Ochrona danych osobowych: nieprzygotowani przedsiębiorcy zapłacą krocie

4 maja 2016 r. został opublikowany ostateczny tekst rozporządzenia Parlamentu Europejskiego i Rady (UE) w sprawie ochrony danych osobowych. Wprowadza ono nie tylko wiele nowych obowiązków dla przedsiębiorców, ale także ogromne kary finansowe za ich niewypełnianie. Generalny inspektor ochrony danych osobowych już zapowiedział, że będzie z przyznanych mu możliwości korzystał.

GIODO przygotowała przewodnik

Nowe przepisy mają zacząć obowiązywać w Polsce dopiero od końca maja 2018 r., ale nie zostało wiele czasu na ich wdrożenie, biorąc pod uwagę zakres proponowanych w rozporządzeniu zmian. Tymczasem już pojawiają się wytyczne mające ułatwić przedsiębiorcom dostosowanie się do nowych regulacji.

Ochrona danych osobowych wpisała się na stałe w kanon tematów, które powinny być wskazywane jako jeden z obszarów znajdujących się pod czujnym okiem zespołu compliance w firmie. Stało się tak za sprawą wprowadzenia rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO"). Do 25 maja 2018 r., a więc daty rozpoczęcia obowiązywania RODO, przedsiębiorcy mają czas na dostosowanie się do przepisów prawa, a inspektorzy ochrony danych na zapoznanie się nowymi zadaniami.

Przypomnijmy, że rozporządzenia unijne (w przeciwieństwie do dyrektyw, które muszą zostać odpowiednio implementowane w poszczególnych państwach członkowskich), obowiązują bezpośrednio. Materia związana z ochroną danych osobowych jest jednak o tyle skomplikowana, że nie wszystkie kwestie poruszane przez RODO są doprecyzowane i, w konsekwencji, przedsiębiorcy mają wątpliwości, czy właściwie rozumieją przepisy rozporządzenia. Część z nich rozwiązania upatruje w polskiej ustawie – przepisy RODO wprost uprawniają lub zobowiązują państwa członkowskie do rozstrzygnięcia niektórych kwestii na gruncie ustawodawstwa krajowego. Polska ustawa miałaby także wprowadzić inne normy – niewynikające z RODO, ale jak mówił dr Maciej Kawecki, doradca w gabinecie politycznym ministra cyfryzacji (konferencja „Doskonalenie wykonywania funkcji ABI – drugi rok doświadczeń"), konieczne do skutecznego zastosowania rozporządzenia.

Próbę wyjaśnienia części nurtujących przedsiębiorców wątpliwości podjęła Grupa Robocza art. 29, w której naradach uczestniczył także generalny inspektor danych osobowych w Polsce Edyta Bielak-Jomaa. Przygotowywane przez nią dokumenty są pewnego rodzaju przewodnikiem (wytycznymi) dla przedsiębiorców i warto się z nim zapoznać w kontekście planowanych zmian.

Kiedy należy wyznaczyć IDO

Funkcjonujący na gruncie obowiązującej w Polsce ustawy o ochronie danych osobowych administrator bezpieczeństwa informacji (ABI) od maja 2018 r. będzie nazywany inspektorem ochrony danych (IDO, z ang. Data Protection Officer). Co jednak istotniejsze, RODO wskazuje teraz konkretne przypadki, w których podmiot jest obowiązany powołać inspektora ochrony danych, inaczej niż w obecnych regulacjach – przedsiębiorca może, ale nie musi powoływać ABI. Od 2018 r. to się zmieni.

Po wejściu w życie nowej regulacji administrator i podmiot przetwarzający będą zobowiązani powołać IDO zawsze, gdy (1) przetwarzania dokonują organ lub podmiot publiczny (z wyjątkiem sądów w obszarze sprawowania przez nie wymiaru sprawiedliwości), a także gdy (2) główna działalność podmiotu polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.

Trzecią kategorią podmiotów są (3) administratorzy i przetwarzający, których działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Wskazane zapisy budziły wiele wątpliwości, m.in. jak rozumieć „główną działalność", „dużą skala przetwarzania", czy też „regularne i systematyczne monitorowanie" – od interpretacji tych pojęć zależy obowiązek powołania IDO w spółce. Wyjaśnienie tych pojęć ma zasadnicze znaczenie, gdyż wszystkie powołane przesłanki powinny być spełnione, aby powstał obowiązek powołania IDO w spółce.

Jak wskazują wytyczne, „główną działalność" należy rozumieć jako kluczową działalność służącą osiągnięciu celów przez administratora lub podmiot przetwarzający. Wyjaśniając to pojęcie, posłużono się przykładem szpitali, które nie będą mogły zapewnić efektywnej opieki medycznej bez możliwości przetwarzania danych, choćby tych związanych z dokumentacją medyczną. Tym samym przetwarzanie danych należy uznać za główną działalność szpitala i taki podmiot jest zobowiązany do powołania IDO. I tu niespodzianka: wytyczne wymieniają także firmę ochroniarską jako kolejny podmiot, w którym obowiązkowo powinien być powołany IDO.

Grupa Robocza art. 29 wskazuje, iż nie jest możliwe podanie konkretnej liczby osób lub rozmiaru zbioru danych, które pozwolą uznać, od jakiej granicy rozpoczyna się duża skala przetwarzania. Grupa Robocza jednocześnie przedstawiła kilka przykładów przetwarzania danych na dużą skalę, wymieniając m.in. przetwarzanie danych pacjentów przez szpitale, przetwarzanie danych na potrzeby reklamy behawioralnej przez wyszukiwarki, przetwarzanie danych przez firmy ubezpieczeniowe i banki, przetwarzanie danych przez dostawców usług telefonicznych lub internetowych.

Odnośnie do „regularnego i systematycznego monitorowania", Grupa Robocza oprócz zdefiniowania pojęć, czym jest regularność i systematyczność w kontekście monitorowania danych, wskazała konkretne przykłady takiego monitorowania: obsługę sieci telekomunikacyjnej, śledzenie lokalizacji (np. w aplikacjach telefonicznych), monitorowanie danych o stanie zdrowia, monitoring wizyjny, programy lojalnościowe, reklamę behawioralną, profilowanie i ocenianie na potrzeby oceny ryzyka (np. ryzyka kredytowego).

O czym jeszcze mówią wytyczne

Wytyczne szerzej opisują także zagadnienia związane z pozycją i zadaniami inspektora ochrony danych – jego udziału w ochronie danych osobowych, monitorowaniu zgodności z RODO, czy też zapewnieniu niezbędnych zasobów do wykonywania zadań.

Jak wskazano w wytycznych, powinna mu zostać zapewniona pełna niezależność, która w szczególności polegałaby na przyjęciu przez niego określonego stanowiska w danej sprawie bez otrzymywania instrukcji dotyczących sposobu rozstrzygania sprawy czy kontaktu z organem nadzorczym. Gdy administrator lub podmiot przetwarzający podejmą decyzję odmienną od rekomendacji IDO i niezgodną jednocześnie z RODO, IDO powinien mieć możliwość przedstawienia swojej opinii osobom decyzyjnym.

Grupa Robocza art. 29 podkreśliła także, że odmienne zdanie administratora lub podmiotu przetwarzającego nie może być powodem karania IDO ani odwoływania go za udzielenie określonego zalecenia. Jednocześnie należy cały czas pamiętać, że to administrator i podmiot przetwarzający są odpowiedzialni za przestrzeganie przepisów o ochronie danych osobowych i to oni są zobowiązani pokazać, że działają zgodnie z prawem. Taka regulacja wynika wprost z przepisów RODO.

Podobnie, do przeprowadzenia oceny skutków dla ochrony danych zobowiązany jest administrator, a IDO będzie pełnić funkcję wspierającą. Grupa Robocza art. 29 wskazuje, że gdy administrator nie zgadza się z zaleceniami IDO, dokumentacja powinna zawierać pisemne uzasadnienie, dlaczego rekomendacje IDO nie zostały uwzględnione.

Co grozi przedsiębiorcy

Co bardzo istotne, RODO wprowadza także podejście oparte na ryzyku. Na IDO został nałożony obowiązek wypełniania zadań z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania i charakteru, zakresu, kontekstu i celów przetwarzania. Jak wyjaśniają wytyczne, należy ustalić priorytety w pracy IDO i skoncentrować się na kwestiach pociągających za sobą większe ryzyko. Oznacza to, że każdy podmiot sam musi ocenić, czy w danej sytuacji zastosował dostępne i uznane w chwili przetwarzania za stabilne technologicznie środki.

Znajomość RODO i wytycznych jest o tyle istotna, iż przepisy przewidują niezwykle surowe sankcje za nieprzestrzeganie regulacji o ochronie danych osobowych – dostosowanie przez przedsiębiorców swoich działań w ochronie danych osobowych do wymogów rozporządzenia zostało zabezpieczone bardzo dotkliwymi karami finansowymi.

Zgodnie z art. 83 rozporządzenia mogą to być kary finansowe do 10 mln euro lub do 2 proc. światowego rocznego obrotu – m.in. za naruszenia odpowiednich obowiązków administratora i podmiotu przetwarzającego, w tym obowiązku wyznaczenia inspektora ochrony danych.

Dodatkowo, za naruszenie podstawowych zasad przetwarzania, w tym warunków zgody określonych w odpowiednich przepisach, administracyjna kara pieniężna może wynieść nawet do 20 mln euro lub do 4 proc. światowego rocznego obrotu z poprzedniego roku obrotowego, przy czym należy zaznaczyć, że zastosowanie będzie miała kwota wyższa.

Trzeba się zastanowić zawczasu

Wytyczne przygotowane przez Grupę Roboczą art. 29 to kolejne wskazówki dla przedsiębiorców – w szczególności dla tych, dla których temat ochrony danych osobowych jest nowością. Zapoznanie się z nimi wydaje się więc obowiązkowe dla każdego przedsiębiorcy. Już dziś warto zastanowić się, jakie działania należy podjąć, aby 25 maja 2018 r. być przygotowanym na wejście w życie nowych regulacji. W szczególności, gdy kary zabezpieczające stosowanie nowych regulacji są tak dotkliwe.

Joanna Stolarek jest Liderem Praktyki Compliance w Kancelarii Ożóg Tomczykowski, Certyfikowanym Compliance Officer