Rewolucja w ochronie danych osobowych?... 1 Precyzyjne zapisy... 2 O tym nie możesz zapomnieć!... 3 Nowe uprawnienia... 5 Podsumowując... 6 Już niedługo, bo od 25 maja 2018 r., zacznie obowiązywać unijne rozporządzenie ogólne o ochronie danych osobowych RODO. Zarówno prawodawstwo krajowe, jak i wewnętrzne procedury ochrony danych osobowych każdego administratora danych, muszą być do tego czasu zaktualizowane i w pełni zgodne z nowymi przepisami. Przeczytaj dokładnie, bo zmiany nie omijają także instytucji pomocy społecznej. Przy tej okazji mówi się o rewolucji w ochronie danych osobowych, jednakże główne zasady i podstawy prawne przetwarzania danych oraz obowiązki administratorów co do ich zabezpieczenia istotnie się nie zmieniają. Zmienia się natomiast znacząco podejście do zastosowania odpowiednich środków bezpieczeństwa w praktyce. Ma ono być oparte przede wszystkim na analizie ryzyka, na podstawie której administrator zupełnie samodzielnie i na własną odpowiedzialność określa i wdraża odpowiednie, jego zdaniem, środki ochrony danych. To administrator, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane (art. 24. 1. art. 32 RODO). Rozporządzenie unijne, jak sama nazwa wskazuje, jest ogólne, dość generalnie opisujące obowiązki dotyczące zabezpieczenia danych. Przede wszystkim dlatego, by być aktualnym za kilka czy kilkanaście lat. W dobie tak dynamicznie rozwijającej się technologii, a co za tym idzie i zagrożeń związanych z przetwarzaniem danych, zwłaszcza w cyfrowej rzeczywistości, nie sposób w przepisach prawa narzucać ściśle określonych technicznych zabezpieczeń. 1
Rozporządzenie nie podaje konkretnych przykładów najlepszych rozwiązań. Nie określa minimalnych standardów technicznych mających na celu zabezpieczenie danych; zachęca jedynie do skorzystania z narzędzi pseudonimizacji czy też szyfrowania danych. Uwaga Wraz z obowiązkiem stosowania RODO przestanie obowiązywać dotychczasowa ustawa o ochronie danych osobowych i wszystkie wydane do niej rozporządzenia wykonawcze, w tym rozporządzenie MSWiA z 2004 r określające warunki techniczne i organizacyjne, jakie muszą spełniać urządzenia i systemy informatyczne wykorzystywane do przetwarzania danych osobowych. Pomocne w podjęciu decyzji co do podejmowanych środków bezpieczeństwa mogą być: zatwierdzane przez GIODO (Urząd Ochrony Danych Osobowych) tzw. kodeksy postępowania, mechanizm certyfikacji, wytyczne Europejskiej Rady Ochrony Danych, sugestie inspektora ochrony danych. Ponadto źródłem praktycznej i sprawdzonej wiedzy w zakresie zarządzania systemem bezpieczeństwa informacji mogą być również np. normy ISO. Taka rewolucja, rozumiana jako obowiązek zastosowania odpowiednich, bliżej nieokreślonych środków bezpieczeństwa, dotyczyć jednak będzie podmiotów, organizacji, administratorów, którzy do tej pory niewiele robili w temacie bezpieczeństwa danych osobowych, zwłaszcza nie stosowali wymaganych dotychczasowymi przepisami organizacyjnych procedur i regulacji. Do takich jednostek raczej nie powinny zaliczać się ośrodki pomocy społecznej. Sądzę, że większość placówek pomocy społecznej należycie wypełnia obecne rygory, będąc do tego zobowiązana zarówno ustawą o ochronie danych osobowych, jak przede wszystkim swoimi szczególnymi przepisami, zdając sobie sprawę z przetwarzania danych wrażliwych, szczególnie chronionych. Dla OPS-ów RODO nie zawsze musi oznaczać rewolucję. Jeśli wszystko do tej pory realizowane było zgodnie z prawem, to wejście w życie nowych przepisów powinno zostać potraktowane raczej jako okazja do przeglądu, sprawdzenia, zaktualizowania stosowanych dotychczas organizacyjnych i technicznych środków ochrony danych osobowych. 2
