Ochrona danych: jak przedsiębiorcy mają się przygotować do przepisów RODO

25 maja 2018 r. wybije godzina zero, w której wszystkie podmioty przetwarzające dane osobowe będą musiały działać całkowicie zgodnie z uchwalonym w zeszłym roku rozporządzeniem ogólnym o ochronie danych osobowych (UE) 2016/679 (tzn. „RODO"). Ta nowa regulacja będąca wynikiem ponad czteroletnich prac w Brukseli zastąpi obecnie obowiązującą krajową ustawę o ochronie danych osobowych i będzie miała bezpośrednie zastosowanie do wszystkich administratorów i przetwarzających w Unii Europejskiej.

Już teraz z całą pewnością można powiedzieć, że wprowadzone przez RODO zmiany są raczej rewolucyjne niż ewolucyjne. Nowa regulacja nie tylko przewiduje wiele nowych uprawnień podmiotów danych osobowych, takich jako prawo do bycia zapomnianym czy do przenoszenia danych i co za tym idzie nowych obowiązków administratorów, ale wprowadziła także dwie kluczowe zasady, na których oparta ma być ochrona prywatności tj. zasadę rozliczalności i zasadę podejścia opartego na ryzyku. Obie te zasady wymagają wdrożenia nowego dla polskich administratorów danych podejścia, a co za tym idzie odpowiedniego opracowania procedur i wdrożenia swoistej korporacyjnej kultury przetwarzania danych osobowych. Zasady te oczywiście nie pojawiły się znikąd. Zostały wypracowane przez wiele lat obowiązywania dotychczasowych regulacji. Niemniej jednak dla polskich przedsiębiorców będą one stanowiły istotne novum.

Pokaż mi jak chronisz dane

Aby przygotować się na RODO i sprostać wymaganiom stawianym przez tę regulację przedsiębiorcy, a przynajmniej część z nich, będą musieli przemodelować dotychczasowy sposób myślenia o ochronie danych osobowych, a w konsekwencji również sposób podejścia do realizacji obowiązków jakie się z tym wiążą. Dlaczego? RODO bardzo wyraźnie w kilku miejscach podkreśla, że podmioty przetwarzające dane nie tylko muszą przestrzegać zasad ochrony danych osobowych (co jest oczywiste), ale też muszą być w stanie wykazać się z przestrzegania tych zasad. Przewidziana w RODO konieczność czy umiejętność wykazania się w konkretnym przypadku przez przedsiębiorcę z przestrzegania przepisów RODO jest określana mianem zasady rozliczalności (ang. accountability) i bez wątpienia stanowi jedną z istotnych zmian wprowadzanych przez RODO, mimo, że sama zasada niczym nowym nie jest. Koncepcja rozliczalności w temacie ochrony danych osobowych pojawiła się kilkadziesiąt lat temu, a jej pierwowzory można znaleźć w wytycznych OECD dotyczących prywatności z 1980 r. czy też w Kanadyjskiej ustawie o ochronie danych osobowych i dokumentach elektronicznych. Cele zasady oraz omówienie istoty oraz sposób jej realizacji były również przedmiotem opinii Grupy Roboczej Art. 29 w 2010 r. Nie powinno więc dziwić, że licząca blisko 40 lat koncepcja przebiła się do świadomości ustawodawcy europejskiego i została bardzo wyraźnie wyartykułowana w przepisach RODO. Sam termin „rozliczalność" pochodzi z kultury anglosaskiej i łączy w sobie sposób realizację działania i możliwość odpowiedniej weryfikacji.

Z teorii do praktyki

Jakie jest praktyczne znaczenie zasady rozliczalności dla przedsiębiorców? Czytając o zasadzie rozliczalności bardzo często możemy spotkać się z twierdzeniem o przeniesieniu zasad ochrony danych osobowych z „teorii do praktyki". I to zdanie doskonale opisuje istotę całego problemu. RODO bowiem wymaga i oczekuje od przedsiębiorców, że ochrona danych osobowych nie będzie traktowana jako jeden z obowiązków, któremu trzeba sprostać w sposób czysto formalny. Niestety, bardzo wiele podmiotów nadal prezentuje bardzo „teoretyczne" podejście do ochrony danych. Opracowują konieczną na chwilę obecną dokumentację czyli politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym, w razie konieczności rejestrują w GIODO zbiór danych osobowych, ale na tym kończy się myślenie o ochronie danych osobowych. Nie wprowadza się w życie określonych procedur, raz przygotowane dokumenty nie są później aktualizowane, nie przeprowadza się szkoleń wewnętrznych, etc. Dlatego właśnie na wstępie powiedzieliśmy, że RODO wymaga od części przedsiębiorców zmiany sposobu myślenia i podejścia do ochrony danych osobowych.

Realizacja obowiązku

Lektura poszczególnych przepisów RODO pokazuje, że w rozporządzeniu jest blisko 40 artykułów, które w sposób jednoznaczny lub nie wprost, ale jednak odwołują się do zasady rozliczalności, a więc wymagają od przedsiębiorców wykazania się z przestrzegania określonych zasad. Pamiętajmy przy tym, że w praktyce chodzi o zademonstrowanie przestrzegania przepisów RODO zarówno przed regulatorem, ale i przed osobami fizycznymi, których dane są przetwarzane.

Realizacja zasady rozliczalności w praktyce oznacza więc z jednej strony, między innymi, konieczność opracowania i wdrożenia odpowiednich mechanizmów, polityk i procedur, ale również zakłada ich bieżące monitorowanie, weryfikację i uaktualnianie. Myślenie o ochronie danych osobowych musi zostać wkomponowane w procesy biznesowe oraz kulturę danego przedsiębiorcy i powinno to być myślenie proaktywne.

Podejście oparte na ryzyku

Słowem „kluczem" dla lepszego zrozumienia RODO, w szczególności w kontekście oczekiwań stawianych przedsiębiorcom, jest pojęcie „ryzyko". Unijne rozporządzenie stanowi bowiem przykład regulacji opartej na ryzyku (risk-based approach), silnie wzorując się w tym zakresie na rozwiązaniach występujących w krajach anglosaskich, w szczególności w USA. Jest to szczególnie interesujące, jeśli uwzględni się poziom krytyki, z jakim spotykają się rozwiązania funkcjonujące w USA, m.in. w kontekście dyskusji dotyczącej operacji międzynarodowych transferów danych osobowych (vide sprawa Schremsa oraz kontrowersje wokół programu Bezpiecznej Przystani, a obecnie – Tarczy Prywatności).

Podejście oparte na ryzyku nie jest nowe: jego zalążki odnaleźć można zarówno w przepisach dyrektywy 95/46/WE (np. w art. 17 ust. 1, który obligował do przyjęcia środków, które zapewnią poziom bezpieczeństwa odpowiedni do zagrożeń), jak również w krajowej ustawie o ochronie danych osobowych (w szczególności art. 36 tej ustawy). W rozporządzeniu unijnym odwołania do pojęcia ryzyka, zagrożeń, itp. pojawiają się w licznych przepisach oraz motywach. Brak jest przy tym definicji tych pojęć, jednak motywy do rozporządzenia zawierają pewne wytyczne oraz przykłady sytuacji stanowiących ryzyko dla przetwarzania danych oraz praw i wolności jednostek.

Przykład

Zgodnie z motywem 75 z RODO, ryzyko może być związane z dyskryminacją, kradzieżą tożsamości bądź stratą finansową, jak również z sytuacją, gdy jednostki pozbawione zostają przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi. Co ciekawe, ryzyka niesie również sam fakt przetwarzania wrażliwych danych osobowych (np. danych o stanie zdrowia) oraz tworzenie i wykorzystywanie profili osobowych (profilowanie), bez względu na inne okoliczności z tym związane.

Od przedsiębiorców RODO wymaga identyfikacji rodzajów ryzyka związanych z przetwarzaniem danych osobowych w organizacji, jak również szacowania prawdopodobieństwa oraz powagi tych ryzyk. Przy czym d należy to robić „na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko" (motyw 76). Przy dokonywaniu tej oceny pomocne mogą być dedykowane narzędzia, takie jak metodologia oceny ryzyka, obejmująca m.in. ewidencję „ryzykownych" operacji na danych oraz precyzująca sam mechanizm dokonywania identyfikacji i oceny. Na szczęście przedsiębiorcy nie pozostają sami, jeśli chodzi o sposób oraz kryteria prowadzenia tych skomplikowanych analiz. W identyfikacji oraz szacowaniu powagi ryzyka pomocne będą bowiem w szczególności:

- wytyczne Europejskiej Rady Ochrony Danych (następcy Grupy Roboczej Art. 29),

- branżowe kodeksy dobrych praktyk,

- wytyczne krajowych organów nadzorczych oraz innych organizacji (np. takich jak ENISA).

Zgodnie z RODO, określone operacje na danych wymagają przeprowadzenia oceny ryzyka (tzw. Privacy Impact Assessment, PIA). Dotyczy to m.in. operacji profilowania, przetwarzania na dużą skalę danych wrażliwych oraz systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Przykład

W praktyce sformalizowana ocena ryzyka powinna być prowadzona np. przy okazji wdrażania lub rozbudowy systemu IT, wprowadzania nowego produktu lub usługi (np. aplikacji mobilnej) wykorzystującej dane o stanie zdrowia, wprowadzenia nowego systemu CCTV (telewizja przemysłowa) lub rozwiązań opartych na biometrii.

PIA określa się czasem jako „system wczesnego ostrzegania", który pozwala na identyfikację i minimalizację zagrożeń w obszarze prywatności na wczesnym etapie. Co przy tym również istotne, Grupa Robocza Art. 29 w opublikowanych na początku kwietnia wytycznych zarekomendowała, aby oceną wpływu na prywatność (oceną ryzyka) – wynikającą z przepisów RODO – objąć nie tylko procesy, które mają się rozpocząć po maju 2018 r., lecz również te trwające obecnie.

W obszarze przetwarzania

Innym obszarem, w ramach którego pojęcie „ryzyko" wykazuje niezwykle silne znaczenie, jest bezpieczeństwo przetwarzanych danych, w tym w szczególności systemów IT. Przy czym przedsiębiorcy, inaczej niż na podstawie aktualnie obowiązujących przepisów (w szczególności tzw. rozporządzenia „technicznego" ministra spraw wewnętrznych i administracji z 2004 r., tj. rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych), nie otrzymują dokładnych wskazówek, jakie środki techniczne oraz organizacyjne powinni wdrożyć. Przepisy RODO przewidują natomiast ogólne wytyczne w tym zakresie (np. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów), pozostawiając przedsiębiorcom decyzję, jakie konkretnie rozwiązania należy wdrożyć. Będzie to zależeć w głównej mierze od poziomu ryzyka, jaki w określonym obszarze zostanie zidentyfikowany: im ten poziom wyższy tym silniejsze powinny być zabezpieczenia, również (a raczej – przede wszystkim) na poziomie technicznym (informatycznym). ?

—Damian Karwala DLA Piper, Senior Associate

—Łukasz Czynienik DLA Piper, Senior Associate

Ewa Kurowska-Tober DLA Piper, Partner kierujący praktyką IPT