RODO. Nowe wyzwania (także) dla przewoźników

Przeczytaj także: Przedsiębiorca i RODO – wywiad z mec. Mateuszem Grzechem

Nowe przepisy przyjęte zostały w formie rozporządzenia UE, co oznacza bezpośrednie stosowanie przepisów przez wszystkich przedsiębiorców przetwarzających dane osobowe na terytorium Unii Europejskiej. RODO wejdzie w życie bez konieczności implementacji polską ustawą. Wszystko w celu ujednolicenia zasad ochrony danych osobowych we Wspólnocie.

Połowa firm nic nie wie

Prawo dotyczy przedsiębiorstw oraz instytucji przetwarzających lub gromadzących dane osobowe osób z krajów członkowskich. Spełnienie restrykcyjnych wymagań Rozporządzenia oznacza, że wszystkie podmioty rejestrujące, przetwarzające i udostępniające informacje o osobach fizycznych będą musiały przejść przez proces weryfikacji wewnętrznych procedur przetwarzania danych osobowych oraz bezpieczeństwa teleinformatycznego. Obecnie, według przeprowadzonych w połowie 2016 roku przez ARC Rynek i Opinia² badań, ponad połowa (52 procent) polskich firm nie słyszała o unijnym Rozporządzeniu o ochronie danych. Ponad dwie trzecie (67 procent) z nich nie zdaje sobie sprawy z tego, od kiedy ma ono obowiązywać i jakie działania należy podjęć w celu wdrożenia.

Przepisy obejmują wszystkie podmioty gromadzące i wykorzystujące dane dotyczące osób fizycznych. Eksperci mówiąc o nowych zasadach używają nawet stwierdzenia, że RODO ma zastosowanie dla każdego. Trudno się z tym nie zgodzić patrząc na kategorie przedsiębiorców. Jednak w samym tekście Rozporządzenia 2016/679 można wyróżnić grupy podmiotów, których zastosowanie Rozporządzenia nie dotyczy. Nie ma on bowiem charakteru uniwersalnego.

Wyjątki od regulacji

RODO nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli de facto bez związku z działalnością zawodową lub handlową. Może być to między innymi korespondencja i przechowywanie adresów, podtrzymywanie więzi społecznych także z wykorzystaniem mediów internetowych. Rozporządzenie nie dotyczy również przetwarzania informacji osobowych w ramach działalności nieobjętej zakresem prawa UE (np. sprawy związane z bezpieczeństwem narodowym), a także do działalności związanej z przetwarzaniem danych przez instytucje unijne czy też dyplomatyczne.

Do tego dochodzi działalność właściwych organów w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Należy przy tym zaznaczyć, że co do zasady RODO ma zastosowanie do działań sądów i innych organów wymiaru sprawiedliwości, jednak właściwość organów nadzorczych nie powinna dotyczyć przetwarzania danych w ramach sprawowania wymiaru sprawiedliwości.

Poniżej prezentujemy najważniejsze zmiany jakie wynikają z wprowadzenia RODO, istotne z punktu widzenia przedsiębiorcy.

Kary finansowe

Trzeba się liczyć z dotkliwymi karami finansowymi za brak wdrożenia i przestrzegania nowych przepisów dotyczących ochrony danych osobowych. Firmom grożą pieniężne konsekwencje w wysokości: od 10 do 20 mln euro lub od 2 procent do 4 procent wartości rocznego, światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa. Kary będą nakładane proporcjonalnie w zależności od skali naruszenia przepisów.

Bezpośrednia odpowiedzialność

Za naruszenie przepisów o ochronie danych osobowych odpowiadać będzie szef firmy (jednostki, szkoły, urzędu). Odpowiedzialność jest bezpośrednia i powołanie inspektora ochrony danych osobowych, czy wynajęcie firmy zewnętrznej w tym obszarze nie zwalnia z tej odpowiedzialności. Dlatego każdy prezes, dyrektor, wójt, burmistrz, prezydent miasta powinien dobrze się przygotować i wdrożyć RODO. Szef organizacji odpowiada zarówno przed urzędem kontroli, jak i przed sądem cywilnym czy karnym. Nie może cedować tych działań na innych pracowników.