Ważne W rozporządzeniu unijnym pojawiają się nowe obowiązki dla administratorów oraz nowe uprawnienia dla osób, których dane dotyczą. Niektóre nie będą dotyczyć podmiotów wykonujących zadania publiczne i przetwarzających dane osobowe w celach niezbędnych do wypełnienia obowiązku prawnego ciążącego na administratorze. Inne jednak trzeba będzie uwzględnić aktualizując wewnętrzną politykę bezpieczeństwa danych osobowych, zwłaszcza osób będących klientami i podopiecznymi ośrodków Analizując główne zmiany, nowe obowiązki administratorów (np. OPS) i uprawnienia podmiotów danych (osób, których dane dotyczą) sprawdźmy co będzie, a co niekoniecznie dotyczyć ośrodków pomocy społecznej. Na początek należałoby dokonać swego rodzaju audytu przygotowawczego i udokumentować, jakie dane osobowe i na jakiej podstawie prawnej są przetwarzane, skąd pochodzą, czy i komu są udostępniane oraz jak zabezpieczone. Już teraz należy prowadzić wykaz zbiorów danych, a tam gdzie jest powołany ABI, prowadzi on rejestr zbiorów danych. Natomiast rzetelnie przeprowadzona analiza wszystkich operacji przetwarzania danych w organizacji będzie dobrym przygotowaniem do prowadzenia rejestru czynności przetwarzania, który od 25 maja 2018 r. będzie obowiązkowy dla wielu podmiotów. Przede wszystkim dla zatrudniających więcej niż 250 pracowników oraz tych, którzy przetwarzają tzw. dane wrażliwe, tj. między innymi ujawniających stan zdrowia, a więc również dla OPS-ów. Tak czy inaczej aby móc mówić o zastosowaniu odpowiednich środków bezpieczeństwa, trzeba wiedzieć co i gdzie chronić. Na każdym administratorze danych ciąży obowiązek zapewnienia, że przetwarzane przez niego dane są prawidłowe i aktualne. Dane osobowe, co do których zakończył się cel ich zebrania, lub są nieprawidłowe w świetle celów ich przetwarzania, muszą zostać niezwłocznie usunięte lub sprostowane. Jeżeli do zabrania i zniszczenia danych, które rzeczywiście trzeba usunąć, ośrodek najmie firmę zewnętrzną, to konieczna jest na taką okoliczność odpowiednia umowa powierzenia przetwarzania danych. Już obecnie organizacje stosują odpowiednie zapisy, umowy poufności, umowy powierzenia z podmiotami zewnętrznymi, którym zleca się jakieś zadania związane z dostępem czy przekazaniem danych osobowych. RODO jednak w art. 28 bardziej szczegółowo określa odpowiedzialność podmiotów przetwarzających i zakres umowy, która powinna łączyć administratora z procesorem. Należy więc sprawdzić z jakimi 3
firmami, podmiotami i w jakim zakresie się współpracuje, czy są na taką okoliczność odpowiednie umowy i czy nie należy ich zaktualizować, aneksować pod kątem nowych wymagań RODO. Uwaga Ogólne rozporządzenie o ochronie danych podkreśla jeszcze bardziej konieczność realizacji obowiązku informacyjnego. Od wszystkich administratorów danych wymagać się będzie, by wszelkie informacje kierowane do osób, których dane dotyczą, były formułowane jasnym i prostym językiem, by były zwięzłe i zrozumiałe. Obecnie obowiązujące przepisy zobowiązują podmioty pozyskujące dane osobowe do przekazywania osobom, których te dane dotyczą, takich informacji, jak: adres i siedziba administratora danych, cel zbierania danych, źródło tych danych. W ośrodkach pomocy społecznej osoba korzystająca ze świadczeń, jako osoba, której dane dotyczą, siłą rzeczy uzyskuje takie informacje w trakcie realizacji przez OPS obowiązków i uprawnień wynikających z przepisów prawa. Należałoby jeszcze tylko poinformować o prawie wglądu w swoje dane i prawie ich poprawiania przez klienta ośrodka. Natomiast RODO dodatkowo zobowiązuje poinformować również m.in. okresie, przez który dane osobowe będą przetwarzane (retencja danych), ewentualnym fakcie profilowania i jego konsekwencjach, danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony. Ośrodki pomocy społecznej przechowują dane przez czas określony w szczegółowych przepisach prawa, nie profilują swoich podopiecznych, będą jednak musiały wyznaczyć inspektora ochrony danych. IOD/DPO, podobny do obecnego ABI (administratora bezpieczeństwa informacji, którego powołanie jest obecnie dobrowolne), będzie musiał być wyznaczony między innymi w podmiotach publicznych, lub też przetwarzających dane wrażliwe na dużą skalę. A więc także OPS-y przed tym obowiązkiem staną. Można jednak wyznaczyć jednego inspektora dla kliku jednostek organizacyjnych. 4
Tak czy inaczej sprawdzeniu i aktualizacji powinny być poddane wszelkie klauzule informacyjne, regulaminy, oświadczenia, jakie składają klienci ośrodków. Z nowych uprawnień dla osób, których dane dotyczą, pojawia się m.in. prawo do usunięcia danych (prawo do bycia zapomnianym). Do OPS-ów, jako podmiotów przetwarzających dane w celach niezbędnych do wywiązania się z prawnego obowiązku i do wykonania zadania realizowanego w interesie publicznym, nie ma zastosowania takie prawo. Orzekł to też Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 9 marca 2017 r. stwierdzając, że w odniesieniu do danych osobowych, które znajdują się rejestrach publicznych, nie obowiązuje prawo do bycia zapomnianym. Nie wydaje się też, aby inne, nowe uprawnienia podmiotów danych, jak na przykład prawo do przenoszenia danych, prawo do sprzeciwu, prawo do tego, by nie podlegać profilowaniu, mogły być realizowane w ośrodkach pomocy społecznej. Dodatkowe wyłączenia może nieść za sobą projekt nowej ustawy o ochronie danych osobowych, jako akt uzupełniający RODO, a przede wszystkim projekt ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych, który zmienia 133 akty prawne. Jednym z podstawowych celów ogólnego rozporządzenia o ochronie danych było dostosowanie zasad ochrony danych do wyzwań XXI wieku. Dlatego też wiele przepisów rozporządzenia jest bardzo ogólnych i przede wszystkim technologicznie neutralnych (bez odniesień do konkretnych rozwiązań) po to aby rozporządzenie zachowało aktualność także za 5 czy 10 lat. To każdy administrator danych zobowiązany jest do tego, by dane osobowe przetwarzał z poszanowaniem podstawowych zasad, a przede wszystkim zgodnie z zasadą integralności i poufności. Rozporządzenie mówi, że: Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Każdy OPS musi więc odpowiednio zabezpieczyć przetwarzane dane, zwłaszcza, że są to w bardzo dużej mierze dane wrażliwe, tak by uniemożliwić ich nieuprawnione udostępnienie. Gdy jednak nastąpi incydent naruszający ochronę danych, to pojawi się obowiązek zgłaszania takich naruszeń do Urzędu Ochrony Danych Osobowych, a w określonych przypadkach również osobom, których naruszenie dotyczyło. Należy więc opracować i wdrożyć lub zaktualizować instrukcje postępowania w przypadku naruszenia poufności danych, uwzględniając już odpowiednie rejestry incydentów i raporty zgłaszania naruszeń ochrony danych. Aby wstępnie takie problemy zminimalizować, należy przeszkolić 5
osoby upoważnione do przetwarzania danych zarówno z nowych zasad, jak i przede wszystkim z praktycznych aspektów ochrony danych osobowych. Jakaś forma zapoznania, przeszkolenia z zasad i przepisów dotyczących bezpieczeństwa informacji jest obowiązkowo wymagana przepisami prawa. Każdy dyrektor instytucji pomocy społecznej powinien mieć świadomość, że przeszkolony, świadomy pracownik będzie też pewniejszym ogniwem całego systemu ochrony danych. Dzięki temu zostanie zmniejszone ryzyko wystąpienia sytuacji, o jakiej można przeczytać na stronach GIODO, gdzie z jednej z placówek opiekuńczo-wychowawczych, pedofil, morderca, zamknięty w jednym z ośrodków, podszywając się pod darczyńcę, wyłudził dane osobowe 8-letniej wychowanki placówki, po czym przesłał jej kartkę i paczkę. Jeśli w ośrodku zostanie zaktualizowana i stosowana odpowiednia polityka bezpieczeństwa, z funkcjonującymi w praktyce instrukcjami i procedurami dotyczącymi ochrony danych, wtedy będzie można uznać, że administrator wdrożył odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie rozporządzeniem. Co więcej, będzie mógł łatwo wykazać swoje działania w tej materii. Rzecz jasna, środki raz opracowane powinny być poddawane regularnym przeglądom i w razie potrzeby uaktualniane. Mamy ostatni moment, aby dopasować się do RODO, zaktualizować swoje procedury, zastosować odpowiednie środki bezpieczeństwa, by najpóźniej 25 maja 2018 r. być gotowym na obowiązywanie i stosowanie nowych przepisów dotyczących ochrony danych osobowych. Podstawa prawna 1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) 2. http://giodo.gov.pl/p/reforma-przepisow Piotr Glen praktyk z wieloletnim doświadczeniem w dziedzinie ochrony danych osobowych, administrator bezpieczeństwa informacji, audytor systemów zarządzania bezpieczeństwem informacji. 6
Redaktor: Michał Gluzek ISBN: 978-83-269-7030-6 E-book nr: Wydawnictwo: Adres: Kontakt: 2HH0660 Wiedza i Praktyka sp. z o.o. 03-918 Warszawa, ul. Łotewska 9a Telefon 22 518 29 29, faks 22 617 60 10, e-mail: cok@wip.pl NIP: 526-19-92-256 Numer KRS: 0000098264 Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy. Wysokość kapitału zakładowego: 200.000 zł Copyright by: Wiedza i Praktyka sp. z o.o. Warszawa 2017 7