagnozować ryzyka, jakie mogą pojawić się w procesie dokonywanego przez niego przetwarzania i odpowiednio je zaadresować. Od administratora wymagać się będzie więcej niż tylko implementacji „uniwersalnej” Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym, jak to wielokrotnie ma miejsce obecnie.

W preambule Rozporządzenia znajdziemy wytyczne, wskazujące, że zastosowane środki powinny uwzględniać charakter, zakres, kontekst i cel przetwarzania danych oraz ryzyko naruszenia praw i wolności osób fizycznych. Jak jednak stwierdzić, że przetwarzanie, którego dokonujemy, rodzi takie ryzyko? W odpowiedzi na to pytanie pomoże nam motyw 75 preambuły, w którym wymienia się przykłady takich ryzyk, a wśród nich między innymi następujące zagrożenie po stronie osoby fizycznej: dyskryminacja, kradzież tożsamości, strata finansowa czy naruszenie dobrego imienia, naruszenie poufności danych chronionych tajemnicą zawodową. Za rodzące ryzyko naruszenia uznane jest również przetwarzanie danych szczególnych (wyznanie, przekonania, uzwiązkowienie, dane genetyczne etc.), a także np. ocenianie aspektów osobowych dotyczących efektów pracy, sytuacji ekonomicznej, preferencji, zainteresowań, wiarygodności, lokalizacji lub przemieszczania się osób, w celu tworzenia profili osobowych. Za rodzące ryzyko naruszeń uznaje się też, niezależnie od celów i środków, przetwarzanie danych dotyczących dzieci.

Po dokonaniu oceny zagrożeń administrator powinien wdrożyć odpowiednie środki, które przykładowo wymienia art. 32 GDPR, a które mają pozwolić odpowiednio zabezpieczyć dane osobowe. Warto wspomnieć, że administrator został zobowiązany do bieżącej weryfikacji, czy w toku prowadzonego przetwarzania podejmowane przez niego środki pozostają dalej adekwatne. To na nim też spoczywać będzie ciężar wykazania, co wprost wyraża GDPR, że zaprojektowane środki bezpieczeństwa są stosowane oraz, że są one odpowiednie do zagrożeń na każdym etapie przetwarzania.

Przede wszystkim prywatność

W tej części Rozporządzenia objawia się również wielokrotnie powtarzane motto przewodnie reformy ochrony danych osobowych – privacy by design / privacy by default. Pod tymi hasłami kryją się kolejne dwa obowiązki administratora.

Po pierwsze przy każdej operacji, która może dotykać obszaru danych osobowych, należy bezwzględnie zbadać i ocenić jej skutek dla praw i wolności osób, których te dane dotyczą – tzn. wziąć pod uwagę tę problematykę już na etapie projektowania pewnych rozwiązań (privacy by design). Po drugie zaś, jakiegokolwiek projektu byśmy nie chcieli zrealizować, powinien on domyślnie być nastawiony na zbieranie najmniejszej możliwej ilości danych. Przekładając to na praktyczny przykład – zabronione jest skonstruowanie takiego systemu na stronach internetowych, który domyślnie zaznacza checkboxy ze zgodą na przetwarzania danych. Domyślnie bowiem należy przyjąć brak zgody, a dopiero odpowiednie zachowanie podmiotu danych może ten stan zmienić.

Samodzielna ocena skutków wdrażanych rozwiązań

Mając na uwadze wskazane wytyczne, administrator ma szczególny obowiązek samodzielnej oceny skutków, jakie wdrażane przez niego nowe formy przetwarzania danych osobowych mogą wywołać. Obowiązki te regulują art. 35 i 36 GDPR.

Po pierwsze więc, przed wdrożeniem danego rodzaju przetwarzania danych osobowych w podmiocie, administrator winien szczegółowo zidentyfikować, jakie skutki takie przetwarzanie może mieć dla danych osobowych. Jeśli w konsekwencji takiej samooceny administrator (wedle swojej najlepszej wiedzy) ustali, że nowa forma przetwarzania powodowałaby wysokie ryzyko naruszenia praw i wolności osób fizycznych, jeśli nie zastosuje się odpowiednich środków minimalizujących takie ryzyko, powinien on skonsultować ten fakt z organem nadzorczym (GIODO).

W praktyce jest to więc kolejny obowiązek administratora, którego zaniedbanie może wiązać się z sankcjami, jeśli zostanie ustalone, że wdrażany sposób przetwarzania powinien był być skonsultowany z ogranemu przed jego wdrożeniem, a nie został. W przypadku zaś, jeśli w wyniku przetwarzania danych osobowych w taki nieskonsultowany sposób dojdzie do faktycznego naruszenia konkretnych danych osobowych osoby fizycznie, brak konsultacji będzie niechybnie okolicznością dodatkowo obciążającą administratora, mającą wpływ na wymiar sankcji, jaka zostanie na niego nałożona (w praktyce pewnie – wybór kary pieniężnej w ramach przewidzianych widełek).

Nowy rejestr

Warte uwagi są również postanowienia Rozporządzenia dotyczące rejestru czynności przetwarzania. Nazwa może być myląca, gdyż oczywiście nie nakłada na administratora obowiązku ujmowania w tymże rejestrze każdej pojedynczej operacji na danych osobowych, a raczej rodzajów aktywności, jakie się w tym zakresie prowadzi.

Rejestr ten powinien obejmować szereg informacji, które szczegółowo wskazuje art. 30 GDPR. Już na pierwszy rzut oka można natomiast zaobserwować, iż informacje te są mocno zbliżone do tych, które dziś gromadzi się w wykazie zbiorów danych osobowych oraz rejestrze zbiorów danych, prowadzonych na podstawie aktów wykonawczych do ustawy o ochronie danych osobowych. Należy więc podejrzewać, że rejestr czynności przetwarzania z art. 30 GDPR będzie następcą tych dokumentów. Ustawodawca europejski co prawda ogranicza krąg adresatów obowiązku prowadzenia rejestru, lecz jeśli tylko uznamy, że dokonywane przez nas przetwarzanie nie ma charakteru incydentalnego, to na ograniczenie się nie załapiemy (szczegóły dotyczące wyjątków znajdziemy w art. 30 ust. 5 GDPR).

Po stwierdzeniu naruszenia trzeba działać szybko

Nieprzyjemną niespodzianką dla administratorów może okazać się kolejna nowa instytucja, którą wprowadza GDPR. Obowiązki notyfikacyjne, które obciążają administratorów w razie stwierdzenia naruszenia ochrony danych osobowych są bowiem istotną nowością w stosunku do tego, jak proces ochrony danych wygląda obecnie. Zanim bowiem dojdzie do realnej szkody w wyniku naruszenia (ziszczenia się ryzyka), administrator ma obowiązek zawiadomić organ nadzoru (a więc GIODO) o wystąpieniu takiego naruszenia w zarządzanym przez siebie podmiocie! Nie będzie już więc mowy o próbie samodzielnego poradzenia sobie z sytuacją kryzysową przez przedsiębiorcę, gdyż brak odpowiedniej notyfikacji sam w sobie stanowić będzie naruszenie zasad ochrony danych osobowych. Warto dodać, że na notyfikację administrator ma jedynie 72 godziny (i nie są to godziny robocze, tak więc naruszenie stwierdzone w piątek popołudniu, winno być przedstawione GIODO nie później niż pod koniec dnia roboczego w poniedziałek).

To jednak nie koniec obowiązków notyfikacyjnych po stronie administratora. Jeśli bowiem naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (wytyczne, jak to stwierdzić, zostały opisane w pierwszej części tego artykułu), administrator musi niezwłocznie powiadomić o tym fakcie również osobę, której danych naruszenie dotyczy.

Podmioty uczestniczące w procesie przetwarzania

Na koniec warto zauważyć, że w rozdziale IV Rozporządzenia wspominane są także podmioty uczestniczące w procesie przetwarzania danych osobowych. Warto zwrócić szczególną uwagę na:

  • współadministratorów – GDPR reguluje coś, co pozostawało w sferze niejasności pod rządami polskiej ustawy i wprost dopuszcza, aby jeden zbiór danych posiadał dwóch lub więcej administratorów; współadministratorzy winni uregulować miedzy sobą w szczególności zakresy swojej odpowiedzialności za dane zebrane w zbiorze;
  • podmioty przetwarzające – tj. podmioty, o których mowa w art. 31 polskiej ustawy, które wykonują czynności przetwarzania na zlecenie administratora (powierzenie przetwarzania); warto wskazać, że GDPR wprowadza wymóg uzyskania zgody administratora danych na dokonanie podzlecenia czynności przetwarzania kolejnemu podmiotowi, a jednocześnie nie przewiduje, by sama umowa powierzenia przetwarzania (w przeciwieństwie do art. 31 ustawy) wymagała formy pisemnej (co oczywiście nie wyklucza, że polski ustawodawca takiej formy nie będzie wymagał);
  • inspektor ochrony danych – ma on zastąpić ABI; GDPR przewiduje mechanizmy, które mają zapewnić większą niezależność inspektora ochrony danych osobowych w organizacji, a także przyznanie mu narzędzi, których dziś nie posiada ABI (regulacje dotyczące pozycji ABI są bowiem dziś w Polsce szczątkowe, żeby nie powiedzieć nieistniejące).

Omówione w powyższym artykule instytucje rozdziału IV GDPR bardzo wyraźnie obrazują kierunek, w którym zmierza europejska reforma ochrony danych osobowych, tj. samoregulacji środków ochrony, zwiększonej odpowiedzialność administratora za przyjęte rozwiązania oraz transparentności procesu przetwarzania. Kluczowym pytaniem na dziś – na rok przed wejściem do stosowania przepisów Rozporządzenia – jest to, czy polscy administratorzy są już gotowi na nadchodzące zmiany.

Grzegorz Rutkowski

Putz | Skrobich Kancelaria Prawna

ul. Ofiar Oświęcimskich 17, p. II, 50-069 Wrocław

tel. 71 780 01 75 | 516 822 671

www.ps-legal.pl

Udostępnij...Share on FacebookTweet about this on TwitterShare on LinkedInEmail this to someone