Inspektor Ochrony Danych (IOD)

To nowa osoba w organizacji, odpowiedzialna za bezpieczeństwo danych, ale też raportowanie naruszeń do urzędu kontroli. Dotychczasowy administrator danych osobowych (ABI) przestaje istnieć. Powołanie IOD jest obligatoryjne dla podmiotów, które prowadząc swoją działalność, przetwarzają takie rodzaje danych, których brak należytego zabezpieczenia może spowodować naruszenie praw i wolności osób fizycznych np. dzieci.

Obligatoryjnie IOD muszą powołać między innymi:

• Organy i podmioty publiczne np.: szkoły, uczelnie publiczne, urzędy gmin, jednostki pomocy społecznej, spółki komunalne itp.
• Firmy, które regularnie i systematycznie przetwarzają i monitorują dane osobowe np. firmy telekomunikacyjne, reklamowe, badawcze, ubezpieczyciele, marketingowe itp.
• Szpitale, przychodnie.

IOD powinien posiadać wiedzę ekspercką w zakresie ochrony danych osobowych, aby odpowiednio kierować polityką bezpieczeństwa danych w organizacji.

Zgłoszenie i rejestracja naruszeń

IOD będzie miał obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych mogących skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone w czasie do 72 godzin od naruszenia. Zrobi to bezpośrednio do właściwego organu nadzoru - w nieprzekraczalnym terminie 3 dni, niezależnie od powiadomienia przełożonych. W niektórych przypadkach należy również poinformować o takim incydencie konkretne osoby, „ofiary wycieku informacji”, w szczególności w przypadku wystąpienia dużego ryzyka naruszenia ich praw lub swobód.

RODO wprowadza także obowiązek prowadzenia rejestru naruszeń. IOD musi dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia przepisów, jego skutki oraz podjęte działania zaradcze. Dokumentacja musi pozwolić organowi nadzorczemu zweryfikować, czy firma przestrzega postanowień RODO w tym zakresie, czyli zgłasza naruszenia ochrony danych osobowych do organu nadzorczego.

Analiza ryzyka

Przeprowadzenie analizy ryzyka będzie obowiązkowe przed podjęciem działań „wysokiego ryzyka”, takich jak np.: przetwarzanie danych dotyczących zdrowia (fizycznego, psychicznego, korzystania z usług medycznych), danych dzieci, danych wrażliwych. Analiza ryzyka powinna zapewnić wykazanie się starannością co do poprawności przetwarzania danych, szczególnie przed organem nadzorczym w momencie kontroli.

Ograniczenia profilowania

Dojdzie do ograniczeń w zakresie profilowania włączając w to obowiązek otrzymania zgody na profilowanie przed rozpoczęciem zbierania danych. Do tego dochodzi surowy obowiązek informowania o profilowaniu oraz konieczność akceptacji braku zgody na profilowanie.

Pomimo powszechności profilowania, obecnie nie ma definicji prawnej tego pojęcia. Pojawi się ona od 25 maja 2018 roku. Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych. Polega na ich wykorzystaniu do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów jej pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Co to oznacza dla pracodawców? Powinni oni przeanalizować, czy narzędzia, które pozornie służą „tylko" monitorowaniu efektywności pracy pracowników stanowią przypadek profilowania. Za przykład służyć mogą systemy rejestracji czasu pracy pracowników i automatyczne sporządzanie raportów z ich efektywności. Trzeba ocenić, czy narzędzia rodzą dodatkowe obowiązki po stronie pracodawcy (jak na przykład obowiązek oceny skutków przetwarzania). Należy również zastanowić się nad podstawą prawną takiego profilowania – być może w omawianym kontekście będzie to uzasadniony interes pracodawcy. W przeciwnym razie, w celu zastosowania oprogramowania mierzącego efektywność pracy pracowników konieczne byłoby zbieranie zgód tych osób.

Zgody i weryfikacja podstaw przetwarzania

Kolejne wymogi dotyczą nowych lub uzupełnionych zasad uzyskiwania ważnych i weryfikowalnych zgód na przetwarzanie danych osobowych od osób, których informacje dotyczą.

Przed rozpoczęciem przetwarzania danych osobowych w pierwszej kolejności należy ustalić, czy istnieją podstawy prawne uprawniające do takiego działania. Na wstępie wymagana jest dobrowolna zgoda podmiotu, o którym informacje mają być przetwarzane. Szczególną rolę odgrywa to w stosunkach prawa pracy, gdzie faktyczna pozycja ekonomiczna pracodawcy jest zwykle znacznie silniejsza niż pracownika i istnieje groźba wymuszenia na pracowniku określonych zachowań. Dlatego, należy najpierw dostosować formularze zgód na przetwarzanie takich danych osobowych, a następnie przejrzeć ich treść. Kwestionariusze te muszą być sformułowane w sposób jasny i napisane zrozumiałym językiem – zgodnie z zasadą przejrzystości.

