25 maja 2018 roku Polska zmieni system ochrony danych osobowych z odtwórczego, narzuconego obecną ustawą o ochronie danych osobowych, na „proaktywny” – oparty o analizę ryzyka system tworzenia zasad prywatności opisany w RODO. Wobec tej zmiany i dotychczasowych doświadczeń z ochroną danych osobowych – wielu z administratorów zastanawia się czy jest to niezbędne i czy na pewno ich to też dotyczy?
Otóż odpowiedź jest prosta: dostosowanie się do nowych zasad zawartych w RODO jest dla wszystkich podmiotów przetwarzających dane osobowe obowiązkowe, ale może także okazać się przydatne.
Motywacja pozytywna: korzyści
Przegląd zasobów i procedur ochrony danych osobowych mający na celu dostosowanie środków organizacyjnych i technicznych do RODO, jest bardzo dobrą okazją do uporządkowania procesów służących obiegowi informacji i komunikacji z podmiotami zewnętrznymi. Przeprowadzona analiza ryzyka posłuży jako baza do zaprojektowania bezpiecznych, a także spełniających wymagania RODO usług i procedur. Proces ten zapewne pozwoli znaleźć oszczędności, ponieważ aktualne wymagania nałożone przepisami o ochronie danych osobowych, są często zbyt wygórowane w stosunku do faktycznego zakresu i metod przetwarzania danych osobowych. Ponadto ujednolicenie rozwiązań technicznych i organizacyjnych zabezpieczania danych, zwiększy ich skuteczność i ułatwi zarządzanie procesami w tym zakresie.
Nie bez znaczenia w dzisiejszych czasach jest zapewnienie naszych klientów i kontrahentów, że stosowane przez nas środki techniczne i organizacyjne zapewniają prywatność. Wizerunek każdego podmiotu prywatnego i publicznego buduje się także poprzez dbałość o klientów i kontrahentów. W tym zakresie na pewno mieści się zapewnienie ich, że powierzone nam informacje są bardzo dobrze chronione i przez cały czas są pod naszą kontrolą.
Warto tu wspomnieć o rozszerzonych przez RODO zasadach powierzania danych osobowych. Art. 28 wskazuje, że administratorzy mogą korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi (…) rozporządzenia i chroniło prawa osób, których dane dotyczą. Zatem informacja o spełnieniu tych wymagań zwiększy szansę na współpracę z potencjalnymi administratorami chcącymi skorzystać z naszych usług w zakresie zadań wymagających przetwarzania danych osobowych.
Kolejną korzyścią ze stosowania skutecznych metod i rozwiązań ochrony danych osobowych jest także budowanie zaufania do naszej organizacji. Już teraz wybierając bank czy operatora telekomunikacyjnego zastanawiamy się, czy jego usługi zapewniają nam bezpieczeństwo, czy nasze prawa będą przestrzegane, czy nasze dane nie zostaną przekazane innym podmiotom w celach marketingowych, udostępnione za pośrednictwem przypadkowego e-maila lub wyrzucone na śmietnik po zakończeniu przetwarzania? Zapewnienie prywatności, czyli zaufanie do organizacji, ma coraz większe znaczenie podczas wyboru usług przez świadomych klientów, a ich liczba ciągle rośnie.
Ostatnią korzyścią jaką wymienię jest zgodne z prawem przetwarzanie i ochrona danych osobowych. Wydaje się to prozaiczne, jednak posiadanie skutecznych rozwiązań w zakresie ochrony danych osobowych pozwoli administratorom spokojnie spać. Jeżeli spełnią zawartą w RODO zasadę rozliczalności – będą wiedzieli, że zrobili wszystko co mogli, aby chronić przetwarzane dane osobowe, a w związku z ewentualnym incydentem bezpieczeństwa najprawdopodobniej nie poniosą żadnych konsekwencji finansowych i skutecznie zadbają o prawa właścicieli danych.
