Organizacje mają półtora roku, aby przygotować się do zmiany przepisów i dostosować wewnętrzne procesy związane z przetwarzaniem danych osobowych do wymogów wynikających z nowego prawa.

Rozporządzenie PE i Rady nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) („Rozporządzenie") będzie miało bezpośrednie zastosowanie we wszystkich państwach Unii Europejskiej już od 25 maja 2018 r. Dotychczasowa ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. utraci moc, a w jej miejsce wejdzie w życie nowa ustawa, która będzie doprecyzowywała kwestie nieuregulowane w rozporządzeniu.

Duże zmiany na horyzoncie

Nowe prawo jest efektem ponad czterech lat konsultacji, prac instytucji unijnych i negocjacji. Jego celem jest wprowadzenie jednolitych ram prawnych w zakresie ochrony danych osobowych w całej Unii – ze szczególnym uwzględnieniem roli internetu w społeczeństwie. Mimo to całkowite ujednolicenie prawa ochrony danych osobowych w UE jest fikcją, rozporządzenie pozostawia państwom wiele obszarów do samodzielnej regulacji na poziomie krajowym. Przykładowo – kwestia przetwarzania danych osobowych pracowniczych nie będzie nim ujednolicona. Wciąż utrzyma się wiele rozbieżności na poziomie lokalnym, pomiędzy państwami członkowskimi. Wynikają one z różnic kulturowych i różnic w wykładni przepisów Dyrektywy PE i Rady nr 95/46/WE w poszczególnych krajach.

Przepisy m.in. modyfikują podstawy prawne przetwarzania danych i nakładają na organizacje (administratorów danych oraz podmioty przetwarzające) nowe obowiązki wprowadzając surowe sankcje za ich nieprzestrzeganie.

W praktyce oznacza to, że organizacje mają ponad półtora roku, aby przygotować się do zmiany przepisów i dostosować procesy związane z przetwarzaniem danych osobowych do wymogów wynikających z rozporządzenia. Mając na uwadze szeroki zakres zmian, czasu tylko pozornie jest sporo. Wielu przedsiębiorców (i nie chodzi tylko o światowe korporacje) już podjęło pierwsze kroki by zdążyć z wdrożeniem mechanizmów zapewniających zgodność przetwarzania danych osobowych z nowymi regulacjami. Dla wszystkich z nas (też kancelarii prawych) nieodwracalny zegar tyka szybko i zanim się obejrzymy „wybije" 25 maja 2018 r.

Ocena ryzyka

Najbardziej rewolucyjną zmianą z punktu widzenia polskich przedsiębiorców jest zwrot w kierunku bardziej proaktywnego podejścia do ochrony danych osobowych. Dotychczasowe polskie przepisy, a w szczególności rozporządzenia wykonawcze, regulujące środki techniczne i organizacyjne ochrony danych z 2004 r., dawały przedsiębiorcom szczegółową listę wymagań do spełnienia, w tym:

- precyzyjnie określone warunki, jakie powinna spełniać dokumentacja przetwarzania danych, wraz z dokładnie określoną treścią polityki bezpieczeństwa i instrukcji zarządzania systemami IT,

Autopromocja
Nowość!

Trzy dostępy do treści rp.pl w ramach jednej prenumeraty

ZAMÓW TERAZ

- szczegółowe wymagania co do technicznych i organizacyjnych środków zabezpieczenia danych (z przepisami dotyczącymi długości i częstotliwości zmiany hasła na czele),

- obowiązek rejestracji zbiorów danych w GIODO lub prowadzenia wewnętrznego rejestru przetwarzania.

Bez rejestracji

Od maja 2018 r. zniknie obowiązek zgłaszania i rejestracji zbiorów danych.

Szczegółowe przepisy określone w rozporządzeniu o środkach zabezpieczających z 2004 r. (choć już dość archaiczne i pozostawiające wiele do życzenia), pomagały w osiągnięciu formalnej zgodności z prawem. Rozporządzenie wskazuje jedynie na ogólną wytyczną dotyczącą obowiązku wdrożenia środków technicznych i organizacyjnych przetwarzania danych, uwzględniających charakter, zakres, kontekst, cele przetwarzania danych i ryzyko naruszenia, a także wdrożenia polityk ochrony danych (o ile jest to proporcjonalne do czynności przetwarzania). Od maja 2018 r. organizacje nie będą już miały szczegółowych wytycznych, a czeka ich wyzwanie w samodzielnym określeniu stosownych środków zabezpieczających.

Nowe obowiązki

Wśród nowych obowiązków jakie rozporządzenie nakłada na organizacje, z praktycznego punktu widzenia na uwagę zasługują w szczególności:

- obowiązek uwzględnienia ochrony danych w fazie projektowania („data protection by design"), zastosowania domyślnej ochrony danych („data protection by default"),

- obowiązek dokonania oceny skutków dla ochrony danych przed rozpoczęciem przetwarzania („data protection impact assessment"),

- obowiązek zgłaszania przez administratorów danych organowi nadzorczemu stwierdzonego naruszenia ochrony danych osobowych bez zbędnej zwłoki do 72 godzin, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych oraz dokumentowania wszelkich naruszeń ochrony danych,

- obowiązek zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych osobowych, chyba że administrator uwolni się od tego obowiązku zgodnie z Rozporządzeniem,

- w przypadku powierzenia przetwarzania danych – obowiązek wyboru dostawcy usług, który zapewnia wystarczającą gwarancję wdrożenia odpowiednich środków bezpieczeństwa.

Wymienione obowiązki są wyrazem wspomnianego już proaktywnego podejścia do ochrony danych osobowych, które stanowi fundament rozporządzenia.

Obowiązek uwzględnienia ochrony danych w fazie projektowania oznacza, że ochrona danych osobowych będzie musiała być brana pod uwagę każdorazowo przy projektowaniu i wprowadzaniu narzędzi wykorzystujących przetwarzanie danych (na przykład systemów CRM).

Obowiązek zgłaszania naruszeń ochrony danych organowi nadzorczemu, a nawet samym osobom, których dane osobowe zostały zagrożone, jest natomiast przejawem doniosłości, jaką rozporządzenie przypisuje prawom osób, których dane dotyczą i możliwości ich łatwego egzekwowania. Wpisuje się też w ogólny trend transparentności przetwarzania informacji i samo denuncjacji, która jest przewidziana także przez Dyrektywę PE i Rady w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii (Dyrektywa NIS).

Dotkliwsze sankcje

Jedną ze zmian, budzących największy niepokój wśród przedsiębiorców jest wprowadzenie znacznie wyższych sankcji niż dotychczas za naruszenie przepisów o ochronie danych. Wraz z wejściem w życie nowego Rozporządzenia, kary mają być proporcjonalne, skuteczne i odstraszające. Jednocześnie będą nakładane na dwóch poziomach, w zależności od rodzaju naruszenia:

- do 10 000 000 euro, a w przypadku przedsiębiorstw – do 2 proc. całkowitego rocznego światowego obrotu z poprzedniego roku (np.: w braku zawiadomienia organu nadzorczego albo osoby, której dane dotyczą o naruszeniu danych),

- do 20 000 000 euro, a w przypadku przedsiębiorstw – do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku (np.: w przypadku nieprzestrzeganie nakazu wydanego przez GIODO (lub inny organ nadzorczy) w drodze decyzji administracyjnej).

Na tym etapie nie jest jasne, czy całkowity roczny światowy obrót ma być liczony jako obrót przedsiębiorcy, który faktycznie naruszył prawo, czy też jako obrót całej grupy kapitałowej, do której należy ów przedsiębiorca, tak jak, może to mieć miejsce w przypadku naruszenia europejskiego prawa ochrony konkurencji.

Zdaniem autorów

Izabela Kowalczuk-Pakuła, radca prawny, kieruje praktyką ochrony prywatności i danych osobowych w kancelarii Bird & Bird

Maria Guzewska, prawnik w zespole ochrony prywatności i danych osobowych w kancelarii Bird & Bird

Osoba, której dane dotyczą może wszcząć postępowanie sądowe przeciwko administratorowi lub przetwarzającemu. Rozporządzenie nie precyzuje, o jaki środek chodzi, ani czy postępowanie powinno się toczyć przed sądem administracyjnym, czy cywilnym. Wydaje się jednak, że będzie to oznaczało możliwość wniesienia pozwu do sądu cywilnego przeciwko administratorowi danych albo przetwarzającemu. W związku z dość ogólnym poziomem przepisów, kwestie te prawdopodobnie zostaną uregulowane w przepisach krajowych.

Zgodnie z nowymi przepisami, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, będzie mogła domagać się odszkodowania od każdego administratora uczestniczącego w przetwarzaniu oraz podmiotu przetwarzającego, który nie dopełnił obowiązków przewidzianych w rozporządzeniu lub działał niezgodnie z instrukcjami administratora.

Możliwość taka nie istniała wprost w dotychczasowych przepisach. Pokrzywdzony mógł powołać się na naruszenie dobra osobistego w postaci prywatności. Od maja 2018 r. wystarczy powołanie się na naruszenie samych przepisów o ochronie danych osobowych. Co istotne, z powództwem będą mogły wystąpić nie tylko pojedyncze osoby fizyczne, ale także organizacje non-profit, których celem statutowym jest ochrona praw podmiotów danych.

Powództwo cywilne, jako nowa broń w arsenale ochrony danych osobowych może rodzić ryzyko, że organizacje non-profit występujące w imieniu osób fizycznych, będą bardzo proaktywne i podobnie, jak w przypadku przepisów o ochronie konsumentów, będą szukać naruszeń ochrony danych i występować w imieniu osób, których dane osobowe zostały naruszone.

Jak przygotować się do zmian krok po kroku

1. Analiza luk

W pierwszej kolejności należy przeprowadzić analizę luk i uchybień przepisów rozporządzenia. W praktyce oznacza to, że organizacje powinny przeprowadzić wewnętrzny mini-audyt i ustalić, jakie dane są przetwarzane, w jakich procesach i na jakich podstawach prawnych, a także czy przetwarzanie jest zgodne z podstawowymi zasadami ochrony danych, takimi jak np. adekwatność czy proporcjonalność oraz ustalić, w jakim stopniu przetwarzanie już teraz jest zgodne z przepisami rozporządzenia.

2. Audyt umów

Na pierwszy ogień powinny pójść umowy powierzenia przetwarzania danych i inne długoterminowe umowy, które mogą być istotne w kontekście ochrony danych osobowych a które będą obowiązywać w 2018 roku. Jeżeli istnieje taka konieczność, umowy powinny zostać dostosowane do wymogów rozporządzenia. Wszystkie nowo zawierane umowy powinny być już także zgodne z przepisami Rozporządzenia. W przeciwnym razie usunięcie niezgodności umów długoterminowych zawieranych przed 2018 rokiem może okazać się kosztowne.

3. Weryfikacja zgód

Ze względu na nowe wymogi związane z obowiązkiem informacyjnym i uzyskiwaniem zgód na przetwarzanie danych, rekomendowany jest przegląd i uaktualnianie polityk prywatności i klauzul informacyjnych stosownie do wymogów Rozporządzenia. Jest to szczególnie istotne w kontekście podmiotów prowadzących działalność online.

4. Ocena skutków dla ochrony danych

Organizacje powinny opracować program oceny ryzyka ochrony danych oraz kryteriów oceny, a także zapewnić odpowiednim zespołom wewnętrznym szkoleń w tym zakresie.

5. Wprowadzenie wewnętrznych polityk

O ile okaże się to zasadne w kontekście konkretnej organizacji, należy przygotować lub zaktualizować wewnętrzne polityki i procedury zapewniające możliwość dochodzenia praw przez osoby, których dane dotyczą stosownie do wymogów Rozporządzenia, m.in. przenoszalności danych, prawa do usunięcia i dostępu do danych.

6. Plan reagowania na wypadek naruszenia

Obowiązek zgłaszania naruszeń jest nowością dla większości organizacji. Istotne zatem będzie stworzenie sprawnego planu zgłaszania naruszeń w krótkim terminie (do 72 godzin).

7. Szkolenia i treningi

Kluczową rolę odgrywać będzie budowanie świadomości pracowników, którzy powinni być wyczuleni na kwestie zabezpieczenia danych i będą potrafili odpowiednio zareagować w sytuacji naruszenia danych.

8. Zarządzanie odpowiedzialnością

Biorąc pod uwagę wysokie sankcje przewidziane przepisami Rozporządzenia, kluczową rolę odgrywać będzie ocena i zrozumienie potencjalnego ryzyka oraz obserwowanie praktyk rynkowych. Konieczne może być zapewnienie odpowiedniego rozkładu ryzyka w relacjach z dostawcami. W przypadku podmiotów przetwarzających dane osobowe na dużą skalę, dobrym pomysłem będzie też rozważenie dodatkowego ubezpieczenia.