Od 25 maja 2018 r. zaczną obowiązywać przepisy europejskiego rozporządzenia o ochronie danych osobowych (RODO), które weszło życie 25 maja 2016 roku. Z uwagi na szczególny charakter prawny rozporządzenia, oznaczać to będzie, że wszystkie przepisy materialne tego aktu prawnego będą od tego dnia obowiązywać w Polsce (i wszystkich innych państwach członkowskich UE) bezpośrednio i będą miały bezpośredni skutek. Osoby, których dane przetwarzamy, zyskają możliwość korzystania z przysługujących im nowych uprawnień, takich jak prawo do przenoszenia danych, czy tzw. prawo do bycia zapomnianym. Nowe przepisy wprowadzają bardzo dużo istotnych zmian, u ich podstawy legła bowiem zasada rozliczalności i obowiązek dokonywania szacowania ryzyka związanego z przetwarzaniem danych osobowych.

Proces dostosowywania się do nowych wymagań będzie długotrwały, dlatego przygotowania warto zacząć możliwie najszybciej, aby 25 maja 2018 r. funkcjonujący w naszej organizacji (przedsiębiorstwie) system ochrony danych osobowych był zgody z wymaganiami przepisów RODO. Wyrażone w rozporządzeniu podejście oparte na ryzyku (ang. risk based approach) określa sposób, w jaki należy podchodzić do przetwarzania danych. W każdej sytuacji kiedy zbieramy i korzystamy z danych osobowych, musimy przede wszystkim analizować ryzyko, jakie może to spowodować dla praw i wolności osób, których te dane dotyczą. Zupełnie nową zasadą w systemie ochrony danych wprowadzoną przez RODO jest zasada rozliczalności (ang. accountability). Zgodnie z nią, na każdym administratorze danych spoczywa obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających zgodność w wymogami rozporządzenia (np. poprzez wprowadzenie rozwiązań umożliwiających realizacje praw osób, których dane dotyczą). Od 25 maja 2018 r. każdy administrator – biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych – będzie musiał samodzielnie zdecydować, jakie zabezpieczenia, dokumentację i procedury przetwarzania danych wdrożyć. Innym aspektem tejże zasady, będzie skuteczne wykazanie przez administratora przestrzegania prawa, np. poprzez udokumentowane wdrożenie instrumentów prawnych określonych w rozporządzeniu, takich jak przeprowadzona ocena skutków dla ochrony danych czy wdrożenie zasad privacy by design i privacy by default.

Zawsze, gdy decydujemy się przetwarzać dane osobowe, dobrą praktyką powinno być podejście oparte na poszanowaniu prywatności osób, których te dane dotyczą. Zakłada ono, że ochrona prywatności powinna być brana pod uwagę i stosowana w praktyce przy prowadzeniu wszelkich projektów i działań, tak w sferze publicznej, jak i prywatnej. Tak rozumiana koncepcja privacy by design – jako część każdego podejmowanego projektu, niezależnie od jego charakteru i celu – została sformułowana wiele lat temu przez Ann Cavoukian – b. rzeczniczkę ds. ochrony informacji i prywatności kanadyjskiej prowincji Ontario – jako wynik wieloletnich prac nad utrwaleniem praktyki uwzględniania ochrony prywatności w nowych projektach infrastrukturalnych realizowanych w Kanadzie. Ogólne rozporządzenie o ochronie danych czyni tę koncepcję prawnie wiążącym obowiązkiem. Zgodnie z art. 25 (RODO), administrator ma obowiązek uwzględniać ochronę danych już w fazie projektowania (privacy by design) oraz w drodze realizacji zasady domyślnej ochrony danych (privacy by default). Koncepcja regulacji privacy by design opiera się na założeniu ochrony proaktywnej i prewencyjnej. To proaktywne podejście zakłada, ze ochrona prywatności powinna być wbudowana w każdy nowy projekt, co oznacza, że prywatność będzie chroniona nie poprzez dodatki do systemu lub nakładki przygotowane na już istniejące rozwiązania, lecz jest wbudowana w jego konstrukcję tak, że jest po prostu składową projektu. Zasadę domyślnej ochrony danych należy natomiast rozumieć jako postulat uwzględnienia jak najdalej posuniętych zabezpieczeń prywatności w ustawieniach początkowych każdego systemu. Domyślnie, czyli bez konieczności jakiejkolwiek aktywności osób, których dane dotyczą – i to w kluczowym dla użytkownika momencie przyłączenia się do danego systemu. Co więcej, domyślnie powinny być przetwarzane tylko te dane, które są niezbędne do osiągniecia celu, dla którego zostały zebrane (minimalizacja danych).

Wspomniane rozporządzenie (RODO) wprowadza stosowne procedury kontrolne oraz kary za stwierdzone naruszenia w zakresie przetwarzania danych osobowych. W przypadku stwierdzenia naruszeń przepisów RODO, organ nadzorczy (według projektu ustawy o ochronie danych osobowych będzie to Prezes Urzędu Ochrony Danych Osobowych) dysponuje szeregiem środków naprawczych oraz administracyjnych kar pieniężnych, które mogą być stosowane łącznie, w zależności od okoliczności każdego indywidualnego przypadku. Artykuł 83 rozporządzenia, stanowi, że każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu administracyjne kary pieniężne, za naruszenia niniejszego rozporządzenia były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Decydując o nałożeniu kary oraz ustalając jej wysokość, organ nadzorczy zwraca w każdym indywidualnym przypadku należytą uwagę na m.in.: charakter, wagę i czas naruszenia, umyślny lub nieumyślny charakter naruszenia, działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, wdrożone u administratora środki organizacyjne oraz techniczne, czy też sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, a w szczególności, czy i w jakim zakresie przedsiębiorca zgłosił naruszenie. Kary za naruszenia przepisów RODO mogą być dotkliwe, rozporządzenie przewiduje bowiem np. administracyjną karę pieniężną w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) za naruszenia przepisów związane z m.in.: brakiem powołania IOD w przypadkach obligatoryjnych, brak informowania organu nadzorczego o naruszeniach w zakresie ochrony danych osobowych czy też za nieprzestrzeganie obowiązków związanych z certyfikacją przedsiębiorcy przez stosowny podmiot. Nałożenie na przedsiębiorcę powyższej administracyjnej kary pieniężnej nie zwalnia go z ewentualnej odpowiedzialności cywilnej wobec osób, których dane dotyczą.

Najistotniejsze jest, aby nie zostawiać przygotowania swojej organizacji do stosowania rozporządzenia na ostatnią chwilę. Warto wykorzystać czas, który pozostał do momentu stosowania rozporządzenia na rzetelny przegląd wszystkich prowadzonych czynności przetwarzania danych, tak by 25 maja 2018 r. móc już wykazać zgodność z nowymi przepisami. Aby umożliwić Państwu zapoznanie się z najważniejszymi elementami polityki ochrony danych osobowych oraz obowiązkami wynikającymi z Rozporządzenia Parlamentu Europejskiego i Rady […] (RODO), przygotowaliśmy szkolenie pt. „RODO – aspekty praktyczne”.

Więcej informacji o tym i innych szkoleniach oraganizowanych przez CSP na stronie spcentrum.pl, oraz na naszym fanpage-u pod adresem: https://www.facebook.com/spcentrum/.

Damian Tobór