Nowe procedury i klauzule

Konieczność opracowania i wdrożenia procedur oraz środków zapewniających bezpieczeństwo przetwarzanych danych osobowych, w tym metod regularnego testowania i oceny ich skuteczności - to odpowiedzialność administratora danych w świetle RODO. Nowe obowiązki to poważne wyzwanie dla administratora, ze względu na brak „gotowych” rozwiązań/regulacji. RODO nie wskazuje wprost jakie dokumenty, procedury i polityki należy wdrożyć. Ogólnie wspomina, że to podmiot musi się wykazać starannością w zabezpieczeniu tych procesów, aby podczas przetwarzania nie doszło do nieprawidłowości. Administrator na etapie pozyskiwania danych osobowych, będzie zobowiązany, m.in. do podania nowych informacji np.: o podstawie prawnej przetwarzania, danych kontaktowych do IODO, okresie ich przechowywania, prawie do przenoszenia, prawie wniesienia skargi do organu nadzorczego, cofnięcia zgody na przetwarzanie informacji w dowolnym momencie itp.

Inwentaryzacja danych osobowych

RODO nie wymaga rejestracji zbiorów danych osobowych. Jednak ich administratorzy będą musieli prowadzić wewnętrzny rejestr czynności przetwarzania danych, zawierający m.in. informacje takie jak powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, rejestry naruszeń, osoby odpowiedzialne za poszczególne procesy przetwarzania itd. Zatem administrator powinien rozważyć, jakie rodzaje rejestrów będzie prowadził, czy na poziomie ogólnym czy dość szczegółowym.

Zapomnienie i wgląd w historię

Obywatele otrzymali szereg nowych uprawnień, które muszą być respektowane przez organizacje. Jednym z nich jest „prawo do bycia zapomnianym”, czyli trwałe usunięcie danych osobowych przetwarzanych przez daną instytucję. Dotyczy to informacji zarówno w formie cyfrowej, papierowej jak i kopii zapasowej. Inna możliwości to żądanie przeniesienia danych np. do innego podmiotu przy zmianie umowy, rozszerzone prawo dostępu i wglądu obywatela w jego dane (m. in.: prawo do otrzymania kopii danych), roszczenia odszkodowawcze w sądach cywilnych z tytułu szkód poniesionych z niewłaściwego przetwarzania danych.

Dane dzieci

To zapewne nie będzie dotyczyć przewoźników, ale gwoli ciekawostki wspominamy: administrator powinien zapewnić możliwość wyrażenia zgody przez opiekuna prawnego dziecka na wykorzystanie jego danych. Musi też mieć świadomość, że zgoda wyrażona przez dziecko może być nieważna, zwłaszcza jeżeli dotyczy celów marketingowych, czy też aktywności nieletnich w mediach społecznościowych.

Transfer poza EOG

Administrator danych osobowych będzie musiał dokonać analizy i udzielić odpowiedzi na pytanie, czy dane przez niego przekazywane wychodzą poza Europejski Obszar Gospodarczy. Jeżeli odpowiedź będzie twierdząca, jego zadaniem będzie ustalenie podstaw do przekazywania danych do państwa trzeciego, a następnie dostosowanie procesu przekazywania danych do wymogów z RODO.

Przygotowania już teraz

Jak można zauważyć, nowa odsłona przepisów dot. ochrony danych osobowych niesie ze sobą bardzo poważne zmiany. Dostosowanie organizacji czy firmy powinno się rozpocząć już teraz, ze względu na skomplikowany proces wdrożenia i liczbę zadań do wykonania. Każda firma czy urząd, które przetwarzają dane osobowe, w dniu wejścia w życie RODO tj. 25 maja 2018 roku musi działać zgodnie z nowymi przepisami.

Andrzej Bogdanowicz, dyrektor generalny OZPTD

1. General Data Protection Regulation (Rozporządzenie Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. nr 679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE w skrócie GDPR lub RODO. Uzupełnieniem do europejskiego Rozporządzenia RODO jest projekt polskiej ustawy z 13 września 2017 r. Ustawa o ochronie danych osobowych – na ścieżce legislacyjnej.
2. Z udziałem Trend Micro oraz Vmware.