Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Firma

Dane osobowe: Skutki przetwarzania, ocena zagrożeń i ryzyka, zasady profilowania

123RF
Trzynaœcie miesięcy pozostało przedsiębiorcom na dostosowanie przetwarzania danych osobowych w ich firmach do nowych unijnych przepisów. Warto już zaczšć szkolenie pracowników, aby ich stosowanie było bezproblemowe.

Rozporzšdzenie Parlamentu Europejskiego i Rady o ochronie danych z kwietnia 2016 roku (RODO) zacznie obowišzywać od 25 maja 2018 roku.

Wprowadzono zupełnie nowe podejœcie do ochrony danych osobowych. Pojawi się przede wszystkim obowišzek administratora danych samooceny pod kštem oszacowania skutków przetwarzania dla ochrony danych i ewentualnego ryzyka (z angielskiego: risk-based approach). Obejmie on weryfikację przetwarzanych danych, ocenę zagrożeń zwišzanych z przetwarzaniem konkretnych danych osobowych oraz planowane œrodki, zabezpieczenia i mechanizmy w celu zminimalizowania zagrożeń.

Ocenę skutków dla ochrony danych trzeba będzie przeprowadzić przed rozpoczęciem ich przetwarzania. Będzie ona obowišzkowa w dwóch przypadkach. Po pierwsze, gdy charakter, zakres, kontekst i cele danego rodzaju przetwarzania z dużym prawdopodobieństwem mogš powodować wysokie ryzyko naruszenia praw lub wolnoœci osób fizycznych. Po drugie, gdy decyzjš organu nadzoru (np. GIODO) dany rodzaj operacji przetwarzania podlega obowišzkowej ocenie.

Profilowanie

Rozporzšdzenie reguluje zasady profilowania. W przepisach pojawia się legalna definicja tego pojęcia. W myœl przepisów profilowanie oznacza dowolnš formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególnoœci do analizy lub prognozy aspektów dotyczšcych efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodnoœci, zachowania, lokalizacji lub przemieszczania się.

Profilowanie będzie legalne, gdy:

- wyraŸnie dopuszcza to prawo

- jest niezbędne do zawarcia i wykonania umowy między osobš, której dane dotyczš, a administratorem danych

- osoba, której dane dotyczš, wyraziła zgodę.

Prawo do bycia zapomnianym

Nowe przepisy zwiększajš uprawnienia osób, których dane dotyczš. Będš one miały nie tylko prawo dostępu do informacji (wglšdu w dane), sprostowania danych, ograniczenia przetwarzania, ale także „prawo do bycia zapomnianym". Ma to polegać na tym, że klient będzie mógł żšdać od administratora niezwłocznego usunięcia dotyczšcych go danych. Co więcej, w przypadku upublicznienia danych, to na administratorze danych osobowych będzie cišżył obowišzek podjęcia działań, by poinformować administratorów przetwarzajšcych te dane osobowe, że osoba, której dane dotyczš, żšda, by administratorzy usunęli wszelkie łšcza do jego danych, ich kopii lub ich replikacji.

Klient będzie mógł też zwrócić się z żšdaniem, by jego dane osobowe zostały przesłane przez administratora bezpoœrednio innemu administratorowi, o ile jest to technicznie możliwe. Chodzi o sytuację, gdy np. klient zmienia operatora sieci komórkowej i żšda, aby dotychczasowy operator przesłał dane nowemu operatorowi.

Odpowiedzialnoœć i kary

Rozporzšdzenie przewiduje odpowiedzialnoœć za naruszenie przepisów RODO zarówno o charakterze cywilnoprawnym, jak i administracyjnym.

Odpowiedzialnoœć cywilnoprawna będzie dotyczyła każdej osoby, która poniosła szkodę majštkowš lub niemajštkowš w wyniku naruszenia przepisów rozporzšdzenia. Będzie miała ona prawo uzyskać od administratora lub podmiotu przetwarzajšcego odszkodowanie za poniesionš szkodę. Przy czym w przypadku przetwarzania danych przez więcej niż jednego administratora lub podmiotu przetwarzajšcego – odpowiedzialnoœć będzie solidarna. Podmiotowi, który zapłacił całe odszkodowanie przysługiwać będzie prawo żšdania od pozostałych administratorów lub podmiotów przetwarzajšcych, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu częœci odszkodowania odpowiadajšcej częœci szkody, za którš ponoszš odpowiedzialnoœć.

Z kolei odpowiedzialnoœć administracyjna ma się sprowadzać do kar pieniężnych nakładanych przez organ nadzorczy.

Zdaniem eksperta

Jarosław Kamiński, adwokat z kancelarii Rödl & Partner

Ogólne rozporzšdzenie o ochronie danych będzie wymagać od przedsiębiorców podjęcia szeregu działań i wdrożenia nowych procedur zarówno prawnych jak i informatycznych, m.in:

- weryfikacji przesłanek i podstaw przetwarzania danych osobowych;

- weryfikacji koniecznoœci i zasadnoœci powołania inspektora ochrony danych;

- analizy i weryfikacji dokumentacji kadrowej i zasad procesu rekrutacji;

- przeprowadzenia szkoleń dla pracowników;

- weryfikacji umów powierzenia przetwarzania danych osobowych oraz klauzul informacyjnych i klauzul zgody na przetwarzanie danych na gruncie RODO;

- opracowania dokumentacji zwišzanej z ochronš danych na gruncie RODO (np. analiza ryzyka) oraz systematycznej (np. raz na kwartał/pół roku) jej weryfikacji.

Z kolei, w kontekœcie systemów IT szczególne znaczenie będzie miała dogłębna analiza ryzyka zwišzana z ewentualnymi incydentami upublicznienia lub utraty danych, które trzeba będzie ocenić na podstawie aktualnego stanu wiedzy technicznej i znajomoœci realnych zagrożeń. Wzorcowo wdrożony proces analizy zagrożeń powinien uwzględniać także stałe monitorowanie informacji o wykrytych lukach w bezpieczeństwie systemów i aplikacji, a także umożliwiać szybkš reakcję na pojawiajšce się zagrożenia o wysokim stopniu ryzyka dla bezpieczeństwa danych.

Wyzwaniem staje się zatem także wdrożenie takich œrodków technicznych i organizacyjnych (formalnych), które w najlepszy możliwy sposób chroniłyby dane osobowe przed incydentami zwišzanymi z ich bezpieczeństwem. Dobór tych œrodków spocznie w całoœci na przedsiębiorcach. Co więcej, dużš zmianš dla przedsiębiorców może być wprowadzenie obowišzku monitorowania incydentów zwišzanych z bezpieczeństwem przetwarzanych danych.

Administrator będzie miał jedynie 72 godziny na zgłoszenie organowi nadzorczemu wykrytego wycieku danych, włšczajšc w to czas potrzebny na koniecznš analizę skali problemu, okreœlenie liczby i rodzaju danych, które wyciekły. Jeżeli zaœ wyciek mógłby skutkować „wysokim ryzykiem naruszenia praw lub wolnoœci osób fizycznych", to administrator będzie miał obowišzek poinformowania o zagrożeniu także poszczególnych osób, których to dotyczy. Co więcej, konieczne będzie także podniesienie poziomu œwiadomoœci zagrożeń wœród pracowników tak, aby ewentualny incydent został w ogóle rozpoznany i niezwłocznie zgłoszony administratorowi.

podstawa prawna: Rozporzšdzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w zwišzku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporzšdzenie o ochronie danych)

Co wpłynie na karę

Przy nakładaniu kar i okreœlaniu ich wysokoœci organ weŸmie pod uwagę:

- charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczš oraz rozmiaru poniesionej przez nie szkody;

- umyœlny lub nieumyœlny charakter naruszenia;

- działania podjęte przez administratora lub podmiot przetwarzajšcy w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczš;

- stopień odpowiedzialnoœci administratora lub podmiotu przetwarzajšcego z uwzględnieniem œrodków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;

- wszelkie stosowne wczeœniejsze naruszenia ze strony administratora lub podmiotu przetwarzajšcego;

- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególnoœci, czy i w jakim zakresie administrator lub podmiot przetwarzajšcy zgłosili naruszenie;

- jeżeli wobec administratora lub podmiotu przetwarzajšcego, których sprawa dotyczy, zostały wczeœniej zastosowane w tej samej sprawie œrodki, o których mowa w art. 58 ust. 2 – przestrzeganie tych œrodków;

- stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 oraz

- wszelkie inne obcišżajšce lub łagodzšce czynniki majšce zastosowanie do okolicznoœci sprawy, takie jak osišgnięte bezpoœrednio lub poœrednio w zwišzku z naruszeniem korzyœci finansowe lub uniknięcie straty.

Wysokoœć kary została uzależniona od rodzaju naruszenia i wynosić będzie nawet do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokoœci do 4 proc. jego całkowitego rocznego œwiatowego obrotu z poprzedniego roku obrotowego.

Kogo dotyczy RODO

Obowišzek przetwarzania danych osobowych zgodnie z nowymi przepisami będzie spoczywać na:

- administratorach danych majšcych siedzibę na terenie UE, niezależnie od tego, czy przetwarzanie ma miejsce w UE;

- administratorach danych nie majšcych siedziby na terenie UE, którzy przetwarzajš dane osób przebywajšcych w UE, jeżeli:

– ma to zwišzek z oferowaniem produktów lub usług osobom przebywajšcym w UE, bez względu na fakt odpłatnoœci lub jej braku,

– monitorowane jest zachowanie osób przebywajšcych w UE, o ile ich zachowanie ma miejsce na terenie UE (np. przeglšdarki internetowe, Google),

- administratorach danych nie majšcych siedziby na terenie UE, ale posiadajšcych jednostkę organizacyjnš w miejscu, gdzie na podstawie prawa międzynarodowego ma zastosowanie prawo kraju członkowskiego UE.

ródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL