Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Firma

Ochrona danych osobowych na nowych zasadach w kontekście przedsiębiorców, ?firm outsourcingowych i biur rachunkowych

123RF
Wyciek danych bšdŸ przetwarzanie ich w innym celu niż ten, dla którego były zebrane, mogš zostać obcišżone karš od 2 do 4 proc. obrotu bšdŸ od 10 do 20 mln euro. Przedsiębiorcy majš dwa lata na dostosowanie się do zmienionych reguł – mówi Ewa Kurowska-Tober w rozmowie z Agnieszkš Łukasiewicz.

Rz: W kwietniu uchwalono rozporzšdzenie unijne w sprawie ochrony danych osobowych. Jakie najistotniejsze zmiany wprowadza, zwłaszcza w kontekœcie przedsiębiorców, firm outsourcingowych i biur rachunkowych?

Ewa Kurowska-Tober: Rozporzšdzenie o ochronie danych osobowych zostało uchwalone w kwietniu i właœnie wchodzi w życie. To może być zaskoczeniem dla niektórych podmiotów, ale rozporzšdzenie pozostawia dwuletni okres na dostosowanie do jego regulacji. Do 25 maja 2018 r. wszystkie podmioty przetwarzajšce dane osobowe będš musiały dostosować się do nowych regulacji. Mamy więc dwa lata od teraz.

Regulacja jest olbrzymiš reformš dotychczasowych przepisów o ochronie danych osobowych. Prace trwały cztery lata. Miały na celu głównie unowoczeœnienie dotychczasowych przepisów, ponieważ dyrektywa częœciowo zdezaktualizowała się, nie obejmowała już wszystkich kwestii zwišzanych z rozwojem nowych technologii w ostatnich latach. Głównym celem regulacji było wzmocnienie praw jednostki, tj. praw obywateli UE. Unia zrobiła badania i sprawdziła, że poziom zaniepokojenia obywateli ochronš danych osobowych i tym co się dzieje z naszymi danymi głównie w internecie, jest olbrzymi. Stšd wniosek o koniecznoœci poprawienia i uszczelnienia systemu, wprowadzenia silniejszych mechaniz- mów egzekwowania i – co ważne – ujednolicenia przepisów w całej UE.

Do tej pory przepisy nie były jednolite?

Państwa unijne opierały się na dyrektywie o ochronie danych osobowych. Jej implementacja spowodowała, że każdy kraj po swojemu powprowadzał te same przepisy i w zwišzku z tym różnice były naprawdę istotne. Generowało to nie tylko kłopoty prawne i interpretacyjne, ale oznaczało konkretne koszty i problemy organizacyjne dla podmiotów działajšcych w różnych krajach unijnych. Podmiot, który działał nie tylko w jednym kraju UE, musiał dostosować swoje przetwarzanie danych do różnych przepisów wynikajšcych niby z tej samej dyrektywy, ale różnišcych się między sobš. Ocenia się, że wprowadzenie jednolitego mechanizmu dla całej Unii przyniesie konkretne oszczędnoœci. Mówi się o ponad 200 mln euro oszczędnoœci dla przedsiębiorców, ponieważ nie będš musieli biegać od regulatora do regulatora w każdym państwie członkowskim i dostosowywać się do jego lokalnych wymogów.

Nowe przepisy oznaczajš nowe wymagania...

Z punktu widzenia polskich przedsiębiorców rzeczywiœcie pojawiš się nowe wymogi i nowe instytucje, które do tej pory nie były wymienione w ustawie o ochronie danych osobowych. Pojawi się – co jest najistotniejszš informacjš – poważna odpowiedzialnoœć za naruszenie przepisów w zakresie ochrony danych osobowych. Do tej pory przepisy o ochronie danych osobowych były traktowane trochę po macoszemu, zwłaszcza przez mniejsze firmy.

Wielkie podmioty, które na masowš skalę przetwarzajš dane osobowe, takie jak banki lub ubezpieczyciele majš odpowiednie struktury zajmujšce się zagadnieniem ochrony danych.

Tak, one sš wyczulone na tym punkcie, od lat wprowadzajšc mechanizmy majšce na celu ochronę danych osobowych. Natomiast mniejsi w dużym stopniu darowali sobie ten obszar, ponieważ nie było istotnych sankcji. Musiała pojawić się kontrola GIODO, zidentyfikować naruszenie, wydać decyzję wzywajšcš do jego usunięcia i dopiero jeœli podmiot się nie zastosował, to mogła być nałożona kara finansowa.

Jakiego rodzaju to były naruszenia?

Głównie sprowadzały się do niezabezpieczenia danych w dostateczny sposób. Musimy pamiętać, że istotš ochrony danych osobowych jest wprowadzenie mechanizmów, które będš chroniły dane przed wyciekiem, udostępnieniem osobom nieuprawnionym, przetwarzaniem w innych celach, niż dla jakich zostały zebrane. Ale były też naruszenia w postaci braku dokumentacji, która jest wymagana polskim prawem w zakresie ochrony danych osobowych, nieprzekazywania wymaganych informacji podmiotom danych, czyli osobom, których dane sš przetwarzane. Większoœć problemów dotyczyła przetwarzania danych nie w tych celach, dla których zostały zebrane, przetwarzania bez podstawy prawnej albo udostępniania innym podmiotom i nieinformowania o tym.

