Ochrona danych osobowych na nowych zasadach w kontekście przedsiębiorców, ?firm outsourcingowych i biur rachunkowych

aktualizacja: 08.06.2016, 07:00
Foto: 123RF

Wyciek danych bądź przetwarzanie ich w innym celu niż ten, dla którego były zebrane, mogą zostać obciążone karą od 2 do 4 proc. obrotu bądź od 10 do 20 mln euro. Przedsiębiorcy mają dwa lata na dostosowanie się do zmienionych reguł – mówi Ewa Kurowska-Tober w rozmowie z Agnieszką Łukasiewicz.

REDAKCJA POLECA

Rz: W kwietniu uchwalono rozporządzenie unijne w sprawie ochrony danych osobowych. Jakie najistotniejsze zmiany wprowadza, zwłaszcza w kontekście przedsiębiorców, firm outsourcingowych i biur rachunkowych?

Ewa Kurowska-Tober: Rozporządzenie o ochronie danych osobowych zostało uchwalone w kwietniu i właśnie wchodzi w życie. To może być zaskoczeniem dla niektórych podmiotów, ale rozporządzenie pozostawia dwuletni okres na dostosowanie do jego regulacji. Do 25 maja 2018 r. wszystkie podmioty przetwarzające dane osobowe będą musiały dostosować się do nowych regulacji. Mamy więc dwa lata od teraz.

Regulacja jest olbrzymią reformą dotychczasowych przepisów o ochronie danych osobowych. Prace trwały cztery lata. Miały na celu głównie unowocześnienie dotychczasowych przepisów, ponieważ dyrektywa częściowo zdezaktualizowała się, nie obejmowała już wszystkich kwestii związanych z rozwojem nowych technologii w ostatnich latach. Głównym celem regulacji było wzmocnienie praw jednostki, tj. praw obywateli UE. Unia zrobiła badania i sprawdziła, że poziom zaniepokojenia obywateli ochroną danych osobowych i tym co się dzieje z naszymi danymi głównie w internecie, jest olbrzymi. Stąd wniosek o konieczności poprawienia i uszczelnienia systemu, wprowadzenia silniejszych mechaniz- mów egzekwowania i – co ważne – ujednolicenia przepisów w całej UE.

Do tej pory przepisy nie były jednolite?

Państwa unijne opierały się na dyrektywie o ochronie danych osobowych. Jej implementacja spowodowała, że każdy kraj po swojemu powprowadzał te same przepisy i w związku z tym różnice były naprawdę istotne. Generowało to nie tylko kłopoty prawne i interpretacyjne, ale oznaczało konkretne koszty i problemy organizacyjne dla podmiotów działających w różnych krajach unijnych. Podmiot, który działał nie tylko w jednym kraju UE, musiał dostosować swoje przetwarzanie danych do różnych przepisów wynikających niby z tej samej dyrektywy, ale różniących się między sobą. Ocenia się, że wprowadzenie jednolitego mechanizmu dla całej Unii przyniesie konkretne oszczędności. Mówi się o ponad 200 mln euro oszczędności dla przedsiębiorców, ponieważ nie będą musieli biegać od regulatora do regulatora w każdym państwie członkowskim i dostosowywać się do jego lokalnych wymogów.

Nowe przepisy oznaczają nowe wymagania...

Z punktu widzenia polskich przedsiębiorców rzeczywiście pojawią się nowe wymogi i nowe instytucje, które do tej pory nie były wymienione w ustawie o ochronie danych osobowych. Pojawi się – co jest najistotniejszą informacją – poważna odpowiedzialność za naruszenie przepisów w zakresie ochrony danych osobowych. Do tej pory przepisy o ochronie danych osobowych były traktowane trochę po macoszemu, zwłaszcza przez mniejsze firmy.

Wielkie podmioty, które na masową skalę przetwarzają dane osobowe, takie jak banki lub ubezpieczyciele mają odpowiednie struktury zajmujące się zagadnieniem ochrony danych.

Tak, one są wyczulone na tym punkcie, od lat wprowadzając mechanizmy mające na celu ochronę danych osobowych. Natomiast mniejsi w dużym stopniu darowali sobie ten obszar, ponieważ nie było istotnych sankcji. Musiała pojawić się kontrola GIODO, zidentyfikować naruszenie, wydać decyzję wzywającą do jego usunięcia i dopiero jeśli podmiot się nie zastosował, to mogła być nałożona kara finansowa.

Jakiego rodzaju to były naruszenia?

Głównie sprowadzały się do niezabezpieczenia danych w dostateczny sposób. Musimy pamiętać, że istotą ochrony danych osobowych jest wprowadzenie mechanizmów, które będą chroniły dane przed wyciekiem, udostępnieniem osobom nieuprawnionym, przetwarzaniem w innych celach, niż dla jakich zostały zebrane. Ale były też naruszenia w postaci braku dokumentacji, która jest wymagana polskim prawem w zakresie ochrony danych osobowych, nieprzekazywania wymaganych informacji podmiotom danych, czyli osobom, których dane są przetwarzane. Większość problemów dotyczyła przetwarzania danych nie w tych celach, dla których zostały zebrane, przetwarzania bez podstawy prawnej albo udostępniania innym podmiotom i nieinformowania o tym.

Nowe rozporządzenie wprowadza poważne sankcje za naruszenia.

Tak, rozporządzenie przewiduje kary nawet do 20 mln euro i do 4 proc. obrotu światowego za poprzedni rok.

Rozumiem, że tym karom będą podlegać te nieprawidłowości, o których wspomniała Pani wcześniej?

Tak, jak najbardziej. Wszystkie poważniejsze naruszenia, w tym dotyczące naruszenia podstawowych zasad przetwarzania, np. przetwa- rzanie danych w innym celu czy niewypełnianie obowiązku informacyjnego, zagrożone są karą do 4 proc. obrotu światowego, bądź do 20 mln euro. To spowoduje, że ci polscy przedsiębiorcy, którzy do tej pory lekceważyli tę sferę swojej działalności, albo nie zajmowali się nią w sposób dostateczny, muszą zacząć uważać. Mają dwa lata na przygotowanie. Wydaje się, że to długo, ale tak naprawdę trzeba się powoli zabierać do pracy, żeby dostosować cały obszar przetwarzania danych osobowych u siebie do nowych regulacji.

Co można doradzić tym mniejszym przedsiębiorcom, którzy nie mają wyspecjalizowanych struktur? Do kogo powinni się udać i o co zadbać?

To zależy od wiedzy i struktury danego podmiotu. Jeśli mały przedsiębiorca ma chociaż podstawową wiedzę o ochronie danych osobowych, to jest w stanie sam wykonać podstawowe ćwiczenie w postaci przejrzenia, co się u niego dzieje. Ale nie oszukujmy się. Regulacja jest skomplikowana, zawiera prawie 100 artykułów i zwykły, mały przedsiębiorca pewnie sam sobie nie poradzi z przebrnięciem przez przepisy. Musi się udać do prawników lub do wyspecjalizowanych firm, które świadczą usługi doradcze w zakresie ochrony danych osobowych, którzy sprawdzą, jakie dane przetwarza, w jakich celach, od kogo je zbiera, jak je przechowuje, czy ma dostateczne zabezpieczenia, czy ma wymaganą dokumentację i na tej podstawie pomogą dostosować się do nowych regulacji.

Ile może kosztować taki audyt?

Wszystko zależy od firmy – jej wielkości, ilości i zakresu przetwarzanych danych. Mały przedsiębiorca prowadzący zakład naprawczy będzie miał tych danych stosunkowo mało, ale już popularny sklep internetowy przetwarza olbrzymi zakres danych i z racji specyfiki działalności podmiotu będą one musiały być w szczególny sposób zabezpieczone.

Od administratora danych będzie się wymagać, aby zlecał operacje na danych wyłącznie takim podmiotom, które zapewniają gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych. Co to oznacza w praktyce?

Została wprowadzona zasada profesjonalnego przetwarzającego. Zdarza się, że firma powierza dane, które przetwarza w swoich procesach gospodarczych, innemu podmiotowi, który wspomaga ją w określonym zakresie. Może to być np. firma mailingowa, która rozsyła oferty, ulotki lub informacje bądź agencja, która prowadzi konkursy czy agencja reklamowa, która wspomaga działalność tego przedsiębiorcy. To mogą być także firmy kurierskie. Kiedy firma decyduje się na skorzystanie z usług firmy trzeciej i udostępni jej dane klientów lub pracowników, to ciągle odpowiada za to powierzenie. Podmiot trzeci musi być zatem godny zaufania i gwarantować bezpieczne przetwarzanie powierzonych mu danych.

Nowe przepisy wprowadziły wymóg, żeby te firmy, którym powierzamy przetwarzanie danych, były profesjonalne i zapewniały odpowiedni sposób zabezpieczenia danych osobowych. W praktyce to będzie trudne, bo na administratorze danych, tj. firmie, która powierza dane innej firmie do przetwarzania, będzie ciążył obowiązek ustalenia czy przetwarzający je podmiot będzie gwarantował zgodne z prawem przetwarzanie danych. Rozporządzenie jest napisane w duchu tzw. zasady rozliczalności – nie tylko musimy przestrzegać przepisów, ale musimy być w stanie wykazać, że ich przestrzegamy.

Jak temu sprostać?

Będą temu służyły różne mechanizmy, m.in. certyfikaty i znaki jakości, o które można będzie wystąpić. Będą firmy certyfikujące, sprawdzające, czy poziom zabezpieczenia u danego podmiotu jest wystarczający. Jeżeli przedsiębiorca będziemy chciał powierzyć dane osobie trzeciej, np. firmie payrollowej, to może zażądać, aby się wykazała np. certyfikatem, znakiem jakości lub spełnieniem określonej normy. Są już w tej chwili normy ISO, które odpowiadają właśnie za standardy w zakresie zabezpieczenia danych osobowych. Wiele podmiotów, np. firm informatycznych, które świadczą usługi outsourcingowe, wykazuje się takimi normami ISO i jest to wskazówka, że poziom zabezpieczenia danych jest u nich wysoki.

Znacznie ma się zwiększyć rola umów powierzenia danych do przetwarzania. Czy do tej pory nie spełniały one swojej funkcji?

Umowa powierzenia przetwarzania danych występuje wtedy, kiedy firma decyduje się powierzyć podmiotowi zewnętrznemu przetwarzanie swoich danych, często w związku z inną usługą. Chodzi np. o firmę payrollową, która obsługuje przedsiębiorcę i pracowników od strony HR i finansowo-księgowej. Powierzając dane firmie trzeciej musimy zawrzeć – zgodnie z obecną ustawą – umowę o powierzenie przetwarzania danych. Nasza regulacja jest bardzo skąpa w tym zakresie. Mówi tylko o konieczności zawarcia umowy w formie pisemnej i określeniu zakresu i celu powierzenia danych. I to na razie tyle odnośnie do wymogów prawnych.

W praktyce bardzo wiele podmiotów zapominało o podpisywaniu tej umowy lub pomijało ją celowo bądź nieumyślnie, uważając, że jest to mniej istotne, niż sama usługa główna będąca przedmiotem umowy. Nawet jeśli umowy były zawierane, to zwykle w szczątkowej wersji. Teraz to się zmienia. Nowe rozporządzenie wprowadza bardziej szczegółową regulację. Umowy będą musiały zawierać dużo więcej postanowień niż krótkie zdanie o powierzeniu, zakresie i celu. Przedsiębiorcy będą musieli przejrzeć wszystkie dotychczas zawarte umowy i dostosować je do nowych wymogów.

Stąd też, zawierając w najbliższym czasie nowe umowy o powierzeniu przetwarzania danych, warto już teraz zadbać, żeby były one zgodne z nowymi wymaganiami. Wtedy nie będzie konieczności ich aneksowania za dwa lata. Mówimy o dwuletnim okresie dostosowania, ale patrzmy krok do przodu.

Nowych obowiązków jest sporo. Czy przedsiębiorcy mogą jednak liczyć na jakieś uproszczenia?

Jednym z ułatwień będzie rezygnacja z rejestracji baz danych. Do tej pory jednym z uciążliwszych – szczególnie dla małych przedsiębiorców – obowiązków było rejestrowanie baz danych w GIODO. Oczywiście rok temu zostały wprowadzone pewne ułatwienia, ale nie do końca nimi były w praktyce. Można było nie rejestrować baz danych w GIODO, jeżeli się powołało administratora bezpieczeństwa informacji, tzw. abi-ego, którego zgłaszało się do GIODO. W takiej sytuacji bazy danych musiały być jednak prowadzone w firmie przez abi-ego w formie jawnego rejestru. A zatem ułatwienie było iluzoryczne. Nowe przepisy całkowicie odchodzą od rejestracji baz danych. Nie będzie już obowiązku notyfikacji posiadanych baz. Po prostu trzeba będzie zapewnić odpowiedni poziom ochrony danych osobowych i to wystarczy. Natomiast będzie trzeba prowadzić rejestr czynności przetwarzania danych, za które odpowiada dany podmiot, co jest swoistą modyfikacją dotychczasowych obowiązków.

Czy z nowych przepisów wynikają jeszcze jakieś korzystne dla przedsiębiorców rozwiązania?

Ułatwione będą zasady przekazywania danych poza EOG. Do dotychczasowego katalogu przesłanek umożliwiających transfer danych dochodzi np. transfer ze względu na ważne prawnie uzasadnione interesy administratora. Może to jednak dotyczyć wyłącznie sytuacji gdy transfer taki nie jest powtarzany i dotyczy tylko ograniczonej liczby osób.

Ewa Kurowska-Tober partner w kancelarii DLA Piper w Warszawie, kieruje praktyką prawa własności intelektualnej i nowych technologii. Doradza w kwestiach bezpieczeństwa danych i cyberbezpieczeństwa, w tym w związku z projektami wdrożeniowymi dotyczącymi infrastruktury krytycznej. Specjalizuje się w prawie ochrony danych osobowych doradzając przy globalnych programach zgodności z przepisami dotyczącymi prywatności, transgranicznych transferach danych, wdrażaniu polityk bezpieczeństwa i zgłaszaniu podejrzenia ich naruszenia.

POLECAMY

KOMENTARZE