Arleta Nerka: Kluczowa jest ocena skutków przetwarzania danych osobowych

Rz: Już niespełna rok został do dnia, w którym wszystkie podmioty przetwarzające dane osobowe będą musiały działać całkowicie zgodnie z nowym rozporządzeniem ogólnym o ochronie danych osobowych (UE) 2016/679 (tzn. „RODO"). Jakie są najważniejsze zmiany w porównaniu do obecnego stanu prawnego?

Arleta Nerka: Do najważniejszych zmian wprowadzonych przez RODO należy w moim przekonaniu proaktywne podejście do ochrony danych osobowych, u którego podstaw leżą: zasada rozliczalności i wymóg szacowania ryzyka naruszenia prywatności. Zasada rozliczalności nakłada na administratorów i podmioty przetwarzające odpowiedzialność za przestrzeganie przepisów dotyczących przetwarzania danych oraz wymaga, aby podmioty te były w stanie to wykazać. Oznacza to obowiązek wdrożenia i przestrzegania odpowiednich, a zarazem skutecznych środków w celu zapewnienia, że są realizowane obowiązki prawne w zakresie ochrony danych. Z kolei wymagania dotyczące szacowania ryzyka oznaczają, że należy dokonać oszacowania niebezpieczeństwa naruszenia praw i wolności osób fizycznych wprocesie przetwarzania danych. Związane są z tym nowe zadania dotyczące ochrony danych osobowych w fazie projektowania oraz domyślna ochrona danych, oraz poszerzenie zakresu obowiązków w zakresie bezpieczeństwa danych, w tym powiadamiania o naruszeniach ochrony danych osobowych.

Do najważniejszych zmian należy także zaliczyć szczególną ochronę w przypadku przetwarzania danych o osobach małoletnich (dzieciach) w kontekście usług społeczeństwa informacyjnego. A szerzej – w stosunku do podmiotów danych – ustanowienie nowych praw im przysługujących: prawo do bycia zapomnianym, prawo do ograniczonego przetwarzania, prawo do przenoszalności danych. Warto też wspomnieć o modyfikacji zasad dopuszczalnego profilowania danych, w tym na potrzeby automatycznie podejmowanych decyzji.

Oczywiście wzrasta też odpowiedzialność prawna administratorów i podmiotów przetwarzających, chociażby w postaci kar finansowych stosowanych przez organ nadzorczy, ale też na skutek roszczenia odszkodowawczego przyznanego przez RODO osobom, które doznają szkody na skutek naruszenia ich danych osobowych. O aspekcie finansowym mówi się najczęściej, natomiast ja chciałabym zwrócić uwagę na ważną zmianę dotyczącą organu nadzorczego – znacznej modyfikacji ulegnie jego rola w zakresie relacji z administratorami.

Jakie działania powinni podjąć przedsiębiorcy, przetwarzający dane osobowe? Czyli jak powinni się przygotować do RODO.

Przedsiębiorcy, których działaniom biznesowym towarzyszy przetwarzanie danych osobowych, powinni przygotować się do RODO przede wszystkim już teraz, nie odkładając tego na przyszły rok, ponieważ 25 maja 2018 r. ich firma powinna już spełniać wymagania stawiane przez UE. Przygotowania należy rozpocząć od zdobycia niezbędnej wiedzy dotyczącej nowego systemu ochrony danych osobowych. W tym zakresie mogą szkolić się sami, choć zapewne to trudne ze względu na inne obowiązki i deficyt czasu, więc lepszym rozwiązaniem będzie wybór jednej z opcji: oparcie się na zasobach własnych, np. dotychczasowych ABI lub osobach, które w jednostce tym obszarem się zajmowały albo skorzystanie z outsourcingu usług dotyczących ochrony danych. Wybór zależy od potrzeb firmy (skala przetwarzania danych, ich rodzaj, itp.), ale z uwagi na wysoki standard ochrony danych wynikający z RODO, należy decyzję w tym przedmiocie podjąć rozważnie, nie kierując się wyłącznie przesłanką kosztów. Decydujące znaczenie powinny mieć rzeczywiste potrzeby przedsiębiorcy i stopień profesjonalizacji oferowanej usługi. Należy mieć tutaj również na uwadze, że nie istnieje prawna możliwość przeniesienia odpowiedzialności, która ciąży na administratorze, na inny podmiot, czyli również na firmę zewnętrzną.

Poza tym przedsiębiorcy, których dotyczy przetwarzanie danych wrażliwych lub cel przetwarzania danych na dużą skalę, będą zobligowani do powołania inspektora ochrony danych w celu monitorowaniu wewnętrznego przestrzegania RODO – wówczas powinna być to osoba dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych. Takie przygotowanie umożliwia skuteczną realizację zadań dotyczących ochrony danych osobowych w sferze działania administratora i podmiotu przetwarzającego.

Pewnym ułatwieniem dla przedsiębiorców będzie możliwość skorzystania z zatwierdzonych przez organ nadzorczy kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji, ale na te rozwiązania jeszcze musimy poczekać.

Unijne rozporządzenie wprowadza obowiązek przeprowadzenia oceny skutków przetwarzania dla ochrony danych. Na czym ma ono polegać w praktyce, i jak zrealizować ten obowiązek?

Ocena skutków przetwarzania danych osobowych ma charakter kluczowy, ponieważ na gruncie RODO to nie ustawodawca decyduje o tym, jakie zabezpieczenia techniczne i organizacyjne powinien wdrożyć administrator – o tym będzie musiał zdecydować on sam. Powinność ta stanowi nową jakość w obszarze przetwarzania danych osobowych, a wykonanie tego zadania jest z kolei niezbędne dla zapewnienia realizacji rozliczalności danych przez administratora danych.

W praktyce wiąże się to z dokonaniem zobiektywizowanej oceny dotyczącej prawdopodobieństwa ryzyka naruszenia praw lub wolności osoby której dane dotyczą, np. prywatności, tajemnicy korespondencji, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania danych.

Administrator przed podjęciem przetwarzania powinien dokonać szeregu czynności o dość zróżnicowanym charakterze, począwszy od ustalenia wymagań RODO, poprzez identyfikację potencjalnych zagrożeń mających wpływ na prywatność, aż po ustalenie i zastosowanie odpowiednich i skutecznych środków prawnych, organizacyjnych i technicznych w celu ochrony danych. Oznacza to dokonanie w jednostce audytu środowiska przetwarzania danych, czyli administrator powinien określić, jakie dane są gromadzone, w jakim zakresie, czyje są, w jaki sposób, do jakich celów wykorzystywane, na jakiej podstawie prawnej, jakie środki zabezpieczeń są stosowane, itd. Trudno wyliczyć wszystkie konieczne działania. Ważne jest ich konsultowanie, m.in. z ekspertami w dziedzinie IT, zarządzania i z prawnikami, co pozwoli na identyfikację ryzyka, jego charakterystykę, oraz pozwoli na zarekomendowanie koniecznych do podjęcia działań w celu ograniczenia ryzyka.

Ocenę skutków przetwarzania dla ochrony danych musi przeprowadzić administrator, jeśli stwierdzi, że operacje przetwarzania, zwłaszcza przy użyciu nowych technologii, będą wiązać się z wysokim ryzykiem naruszenia praw i wolności człowieka. Chodzi tu o sytuacje powstania szkody majątkowej lub niemajątkowej na skutek utraty kontroli nad własnymi danymi, kradzieży lub sfałszowania tożsamości, naruszenia dobrego imienia, naruszenia poufności danych objętych tajemnicą zawodową lub ustawową, itp.

Drugą kluczową zasadą ma być ochrona prywatności na zasadzie rozliczalności – proszę przybliżyć to zagadnienie.

Zasada rozliczalności oznacza, że administrator powinien móc wykazać, iż postępuje zgodnie z zasadami dotyczącymi przetwarzania danych osobowych, do których należą: legalność, rzetelność, przejrzystość, celowość, minimalizacja danych, merytoryczna poprawność, integralność i poufność danych. Co więcej, administrator powinien przedstawić dowody podjęcia właściwych i skutecznych środków ochrony danych, przy czym, jak pamiętamy, wybór tych środków należy właśnie do administratora, ponieważ RODO nie wskazuje konkretnych i wspólnych dla wszystkich instrumentów ochrony danych. Możliwość przedstawienia dowodów oznacza, że administrator powinien dokumentować czynności przetwarzania danych, np. powinien udokumentować przeprowadzoną analizę zakresu gromadzonych danych dla realizacji celu, np. marketingowego, biorąc pod uwagę zasadę minimalizacji danych. Wykluczy to ryzyko zbierania danych zbędnych lub na zapas.

RODO wskazuje, że administrator obowiązkowo powinien stosować mechanizmy przestrzegania zasad ochrony danych w fazie projektowania oraz uwzględniania tych zasad domyślnie. Pozostając w zgodzie z treścią zasady rozliczalności, administrator powinien monitorować i poddawać ocenie zmieniające się środowisko operacyjne pod kątem niebezpieczeństw i modyfikować środki ochronne.

Rozporządzenie znacząco zmieni dotychczasowe podejście do ochrony danych, czyniąc administratorów danych w większym niż dotąd stopniu podmiotami odpowiedzialnymi za zgodne z prawem przetwarzanie danych osobowych. Co to oznacza dla firm i ich administratorów?

Zmiana podejścia do ochrony danych oznacza zwiększenie wymagań wobec administratorów w zakresie zapewnienia ludziom ochrony przed naruszeniami ich praw i wolności. Administrator to podmiot, który faktycznie decyduje o podstawowych elementach przetwarzania danych i jednocześnie ponosi odpowiedzialność za zgodność z prawem tego procesu. Jest to uzasadnione okolicznością, że to najczęściej administrator dysponuje danymi osobowymi i posiada faktyczny wpływ na to, w jakim celu i dlaczego dane będą wykorzystywane. Skutkiem zwiększonych wymagań wobec administratorów będzie rozrost obowiązków administracyjnych towarzyszących procesom przetwarzania danych, przybierających chociażby postać dokumentowania przeprowadzanych czynności przetwarzania, co może pociągnąć za sobą większe koszty.

RODO reguluje kontrowersyjną kwestię profilowania – w jaki sposób i co muszą zrobić przedsiębiorcy, aby dostosować się do nowych przepisów?

Profilowanie jest w naszej rzeczywistości faktem, ponieważ technologie pozwalają na zbieranie na wielką skalę różnych danych, np. o ruchu i zapytaniach internautów, nawykach konsumenckich, dane o aktywności, stylu życia i zachowaniu użytkowników urządzeń telekomunikacyjnych, dane pochodzące z serwisów społecznościowych, systemów wideonadzoru, systemów biometrycznych. Dane te często przetwarzane są przez specjalistyczne oprogramowanie w celu tworzenia profili osobowościowych. RODO reguluje profilowanie, wskazując, że należy do czynności przetwarzania. Oznacza to, że przedsiębiorca korzystający z profilowania podlega zasadom przetwarzania danych osobowych. Musi mieć na uwadze, że przepisy przyznają „osobom profilowanym" specjalne instrumenty w postaci prawa sprzeciwu na wykonywanie tego rodzaju operacji na danych oraz domaganie się zaprzestania profilowania. Wówczas administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Inną znaczącą zmianą, jakie niesie ze sobą RODO, jest możliwość nakładania przez organ ochrony danych osobowych bardzo wysokich kar administracyjnych. Proszę powiedzieć, za co i jakie kary, będą grozić przedsiębiorcom?

Administracyjne kary pieniężne będzie nakładał organ nadzorczy, który ma zapewnić, aby w każdym przypadku kara była skuteczna, proporcjonalna i odstraszająca. Kary będą groziły za nieprzestrzeganie przepisów dotyczących ochrony danych. Ich wysokość jest zróżnicowana w zależności od rodzaju naruszenia: do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, albo wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.