Sławomir Kowalski: Nowe obowiązki administratorów danych osobowych

Rz: Co dla przedsiębiorców i innych podmiotów, które w swojej działalności wykorzystują dane osobowe, oznacza data 25 maja 2018 roku?

Sławomir Kowalski: Przede wszystkim trzeba mieć świadomość, że każdy przedsiębiorca przetwarza dane osobowe. Oczywiście w różnym zakresie, ale każdy ma jakieś dane, chociażby dane klientów lub pracowników. Przedsiębiorcy powinni o tym pamiętać.

25 maja 2018 wyznacza początek nowej ery w ochronie danych osobowych. Rozporządzenie zmienia filozofię ochrony danych osobowych. Obecne podejście zakłada stawianie wszystkim administratorom mniej więcej zbliżonych wymagań. Nowe podejście będzie natomiast oparte na ryzyku związanym z przetwarzaniem danych osobowych. Zakres obowiązków przedsiębiorcy będzie w większym stopniu uzależniony od ryzyka związanego z przetwarzaniem przez niego danych.

Przedsiębiorcy budujący swój biznes wokół przetwarzania danych osobowych będą musieli włożyć sporo pracy, aby właściwie zdiagnozować swoją sytuację i wdrożyć odpowiednie mechanizmy ochrony danych. Nie będą prowadzeni za rękę w takim zakresie, jak ma to miejsce obecnie. Z drugiej strony przedsiębiorcom, dla których przetwarzanie danych jest tylko pobocznym i pomocniczym wątkiem działalności, może być nieco lżej. Również oni jednak powinni przeanalizować i ocenić swoją sytuację w nowej rzeczywistości ochrony danych.

Drugim istotnym obszarem zmian są wysokie kary finansowe, jakie wprowadza rozporządzenie. Obecnie nieprawidłowości w zakresie danych osobowych często nie prowadzą do odczuwalnych konsekwencji. W rezultacie przedsiębiorcy często nie przywiązują należytej wagi do ochrony danych osobowych. Po 25 maja 2018 to się bardzo zmieni.

Czy administrator danych, który w pełni przestrzega przepisów ustawy o ochronie danych osobowych, musi się przygotować na wejście w życie tych przepisów, czy może w większości będą one dla niego obojętne i właściwie może spać spokojnie?

Spełnianie obecnie obowiązujących wymagań jest na pewno bardzo dobrym punktem wyjścia, ale nie pozwala spać zupełnie spokojnie. Rozporządzenie wprowadza szereg nowych wymagań, np. w zakresie obowiązków informacyjnych czy uprawnień osób, których dane dotyczą. Zmienia się także filozofia ochrony danych osobowych w kierunku podejścia, w którym zakres wymagań zależy od indywidualnej oceny ryzyka związanego z przetwarzaniem danych osobowych. Wszyscy przedsiębiorcy muszą te zmiany zrozumieć i się do nich przygotować, stąd dwuletni okres przejściowy. Na pewno ci przedsiębiorcy, którzy w jakimś zakresie wdrożyli obecnie obowiązujące regulacje, są w lepszej sytuacji. Mają już pewne doświadczenie w obszarze zarządzania danymi, a w ich kulturze organizacyjnej wykształciła się świadomość ochrony danych osobowych. Przedsiębiorcy, którzy zrobili dotychczas niewiele lub nic, mają bardzo długą drogę do przejścia. O ile braki w zakresie procedur czy dokumentacji można nadrobić, o tyle wykształcenie u pracowników świadomości istnienia ograniczeń w przetwarzaniu danych i wrażliwości tego obszaru wymaga więcej czasu.

Niezależnie od stopnia wdrożenia obecnie obowiązujących wymagań warto zwrócić szczególną uwagę na systemy informatyczne. Muszą być tak zaprojektowane, aby umożliwiały realizację wymagań rozporządzenia i muszą być gotowe 25 maja 2018 r. Zmiany w systemie informatycznym to nie jest coś co można nadrobić w tydzień, czy w miesiąc. Im wcześniej zaczniemy, tym większe mamy szanse zdążyć.

Na czym polega koncepcja, że to administrator danych ma zadbać o bezpieczeństwo danych osobowych swoich klientów, że mają być one domyślnie chronione bez konieczności podejmowania działań przez osoby, których dotyczą?

To koncepcja privacy by design, polegająca na uwzględnianiu ochrony prywatności we wszystkich procesach przetwarzania danych osobowych. W praktyce realizacja tej koncepcji wymaga podejmowania działań zmierzających do minimalizacji narażenia danych na ryzyko, np. utraty czy ujawnienia. Inaczej mówiąc, jeśli można jakichś danych nie przetwarzać, to nie należy ich przetwarzać, jeśli można ograniczyć krąg osób mających dostęp do danych, to należy to zrobić. Jeśli technologia umożliwia lepszą ochronę danych, to należy starać się te rozwiązania wdrażać – oczywiście po rozważeniu wszystkich okoliczności, ryzyka związanego z przetwarzaniem danych i kosztów.

Konieczność wdrożenia zasady privacy by design powinna zwrócić uwagę dostawców systemów informatycznych, w których przetwarzane są dane, czyli m.in. dostawców systemów typu ERP – te systemy powinny umożliwiać realizację zasady privacy by design. Tego za chwilę będą się domagać zamawiający.

Nowe przepisy rozszerzają obowiązek informacyjny podczas zbierania danych. Jak z nich wynika, zmieniona ma zostać klauzula informacyjna, jej treść ma być znacznie rozbudowana. Już teraz zdarza się, że wiele osób nie czyta takich informacji i automatycznie podpisuje lub „klika" zgody. Czy rzeczywiście podanie szerszego zakresu informacji pozwoli bardziej świadomie podjąć decyzję o podpisaniu takiej klauzuli lub odmowie jej podpisania?

Nie jestem przekonany, czy jakakolwiek zmiana przepisów może wpłynąć na to, czy ktoś będzie się interesował tym, co się dzieje z jego danymi, czy też nie. Rozporządzenie daje każdemu z nas nowe narzędzia do zarządzania naszą prywatnością, jednak to od nas zależy, czy i w jakim zakresie będziemy z nich korzystać.

Po wejściu w życie rozporządzenia, zniknie instytucja administratora bezpieczeństwa informacji. Ma on zostać zastąpiony inspektorem ochrony danych. Kto i w jakich okolicznościach będzie miał obowiązek powołać taką osobę?

Obowiązek powołania inspektora ochrony danych dotyczy podmiotów publicznych oraz przedsiębiorców, których główna działalność jest oparta na przetwarzaniu dużej ilości danych, w szczególności danych wrażliwych. Na pewno dotyczy to operatorów portali społecznościowych i dużej części dostawców usług społeczeństwa informacyjnego, agencji marketingowych. Więcej na ten temat powinniśmy się dowiedzieć z opinii grupy roboczej art. 29, które powinny zostać opublikowane jeszcze w tym roku.

Kolejna istotna zmiana wprowadzana rozporządzeniem unijnym wiąże się z karami za naruszenie obowiązków związanych z przetwarzaniem danych. Można przyjąć, że dotychczas były one stosunkowo łagodne, nakładane w sytuacjach, gdy administrator danych uporczywie naruszał przepisy. Po wejściu w życie rozporządzenia może się to zmienić. Jakie kary ono przewiduje?

Kary przewidziane w rozporządzeniu to nawet do 20 mln euro lub do 4 proc. całkowitego, rocznego, światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. W praktyce każda kara będzie wymierzana z uwzględnieniem wagi i okoliczności naruszenia przepisów. Rozporządzenie wskazuje szereg czynników, które organ nadzorczy będzie musiał wziąć pod uwagę, ustalając wysokość kary, m.in.: charakter, wagę naruszenia, winę administratora lub jej brak, rozmiar spowodowanych szkód i wiele innych.