RODO. KANCELARIA ADWOKATÓW i RADCÓW PRAWNYCH Jarosiński, Kuliński i Partnerzy

Transkrypt

1 INFORMATOR RODO KANCELARIA ADWOKATÓW i RADCÓW PRAWNYCH Jarosiński, Kuliński i Partnerzy

2 -2Co zmienia RODO? Rewolucja, jaką wprowadza Ogólne rozporządzenie o ochronie danych osobowych* potocznie zwane RODO, polega przede wszystkim na tym, że nie ma uniwersalnej metody na wdrożenie jego regulacji w każdym przedsiębiorstwie. Nie istnieją wzory dokumentacji, które można byłoby pobrać z Internetu i zastosować na przysłowiowej zasadzie kopiuj-wklej. RODO wskazuje, że przedsiębiorca ma mieć system ochrony danych osobowych uszyty na własną miarę. Stworzenie takiego systemu wymaga dogłębnej analizy działalności danego przedsiębiorstwa pod kątem ochrony danych osobowych. Przeprowadzenie rzetelnego audytu i w jego następstwie dokonanie oceny ryzyka pozwoli na wychwycenie zagrożeń, jakie występują w kontekście przetwarzania danych osobowych w badanym przedsiębiorstwie, a w konsekwencji umożliwi przygotowanie dokumentacji i wdrożenie procedur zapewniających należytą ochronę danych osobowych zgodną z wymogami RODO. Przedsiębiorca, który przed 25 maja r. tj. przed datą wejścia w życie RODO należycie przeprowadzi powyższe działania nie będzie musiał obawiać się kar pieniężnych sięgających nawet 20 milionów euro, do których nałożenia uprawniony będzie PUODO (obecny GIODO) w przypadku niezgodnego z RODO przetwarzania danych osobowych. Na kolejnych stronach przedstawiamy uproszczony schemat procedury wdrożenia RODO. * ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 201 6/679 z dnia 27 kwietnia r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

3 -3UPROSZCZONY SCHEMAT WDROŻENIA RODO W PRZEDSIĘBIORSTWIE I. Uświadom sobie, że przetwarzasz dane osobowe. Wielu przedsiębiorców nie zdaje sobie sprawy, że przetwarza dane osobowe. Wynika to przede wszystkim z nieznajomości definicji pojęć takich jak: dane osobowe, przetwarzanie danych osobo- wych, administrator danych osobowych, procesor. Poznanie tych pojęć pozwoli dokonać odpowiedzi na pytanie czy w przedsiębiorstwie należy wdrożyć RODO? Dane osobowe - oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ( osobie, której dane dotyczą ); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Na przykład: imię i nazwisko, adres zamieszkania, nr PESEL. Przetwarzanie danych osobowych - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Na przykład: zbieranie danych osobowych swoich pracowników, zbieranie danych kklientów w celu zawarcia, realizacji umowy.

4 -4Administrator danych osobowych - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Podmiot przetwarzający dane (procesor) - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Jeżeli zatem zbierasz lub przechowujesz dane dotyczące np. imienia, nazwiska, adresu zamieszkania, numer PESEL swoich pracowników czy kontrahentów, to oznacza, że przetwarzasz ich dane osobowe. Udzielenie pozytywnej odpowiedzi na to pytanie powoduje konieczność podjęcia kolejnych kroków. II. Przeprowadź audyt. Wdrożenie RODO wymaga ustalenia m. in.: jakie dane przetwarzane są w przedsiębiorstwie, czyje są to dane i jak zostały pozyskane; na jakiej podstawie prawnej odbywa się przetwarzanie danych osobowych; jakie zabezpieczenia fizyczne, technologiczne i organizacyjne stosowane są dla zabezpieczenia danych; czy spełniony został obowiązek informacyjny wobec osób, których dane są przetwarzane; czy istnieje dokumentacja wymagana przez dotychczasowe przepisy prawa. Przeprowadzenie rzetelnego audytu wymaga skrupulatnego przeanalizowania każdego aspektu działalności przedsiębiorstwa - po- cząwszy od lokalizacji budynku poprzez szczegółowy wywiad z pracownikami poszczególnych działów przedsiębiorstwa, a skoń-

5 -5- czywszy na ustaleniu lokalizacji serwerów, na których przechowywane są dane osobowe. Powyższe działania są niezbędne do tego, aby prawidłowo zrealizować kolejne kroki związane z wdrożeniem RODO. Uzyskane podczas audytu informacje pozwolą określić, jakie czynności należy podjąć, żeby przetwarzać dane osobowe zgodnie z przepisami oraz ustalić, jakie wymogi wprowadzane przez RODO nas dotyczą. III. Dokonaj analizy ryzyka. Wdrażanie RODO opiera się na zarządzaniu ryzykiem, wobec czego aby wykazać, że przetwarzamy dane osobowe zgodnie z nowymi przepisami konieczne jest przeprowadzenie analizy ryzyka. W tym celu przydatne mogą okazać się wypracowane w dziedzinach in- nych niż ochrona danych osobowych metody oceny ryzyka. Analiza ryzyka pozwoli nam następnie prawidłowo tym ryzykiem zarządzać oraz podjąć działania zmierzające do minimalizacji ryzyka, a jeżeli to możliwe do jego usunięcia. IV. Stwórz dokumentację. RODO w odróżnieniu od dotychczas obowiązującej ustawy o ochronie danych osobowych nie określa dokumentów dotyczących ochrony danych osobowych, jakie musi posiadać każdy przedsiębiorca. Ale czy to oznacza, że polityka bezpieczeństwa czy instrukcja zarządzania systemami informatycznymi odchodzą w zapomnienie? Absolutnie nie. RODO wymaga, aby przedsiębiorca w razie kontroli wykazał, że przetwarza dane osobowe zgodnie z przepisami. Podstawowym instrumentem do udowodnienia, że przedsiębiorstwo spełnia wymogi RODO jest właśnie przedstawienie odpowiedniej dokumentacji.

6 -6- Poniżej przedstawiono wyliczenie podstawowych dokumentów, jakie mogą okazać się przydatne dla wykazania zgodności przetwarzania danych z przepisami prawa. Przy czym ich treść musi być każ- dorazowo dopasowana do konkretnego przedsiębiorcy. Spełnienie tego wymogu umożliwia przeprowadzony uprzednio audyt oraz analiza ryzyka. Przykładowa dokumentacja: Polityka bezpieczeństwa; Klauzule zgód; Klauzule informacyjne; Ewidencja procesorów; Ewidencja osób upoważnionych do przetwarzania danych osobowych; Instrukcja zarządzania systemami informatycznymi; Wzory zgód na przetwarzanie danych osobowych; Umowy o powierzenie przetwarzania danych; Rejestr czynności przetwarzania. V. Wprowadź procedury w praktyce. Samo stworzenie dokumentacji nie zapewni zgodności działalności przedsiębiorstwa z RODO. Do informacji wynikających z dokumenta- cji należy się stosować. Zatem opisane w wyżej wymienionych dokumentach procedury należy rzeczywiście wdrożyć w życie.

7 -7- VI. Przeszkól pracowników. Nawet najlepsze specjalistyczne systemy bezpieczeństwa zapewniające ochronę danych osobowych nie zagwarantują należytej ochrony, jeżeli zawiedzie czynnik ludzki. Dlatego istotnym aspektem wdrażania RODO jest przeszkolenie pracowników, zwłaszcza tych upoważnionych do przetwarzania danych osobowych. Każdy pracownik powinien zapoznać się z dokumentacją traktującą o procedurach związanych z przetwarzaniem danych osobowych w przedsiębiorstwie, aby wiedzieć jak nie naruszać danych osobowych, wykonując swoje obo- wiązki pracownicze np. jak często zmieniać hasło na komputerze, czy wolno zabierać komputer służbowy do domu, czy można zostawiać dokumenty na biurku oraz co robić, gdy dojdzie do naruszenia danych osobowych np. pracownik zaleje laptop, zgubi nośnik z danymi osobowymi. VII. Monitoruj i aktualizuj. Często przedsiębiorcy pytają, czy jednorazowe przeprowadzenie wyżej opisanych procedur jest wystarczające dla zapewnienia zgodności przetwarzania danych z RODO. Niestety jednorazowe podjęcie takiego działania jest niewystarczające. Należy nieustannie monitorować czy np. nie zmieniły się procesy przetwarzania, kategorie przetwarzanych danych osobowych, czy zmienił się cel przetwarzania danych oraz podstawa prawna. W razie wystąpienia jakichkolwiek modyfikacji należy dopasować do nich istniejące procedury i dokumentację. Przyjmuje się, że co najmniej raz w roku każdy przedsiębiorca powinien dokonać ponownej analizy i uaktualnień. Przy czym u niektórych przedsiębiorców, ze względu na przedmiot i skalę ich działalności, tego rodzaju działania należy przeprowadzać z większą częstotliwością.

8 -8- VIII. Kary nakładane przez PUODO czy jest czego się bać? Największym motywatorem do dokonania zmian w przedsiębiorstwie jest obawa przed karami, jakie może nałożyć PUODO (obecny GIODO). Zgodnie z RODO kary te mogą przedstawiać się następująco: Adminitracyjna kara pieniężna w wysokości do EUR, a w przypadku przedsiębiorstwa w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa m. in. za naruszenie: podstawowych zasad przetwarzania, w tym warunków zgody, praw osób, których dane dotyczą Adminitracyjna kara pieniężna w wysokości do EUR, a w przypadku przedsiębiorstwa w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa m. in. za naruszenie: Przy czym pamiętać należy, że powyżej zostały przedstawione górne granice kar administracyjnych. Karę natomiast będzie określał PUODO stosownie m. in. do rodzaju naruszenia, jego skali i skutków. Co istotne, w związku z procedurą wdrażania RODO obecny GIODO, a przyszły PUODO uzyska dodatko- przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 1 1, oraz 42 i 43 RODO we środki pieniężne, które będą m. in. przeznaczone na zwiększenie liczby przeprowadzanych w przedsiębiorstwach kontroli. PUODO może rozpocząć kontrole już od 26 maja r. Przy czym kary administracyjne to nie jedyna zmora przedsiębiorcy. Naruszenie danych osobowych da-

9 -9- nej osoby rodzi po stronie administratora odpowiedzialność cywilnoprawną. Co oznacza, że wystąpienie naruszenia rodzi ryzyko konieczności zapłaty odszkodowania osobie, której dane osobowe prze- twarzaliśmy w sposób sprzeczny z prawem. W niektórych zawodach dodatkowo naruszenie przepisów RODO będzie powodowało skutki na gruncie postępowania dyscyplinarnego. IX. Podsumowanie Z każdymi zmianami wprowadzanymi w przedsiębiorstwie wiąże się konieczność poniesienia kosztów. Przy czym odpowiedzialność grożąca za nieprzestrzeganie przepisów o ochronie danych osobowych, a w szczególności wysokie kary pienięż- ne, jakie wprowadza RODO, działają na wyobraźnie przedsiębiorców i motywują do tego, aby zainwestować w dostosowanie swojego przedsiębiorstwa do nowych przepisów Opole, ul. Waryńskiego 2, tel./fax (0-77) , kancelaria@jk.opole.pl Ilustracje: licencja CC0 pixabay.com by louisehoffmann83, treeex6, moritz320, geralt, rawpixel. Ikony: Flaticon Basic License freepik.com