Motywacja negatywna: sankcje
Dotychczasowe doświadczenia nie motywują administratorów danych osobowych do stosowania usystematyzowanych środków technicznych i organizacyjnych w zakresie bezpieczeństwa informacji. Znaczna część z nich przez lata ograniczała się do sporządzenia wymaganych procedur oraz ewidencji i skrupulatnego (i to też nie zawsze) przechowywania ich wraz z innymi procedurami. Podstawowe zabezpieczenia – drzwi z zamkiem (nie zawsze wykorzystywanym), antywirus, czasem firewall, proste hasło, ogólna dbałość o zasoby i łut szczęścia okazywały się wystarczające w zapewnieniu prywatności i bezpieczeństwa informacji. Wskazać też trzeba, że organ nadzorczy – GIODO, w latach 2010-2015 obejmował swoimi kontrolami jedynie od 165 do 199 podmiotów rocznie. Podczas gdy wg. danych GUS na koniec 2015 roku zarejestrowanych było 180 880 podmiotów zatrudniających 10 i więcej osób (nie wspominając o milionach mniejszych przedsiębiorstw) – tzn. takich, gdzie na pewno przetwarzane były dane osobowe. Szanse na kontrole były zatem bardzo małe. GIODO dokonywał także oceny prawidłowości stosowania przepisów w trybie skargowym. W 2015 roku rozpatrzył 2256 takich skarg. Niestety stosowanymi sankcjami dotyczącymi stwierdzonych naruszeń w zakresie przetwarzania danych osobowych były najczęściej nakazy usunięcia uchybień przez administratorów danych osobowych. Można powiedzieć – darmowy audyt bezpieczeństwa.
Nowe przepisy zmienią jednak wymiar i efektywność tych sankcji. Znikną przewidziane w ustawie o ochronie danych osobowych kary ograniczenia lub pozbawienia wolności. Za to GIODO (w przyszłości Prezes Urzędu Ochrony Danych Osobowych) będzie miał prawo nakładać „skuteczne, proporcjonalne i odstraszające” kary pieniężne.
Zatem po 25 maja 2018 roku Prezes Urzędu Ochrony Danych Osobowych nabędzie uprawnienia nakładania kar finansowych zawsze, gdy udowodni administratorowi danych osobowych niedopełnienie obowiązków wynikających z RODO i przepisów krajowych. Kary takie nie będą zatem stosowane wyłącznie w wyniku przeprowadzonych czynności kontrolnych, ale także będą mogły być nakładane w wyniku prowadzonego postępowania skargowego lub w efekcie spełnienia nowego obowiązku zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych w naszej organizacji.
Podejrzewam też, że w związku z takim systemem sankcji liczba skarg właścicieli danych w sytuacji naruszenia ich prawa do prywatności zwiększy się. Kary będą faktycznie dotkliwe dla ewentualnego sprawcy, co zapewne uzasadni sens walki o swoje prawa. Ponadto RODO daje każdej osobie, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie. Co ważne, odpowiedzialność będzie spoczywała na każdym administratorze uczestniczącym w przetwarzaniu, gdy nie dopełnił obowiązków wynikających z rozporządzenia (Art. 82), a to zwiększa liczbę podmiotów, które będą narażone na skargi i wnioski o odszkodowanie.
Jak wiemy, kwoty kar będą sięgały nawet 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa w szczególnych przypadkach naruszeń (np. w zakresie obowiązku informacyjnego, czy podstawowych zasad przetwarzania). Natomiast przy naruszeniach w zakresie ogólnych reguł wskazanych w RODO będą to kary do 10 000 000 euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa. Zapewne organ nadzorczy nie będzie stosował kar rzędu milionów euro w każdym przypadku. Zaznaczam jednak, że jest to tylko górna granica. Nic więc nie będzie stało na przeszkodzie aby nałożyć na przedsiębiorcę karę w wysokości kilkuset lub kilku tysięcy zł.
Kar ze strony organu nadzorczego najpewniej uniknie znaczna większość podmiotów administracji publicznej. Jak zapisano w projekcie nowej ustawy, wyjątkiem będzie grupa podmiotów sektora finansów publicznych takich jak ZUS, KRUS, samodzielne publiczne zakłady opieki zdrowotnej, PAN i jej jednostki, uczelnie publiczne, państwowe i samorządowe instytucje kultury, a także państwowe i samorządowe osoby prawne tworzone na podstawie przepisów prawa (z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego), które będą mogły być ukarane tylko do kwoty 100 000 zł.
Na koniec pragnę przypomnieć, że obowiązek stosowania środków organizacyjnych i technicznych zawartych w aktualnych przepisach o ochronie danych osobowych jest obowiązkowy dla każdego podmiotu przetwarzającego dane osobowe. Od 25 maja 2018 roku zakres podmiotów których taki obowiązek dotyczy nie zmieni się. Jednakże przestanie obowiązywać ustawa o ochronie danych osobowych i związane z nią akty wykonawcze, a na jej miejsce stosować będziemy zasady zawarte w RODO i ewentualnie nowych przepisach krajowych.
25 maja 2018 roku Polska zmieni system ochrony danych osobowych z odtwórczego, narzuconego obecną ustawą o ochronie danych osobowych, na „proaktywny” – oparty o analizę ryzyka system tworzenia zasad prywatności opisany w RODO. Wobec tej zmiany i dotychczasowych doświadczeń z ochroną danych osobowych – wielu z administratorów zastanawia się czy jest to niezbędne i czy na pewno ich to też dotyczy?
Otóż odpowiedź jest prosta: dostosowanie się do nowych zasad zawartych w RODO jest dla wszystkich podmiotów przetwarzających dane osobowe obowiązkowe, ale może także okazać się przydatne.
Motywacja pozytywna: korzyści
Przegląd zasobów i procedur ochrony danych osobowych mający na celu dostosowanie środków organizacyjnych i technicznych do RODO, jest bardzo dobrą okazją do uporządkowania procesów służących obiegowi informacji i komunikacji z podmiotami zewnętrznymi. Przeprowadzona analiza ryzyka posłuży jako baza do zaprojektowania bezpiecznych, a także spełniających wymagania RODO usług i procedur. Proces ten zapewne pozwoli znaleźć oszczędności, ponieważ aktualne wymagania nałożone przepisami o ochronie danych osobowych, są często zbyt wygórowane w stosunku do faktycznego zakresu i metod przetwarzania danych osobowych. Ponadto ujednolicenie rozwiązań technicznych i organizacyjnych zabezpieczania danych, zwiększy ich skuteczność i ułatwi zarządzanie procesami w tym zakresie.
Nie bez znaczenia w dzisiejszych czasach jest zapewnienie naszych klientów i kontrahentów, że stosowane przez nas środki techniczne i organizacyjne zapewniają prywatność. Wizerunek każdego podmiotu prywatnego i publicznego buduje się także poprzez dbałość o klientów i kontrahentów. W tym zakresie na pewno mieści się zapewnienie ich, że powierzone nam informacje są bardzo dobrze chronione i przez cały czas są pod naszą kontrolą.
Warto tu wspomnieć o rozszerzonych przez RODO zasadach powierzania danych osobowych. Art. 28 wskazuje, że administratorzy mogą korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi (…) rozporządzenia i chroniło prawa osób, których dane dotyczą. Zatem informacja o spełnieniu tych wymagań zwiększy szansę na współpracę z potencjalnymi administratorami chcącymi skorzystać z naszych usług w zakresie zadań wymagających przetwarzania danych osobowych.
Kolejną korzyścią ze stosowania skutecznych metod i rozwiązań ochrony danych osobowych jest także budowanie zaufania do naszej organizacji. Już teraz wybierając bank czy operatora telekomunikacyjnego zastanawiamy się, czy jego usługi zapewniają nam bezpieczeństwo, czy nasze prawa będą przestrzegane, czy nasze dane nie zostaną przekazane innym podmiotom w celach marketingowych, udostępnione za pośrednictwem przypadkowego e-maila lub wyrzucone na śmietnik po zakończeniu przetwarzania? Zapewnienie prywatności, czyli zaufanie do organizacji, ma coraz większe znaczenie podczas wyboru usług przez świadomych klientów, a ich liczba ciągle rośnie.
Ostatnią korzyścią jaką wymienię jest zgodne z prawem przetwarzanie i ochrona danych osobowych. Wydaje się to prozaiczne, jednak posiadanie skutecznych rozwiązań w zakresie ochrony danych osobowych pozwoli administratorom spokojnie spać. Jeżeli spełnią zawartą w RODO zasadę rozliczalności – będą wiedzieli, że zrobili wszystko co mogli, aby chronić przetwarzane dane osobowe, a w związku z ewentualnym incydentem bezpieczeństwa najprawdopodobniej nie poniosą żadnych konsekwencji finansowych i skutecznie zadbają o prawa właścicieli danych.
Motywacja negatywna: sankcje
Dotychczasowe doświadczenia nie motywują administratorów danych osobowych do stosowania usystematyzowanych środków technicznych i organizacyjnych w zakresie bezpieczeństwa informacji. Znaczna część z nich przez lata ograniczała się do sporządzenia wymaganych procedur oraz ewidencji i skrupulatnego (i to też nie zawsze) przechowywania ich wraz z innymi procedurami. Podstawowe zabezpieczenia – drzwi z zamkiem (nie zawsze wykorzystywanym), antywirus, czasem firewall, proste hasło, ogólna dbałość o zasoby i łut szczęścia okazywały się wystarczające w zapewnieniu prywatności i bezpieczeństwa informacji. Wskazać też trzeba, że organ nadzorczy – GIODO, w latach 2010-2015 obejmował swoimi kontrolami jedynie od 165 do 199 podmiotów rocznie. Podczas gdy wg. danych GUS na koniec 2015 roku zarejestrowanych było 180 880 podmiotów zatrudniających 10 i więcej osób (nie wspominając o milionach mniejszych przedsiębiorstw) – tzn. takich, gdzie na pewno przetwarzane były dane osobowe. Szanse na kontrole były zatem bardzo małe. GIODO dokonywał także oceny prawidłowości stosowania przepisów w trybie skargowym. W 2015 roku rozpatrzył 2256 takich skarg. Niestety stosowanymi sankcjami dotyczącymi stwierdzonych naruszeń w zakresie przetwarzania danych osobowych były najczęściej nakazy usunięcia uchybień przez administratorów danych osobowych. Można powiedzieć – darmowy audyt bezpieczeństwa.
Nowe przepisy zmienią jednak wymiar i efektywność tych sankcji. Znikną przewidziane w ustawie o ochronie danych osobowych kary ograniczenia lub pozbawienia wolności. Za to GIODO (w przyszłości Prezes Urzędu Ochrony Danych Osobowych) będzie miał prawo nakładać „skuteczne, proporcjonalne i odstraszające” kary pieniężne.
Zatem po 25 maja 2018 roku Prezes Urzędu Ochrony Danych Osobowych nabędzie uprawnienia nakładania kar finansowych zawsze, gdy udowodni administratorowi danych osobowych niedopełnienie obowiązków wynikających z RODO i przepisów krajowych. Kary takie nie będą zatem stosowane wyłącznie w wyniku przeprowadzonych czynności kontrolnych, ale także będą mogły być nakładane w wyniku prowadzonego postępowania skargowego lub w efekcie spełnienia nowego obowiązku zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych w naszej organizacji.
Podejrzewam też, że w związku z takim systemem sankcji liczba skarg właścicieli danych w sytuacji naruszenia ich prawa do prywatności zwiększy się. Kary będą faktycznie dotkliwe dla ewentualnego sprawcy, co zapewne uzasadni sens walki o swoje prawa. Ponadto RODO daje każdej osobie, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie. Co ważne, odpowiedzialność będzie spoczywała na każdym administratorze uczestniczącym w przetwarzaniu, gdy nie dopełnił obowiązków wynikających z rozporządzenia (Art. 82), a to zwiększa liczbę podmiotów, które będą narażone na skargi i wnioski o odszkodowanie.
Jak wiemy, kwoty kar będą sięgały nawet 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa w szczególnych przypadkach naruszeń (np. w zakresie obowiązku informacyjnego, czy podstawowych zasad przetwarzania). Natomiast przy naruszeniach w zakresie ogólnych reguł wskazanych w RODO będą to kary do 10 000 000 euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa. Zapewne organ nadzorczy nie będzie stosował kar rzędu milionów euro w każdym przypadku. Zaznaczam jednak, że jest to tylko górna granica. Nic więc nie będzie stało na przeszkodzie aby nałożyć na przedsiębiorcę karę w wysokości kilkuset lub kilku tysięcy zł.
Kar ze strony organu nadzorczego najpewniej uniknie znaczna większość podmiotów administracji publicznej. Jak zapisano w projekcie nowej ustawy, wyjątkiem będzie grupa podmiotów sektora finansów publicznych takich jak ZUS, KRUS, samodzielne publiczne zakłady opieki zdrowotnej, PAN i jej jednostki, uczelnie publiczne, państwowe i samorządowe instytucje kultury, a także państwowe i samorządowe osoby prawne tworzone na podstawie przepisów prawa (z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego), które będą mogły być ukarane tylko do kwoty 100 000 zł.
Na koniec pragnę przypomnieć, że obowiązek stosowania środków organizacyjnych i technicznych zawartych w aktualnych przepisach o ochronie danych osobowych jest obowiązkowy dla każdego podmiotu przetwarzającego dane osobowe. Od 25 maja 2018 roku zakres podmiotów których taki obowiązek dotyczy nie zmieni się. Jednakże przestanie obowiązywać ustawa o ochronie danych osobowych i związane z nią akty wykonawcze, a na jej miejsce stosować będziemy zasady zawarte w RODO i ewentualnie nowych przepisach krajowych.
Ostatnie wpisy
O mnie
Michał Cupiał
Kategorie