Nowe rozporzšdzenie wprowadza poważne sankcje za naruszenia.

Tak, rozporzšdzenie przewiduje kary nawet do 20 mln euro i do 4 proc. obrotu œwiatowego za poprzedni rok.

Rozumiem, że tym karom będš podlegać te nieprawidłowoœci, o których wspomniała Pani wczeœniej?

Tak, jak najbardziej. Wszystkie poważniejsze naruszenia, w tym dotyczšce naruszenia podstawowych zasad przetwarzania, np. przetwa- rzanie danych w innym celu czy niewypełnianie obowišzku informacyjnego, zagrożone sš karš do 4 proc. obrotu œwiatowego, bšdŸ do 20 mln euro. To spowoduje, że ci polscy przedsiębiorcy, którzy do tej pory lekceważyli tę sferę swojej działalnoœci, albo nie zajmowali się niš w sposób dostateczny, muszš zaczšć uważać. Majš dwa lata na przygotowanie. Wydaje się, że to długo, ale tak naprawdę trzeba się powoli zabierać do pracy, żeby dostosować cały obszar przetwarzania danych osobowych u siebie do nowych regulacji.

Co można doradzić tym mniejszym przedsiębiorcom, którzy nie majš wyspecjalizowanych struktur? Do kogo powinni się udać i o co zadbać?

To zależy od wiedzy i struktury danego podmiotu. Jeœli mały przedsiębiorca ma chociaż podstawowš wiedzę o ochronie danych osobowych, to jest w stanie sam wykonać podstawowe ćwiczenie w postaci przejrzenia, co się u niego dzieje. Ale nie oszukujmy się. Regulacja jest skomplikowana, zawiera prawie 100 artykułów i zwykły, mały przedsiębiorca pewnie sam sobie nie poradzi z przebrnięciem przez przepisy. Musi się udać do prawników lub do wyspecjalizowanych firm, które œwiadczš usługi doradcze w zakresie ochrony danych osobowych, którzy sprawdzš, jakie dane przetwarza, w jakich celach, od kogo je zbiera, jak je przechowuje, czy ma dostateczne zabezpieczenia, czy ma wymaganš dokumentację i na tej podstawie pomogš dostosować się do nowych regulacji.

Ile może kosztować taki audyt?

Wszystko zależy od firmy – jej wielkoœci, iloœci i zakresu przetwarzanych danych. Mały przedsiębiorca prowadzšcy zakład naprawczy będzie miał tych danych stosunkowo mało, ale już popularny sklep internetowy przetwarza olbrzymi zakres danych i z racji specyfiki działalnoœci podmiotu będš one musiały być w szczególny sposób zabezpieczone.

Od administratora danych będzie się wymagać, aby zlecał operacje na danych wyłšcznie takim podmiotom, które zapewniajš gwarancję wdrożenia odpowiednich œrodków technicznych i organizacyjnych. Co to oznacza w praktyce?

Została wprowadzona zasada profesjonalnego przetwarzajšcego. Zdarza się, że firma powierza dane, które przetwarza w swoich procesach gospodarczych, innemu podmiotowi, który wspomaga jš w okreœlonym zakresie. Może to być np. firma mailingowa, która rozsyła oferty, ulotki lub informacje bšdŸ agencja, która prowadzi konkursy czy agencja reklamowa, która wspomaga działalnoœć tego przedsiębiorcy. To mogš być także firmy kurierskie. Kiedy firma decyduje się na skorzystanie z usług firmy trzeciej i udostępni jej dane klientów lub pracowników, to cišgle odpowiada za to powierzenie. Podmiot trzeci musi być zatem godny zaufania i gwarantować bezpieczne przetwarzanie powierzonych mu danych.

Nowe przepisy wprowadziły wymóg, żeby te firmy, którym powierzamy przetwarzanie danych, były profesjonalne i zapewniały odpowiedni sposób zabezpieczenia danych osobowych. W praktyce to będzie trudne, bo na administratorze danych, tj. firmie, która powierza dane innej firmie do przetwarzania, będzie cišżył obowišzek ustalenia czy przetwarzajšcy je podmiot będzie gwarantował zgodne z prawem przetwarzanie danych. Rozporzšdzenie jest napisane w duchu tzw. zasady rozliczalnoœci – nie tylko musimy przestrzegać przepisów, ale musimy być w stanie wykazać, że ich przestrzegamy.

Jak temu sprostać?

Będš temu służyły różne mechanizmy, m.in. certyfikaty i znaki jakoœci, o które można będzie wystšpić. Będš firmy certyfikujšce, sprawdzajšce, czy poziom zabezpieczenia u danego podmiotu jest wystarczajšcy. Jeżeli przedsiębiorca będziemy chciał powierzyć dane osobie trzeciej, np. firmie payrollowej, to może zażšdać, aby się wykazała np. certyfikatem, znakiem jakoœci lub spełnieniem okreœlonej normy. Sš już w tej chwili normy ISO, które odpowiadajš właœnie za standardy w zakresie zabezpieczenia danych osobowych. Wiele podmiotów, np. firm informatycznych, które œwiadczš usługi outsourcingowe, wykazuje się takimi normami ISO i jest to wskazówka, że poziom zabezpieczenia danych jest u nich wysoki.

Znacznie ma się zwiększyć rola umów powierzenia danych do przetwarzania. Czy do tej pory nie spełniały one swojej funkcji?

Umowa powierzenia przetwarzania danych występuje wtedy, kiedy firma decyduje się powierzyć podmiotowi zewnętrznemu przetwarzanie swoich danych, często w zwišzku z innš usługš. Chodzi np. o firmę payrollowš, która obsługuje przedsiębiorcę i pracowników od strony HR i finansowo-księgowej. Powierzajšc dane firmie trzeciej musimy zawrzeć – zgodnie z obecnš ustawš – umowę o powierzenie przetwarzania danych. Nasza regulacja jest bardzo skšpa w tym zakresie. Mówi tylko o koniecznoœci zawarcia umowy w formie pisemnej i okreœleniu zakresu i celu powierzenia danych. I to na razie tyle odnoœnie do wymogów prawnych.

W praktyce bardzo wiele podmiotów zapominało o podpisywaniu tej umowy lub pomijało jš celowo bšdŸ nieumyœlnie, uważajšc, że jest to mniej istotne, niż sama usługa główna będšca przedmiotem umowy. Nawet jeœli umowy były zawierane, to zwykle w szczštkowej wersji. Teraz to się zmienia. Nowe rozporzšdzenie wprowadza bardziej szczegółowš regulację. Umowy będš musiały zawierać dużo więcej postanowień niż krótkie zdanie o powierzeniu, zakresie i celu. Przedsiębiorcy będš musieli przejrzeć wszystkie dotychczas zawarte umowy i dostosować je do nowych wymogów.

Stšd też, zawierajšc w najbliższym czasie nowe umowy o powierzeniu przetwarzania danych, warto już teraz zadbać, żeby były one zgodne z nowymi wymaganiami. Wtedy nie będzie koniecznoœci ich aneksowania za dwa lata. Mówimy o dwuletnim okresie dostosowania, ale patrzmy krok do przodu.

Nowych obowišzków jest sporo. Czy przedsiębiorcy mogš jednak liczyć na jakieœ uproszczenia?

Jednym z ułatwień będzie rezygnacja z rejestracji baz danych. Do tej pory jednym z ucišżliwszych – szczególnie dla małych przedsiębiorców – obowišzków było rejestrowanie baz danych w GIODO. Oczywiœcie rok temu zostały wprowadzone pewne ułatwienia, ale nie do końca nimi były w praktyce. Można było nie rejestrować baz danych w GIODO, jeżeli się powołało administratora bezpieczeństwa informacji, tzw. abi-ego, którego zgłaszało się do GIODO. W takiej sytuacji bazy danych musiały być jednak prowadzone w firmie przez abi-ego w formie jawnego rejestru. A zatem ułatwienie było iluzoryczne. Nowe przepisy całkowicie odchodzš od rejestracji baz danych. Nie będzie już obowišzku notyfikacji posiadanych baz. Po prostu trzeba będzie zapewnić odpowiedni poziom ochrony danych osobowych i to wystarczy. Natomiast będzie trzeba prowadzić rejestr czynnoœci przetwarzania danych, za które odpowiada dany podmiot, co jest swoistš modyfikacjš dotychczasowych obowišzków.

Czy z nowych przepisów wynikajš jeszcze jakieœ korzystne dla przedsiębiorców rozwišzania?

Ułatwione będš zasady przekazywania danych poza EOG. Do dotychczasowego katalogu przesłanek umożliwiajšcych transfer danych dochodzi np. transfer ze względu na ważne prawnie uzasadnione interesy administratora. Może to jednak dotyczyć wyłšcznie sytuacji gdy transfer taki nie jest powtarzany i dotyczy tylko ograniczonej liczby osób.

Ewa Kurowska-Tober partner w kancelarii DLA Piper w Warszawie, kieruje praktykš prawa własnoœci intelektualnej i nowych technologii. Doradza w kwestiach bezpieczeństwa danych i cyberbezpieczeństwa, w tym w zwišzku z projektami wdrożeniowymi dotyczšcymi infrastruktury krytycznej. Specjalizuje się w prawie ochrony danych osobowych doradzajšc przy globalnych programach zgodnoœci z przepisami dotyczšcymi prywatnoœci, transgranicznych transferach danych, wdrażaniu polityk bezpieczeństwa i zgłaszaniu podejrzenia ich naruszenia.

ródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL