Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Firma

Jak przygotować firmę do nowego systemu ochrony danych osobowych

123RF
Przedsiębiorcy będš zobligowani wykazać na żšdanie urzędu, że okreœlone rozwišzania zostały rozważone z punktu widzenia ich zgodnoœci z ogólnymi zasadami przetwarzania danych, i przede wszystkim, że tym zasadom w pełni odpowiadajš.

W połowie wrzeœnia ujrzał œwiatło dzienne projekt nowej ustawy o ochronie danych osobowych, która ma służyć dostosowaniu polskiej regulacji systemu ochrony danych osobowych do rozwišzań przewidzianych w Rrozporzšdzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w zwišzku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Rozporzšdzenie wchodzi w życie 25 maja 2018 roku. Polski ustawodawca chce wykorzystać zakreœlony w rozporzšdzeniu okres dostosowawczy do efektywnego przygotowania się do stosowania rozporzšdzenia. Ministerstwo Cyfryzacji prowadzi konsultacje społeczne projektu ustawy wdrażajšcej RODO.

Nowa filozofia

Ambicjš autorów rozporzšdzenia było wprowadzenie nowej filozofii ochrony danych osobowych, opierajšcej się na siedmiu fundamentach – zasadach dotyczšcych przetwarzania danych osobowych, które powinny znaleŸć odzwierciedlenie w praktykach stosowanych przez organizacje w toku procesu przetwarzania danych. Szukajšc odpowiedzi na pytanie, jakie ramy prawne zmobilizujš administratorów danych do podjęcia œrodków zapewniajšcych ich rzeczywistš ochronę w praktyce, czyli jednym słowem – zapewniš realizację wspomnianych zasad, przyjęto strategię aktywnej ochrony.

W konsekwencji, osiš reformy stała się zasada rozliczalnoœci. Składajš się na niš:

- zasada zgodnoœci z prawem, rzetelnoœci i przejrzystoœci,

- zasada ograniczenia celu przetwarzania danych,

- zasada minimalizacji danych,

- zasada prawidłowoœci danych,

- zasada ograniczenia przechowania danych,

- zasada integralnoœci i poufnoœci danych.

Ustawowe uregulowanie obowišzku raportowania rzeczywistych œrodków ochrony danych stanowi nowoœć w zakresie architektury systemu ochrony danych osobowych. Nigdy wczeœniej na administratorach nie cišżyło blankietowe zobowišzanie wykazywania na żšdanie organu zgodnoœci podejmowanych praktyk z zasadami dotyczšcymi przetwarzania. Przedsiębiorcy w myœl nowych przepisów będš zobligowani wykazać, że okreœlone rozwišzania zostały rozważone z punktu widzenia ich zgodnoœci z ogólnymi zasadami przetwarzania danych, i przede wszystkim, że tym zasadom w pełni odpowiadajš.

Pora na sprawdzanie

Wywišzanie się z obowišzku raportowania zgodnoœci praktyk i œrodków, w pierwszej kolejnoœci wymaga dokonania przeglšdu obowišzujšcych w organizacji polityk i procedur w zakresie przetwarzania danych, a także samych danych. Wprowadzenie mechanizmu rozliczalnoœci skłania do dokonania we własnym dobrze pojętym interesie, nie tylko analizy zapisów wewnętrznych dokumentów dotyczšcych przetwarzania danych, ale przede wszystkim, rzetelnej oceny praktyki organizacji w tym zakresie. Ten wstępny etap może być porównany do swoistej inwentaryzacji, w ramach której winny być ustalone kategorie przetwarzanych danych, osób, których dane sš przetwarzane, a także katalog akcji podejmowanych względem tych danych, czyli szczegółowy ich opis i dokonywanych w zwišzku z nimi czynnoœci.

Wszystko to pozwoli zidentyfikować rodzaje operacji przetwarzania, które ze względu np. na posłużenie się nowymi technologiami, czy skalę przetwarzania, mogš implikować pewne ryzyka. Jeszcze przed rozpoczęciem przetwarzania, a zatem przed uzyskaniem danych od użytkownika, niezbędne może okazać się dokonanie oceny skutków dla ochrony danych (art. 35 RODO), którego celem jest okreœlenie prawdopodobieństwa i powagi tego naprowadzonego ryzyka, przy uwzględnieniu charakteru, zakresu, kontekstu i celów przetwarzania oraz Ÿródła ryzyka. Ocena skutków powinna w szczególnoœci obejmować planowane œrodki, zabezpieczenia i mechanizmy majšce minimalizować dane ryzyko, zapewniać ochronę danych osobowych, a w końcu, w myœl koronnej zasady rozliczalnoœci, pozwoli wykazać przestrzeganie RODO.

Projekty i ustawienia

Dšżšc do osišgnięcia dobrych praktyk prywatnoœci, już na etapie projektowania systemu przetwarzania danych zadbać należy, aby wprowadzone do niego zostały odpowiednie rozwišzania, które zapewniš ochronę danych użytkowników i zagwarantujš, że proces przetwarzania następował będzie w zgodzie z RODO. Mowa o zasadzie prywatnoœci w fazie projektowania (privacy by design – art. 25 ust. 1 RODO), która każe aktywnie uwzględniać szereg przesłanek, o różnym prawdopodobieństwie występowania i wadze zagrożenia. I tak, bioršc pod uwagę stan wiedzy technicznej, koszt wdrażania, a także charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolnoœci osób fizycznych, administrator winien wdrożyć œrodki techniczne oraz organizacyjne w celu wykluczenia ryzyka naruszeń. Rozwišzania te winny być przy tym jak najlepiej dostosowane do rzeczywistych potrzeb administratora, to znaczy powinny być „szyte na miarę" danego procesu przetwarzania. Stšd, wstępnie względem projektowania systemu, nastšpić powinna ocena możliwych ryzyk i ich wpływu na ochronę danych.

Przeprowadzenie oceny przez pryzmat wskazanych powyżej wymogów ma miejsce również w stosunku do systemu, który już funkcjonuje. W tym zakresie, automatyzm przetwarzania wymaga przyjęcia założenia wstępnego w postaci najszerszej możliwej ochrony prywatnoœci. Oznacza to, że ograniczenie prywatnoœci użytkownika nastšpić może wyłšcznie z jego własnej inicjatywy, i musi przyjšć postać podjęcia okreœlonej aktywnoœci (zasada prywatnoœci w ustawieniach domyœlnych – privacy by default).

Ciekawš alternatywš dla wykazania spełnienia wymogów standardu poszanowania prywatnoœci tak w fazie projektowania, jak i sprawdzania adekwatnoœci zakresu przetwarzania danych w systemie (ustawień domyœlnych) będzie mechanizm certyfikacji. Trudno ocenić czy administratorzy będš powszechnie decydowali się na certyfikowanie swoich systemów, głównym zagrożeniem jest fakt, iż uzyskanie certyfikatu nie zwalnia administratora z przestrzegania wymogów rozporzšdzenia (art. 42 ust. 4 RODO).

Zmiany w dokumentacji

Przebudowa prawnych ram ochrony danych nie spowoduje całkowitego zdezaktualizowania się dokumentacji dotyczšcej przetwarzania, obowišzujšcej w organizacjach w myœl aktualnych przepisów. W tym zakresie RODO wprowadza jednak wymóg legitymowania się nowymi, dodatkowymi dokumentami.

Aktualnie na administratorze danych spoczywa obowišzek posiadania polityki bezpieczeństwa oraz instrukcji zarzšdzania systemem informatycznym. Rolš pierwszego dokumentu jest wskazanie œrodków bezpieczeństwa i procedur bezpiecznego przetwarzania informacji. Tam znajdziemy wykaz fizycznych i technicznych zabezpieczeń, miejsc, gdzie dane sš przetwarzane oraz programów zastosowanych do przetwarzania danych osobowych. Instrukcja ma zaœ na celu uporzšdkowanie procedur w zakresie nadawania uprawnień, uwierzytelniania, tworzenia narzędzi programowych

RODO przewiduje

Ustawa o ochronie danych osobowych z 1997 r. przewiduje:

- posiadanie polityki bezpieczeństwa danych osobowych

- instrukcję zarzšdzania systemem informatycznym

- rejestr czynnoœci przetwarzania udostępniany na żšdanie organu nadzorczego – art. 30 RODO;

- dokumentację incydentów (naruszeń) – art. 33 ust. 5 RODO

- politykę i instrukcje wykazujšce zgodnoœć z RODO

W odniesieniu do obowišzków formalnych, pozytywna zmiana polega na zniesieniu ucišżliwej dla administratorów procedury rejestracji i aktualizacji zbiorów danych osobowych. Sam fakt rejestracji nie gwarantował, że dane sš należycie chronione. Ten aspekt w szczególnoœci wymagał więc zmian, które miały przyczynić się do sztandarowego celu reformy, czyli przeniesienia ochrony danych z „teorii do praktyki", i pomóc nadzorowaniu i przestrzeganiu prawidłowoœci procesu przetwarzania. Alternatywš dla rejestracji będzie obowišzek prowadzenia przez przedsiębiorców dokumentacji czynnoœci przetwarzania. Analiza ma tutaj przybierać czynnoœć aktywnš, pozostajšcš w toku w miarę przetwarzania danych – administratorzy obowišzani sš na bieżšco analizować i przewidywać skutki przetwarzania.

Zgodnie z RODO, administrator będzie obowišzany dokumentować wszelkie naruszenia ochrony danych osobowych, uwzględniajšc okolicznoœci oraz skutki naruszeń, a także podjęte przez siebie działania zaradcze. Dokumentacja będzie służyła organowi nadzorczemu do sprawdzenia czy przestrzegane sš obowišzki administratora, w tym obowišzek zawiadomienia organu o wystšpieniu incydentu naruszenia. Zalecanie jest wczeœniejsze przygotowanie stosownej polityki reagowania na incydenty, a wraz z niš wzorów odpowiednich formularzy informacyjnych i planów naprawczych. Przygotowanie tych dokumentów nabiera szczególnego znaczenia, ponieważ w przypadku zaistnienia incydentu naruszenia, administrator ma jedynie 72 godziny na przygotowanie kompletnego zawiadomienia do organu nadzorczego.

Lepiej zapobiegać niż leczyć

W myœl zasady, że lepiej zapobiegać, niż leczyć, niezależnie od wspomnianych powyżej dokumentów, z punktu widzenia prawidłowej realizacji zasady rozliczalnoœci, rekomendowane jest uzupełnienie workflow w zakresie przetwarzania danych w organizacji o dodatkowe dokumenty wewnętrzne. Każda organizacja powinna więc skodyfikować instrukcję „krok po kroku" postępowania w sytuacjach potencjalnych zagrożeń. Wskazać można, że administrator winien wyczerpujšco uregulować konsekwencje pobrania służbowej poczty na prywatne urzšdzenie mobilne pracownika, lub sposób postępowania w przypadku pozostawienia wydruków w nieodpowiednim miejscu, tak, że informacje mogš trafić w niepowołane ręce.

RODO wymaga, aby każda z podobnych sytuacji została odpowiednio wczeœnie przewidziana, a administrator zapewnił na wypadek ich zaistnienia dokładne instrukcje. I tak, odpowiednio do podanego przykładu, byłyby to instrukcje wykorzystywania w pracy mobilnych urzšdzeń służbowych i prywatnych, czy obiegu dokumentów zapewniajšcego zachowanie ich poufnoœci, które będš następnie pomocne dla wykazania, czyli znamiennego – rozliczenia, akcji podejmowanych w zakresie przetwarzania danych.

Zdaniem autorów

Spodziewane efekty - Grzegorz Pobożniak, adwokat partner w Kancelarii Kubas Kos Gałkowski sp. p. sp.k.; Magdalena Krawczyk, adwokat senior associate w Kancelarii Kubas Kos Gałkowski sp. p. sp.k.

Lektura motywów rozporzšdzenia wskazuje kierunek reformy, której głównym celem zdaje się być zapewnienie danym osobowym, a konkretnie prywatnoœci – gwarantujšcej ich poufnoœć, eksponowanego miejsca w katalogu praw podstawowych. Tyle teorii. Cišgły wzrost wartoœci danych osobowych i zwiększenie się liczby zagrożeń przemawiajš za potrzebš realnego wzmocnienia odpowiedzialnoœci administratorów, którzy w myœl RODO majš podejmować konkretne działania i pełnić aktywnš rolę w organizacji. Obowišzek rozliczalnoœci ma stanowić gwarancję realizacji zasad dotyczšcych przetwarzania danych osobowych. Wydaje się, że to rozwišzanie będzie adekwatnš odpowiedziš na skalę naruszeń i posłuży jako efektywne narzędzie dla egzekwowania przepisów przez organy nadzorcze.

ródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL