GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

RODO – nowa kultura przetwarzania danych osobowych

U progu zmiany

GDPR to akt prawny kompleksowo regulujący kwestię ochrony danych osobowych, ujednolicający standardy w całej UE, wprowadzający nowe definicje i instytucje oraz rozszerzający kompetencje organów nadzorczych. Kwestią, która po głębszej lekturze tej regulacji wysuwa się na pierwszy plan, jest jednak zasadnicza zmiana kultury przetwarzania danych osobowych.

Samą „kulturę”, za Słownikiem Języka Polskiego PWN zdefiniować można jako „odpowiednio wysoki poziom rozwoju społeczeństwa w jakimś zakresie”, przy czym rozpatrywanym zakresem jest w tym przypadku ochrona danych osobowych. Kulturą przetwarzania danych osobowych będzie zatem zarówno stopień wiedzy w tym obszarze, poziom techniczny i organizacyjny danego podmiotu, ale też świadomość znaczenia tego problemu i jego miejsce w hierarchii innych zagadnień.

Koniec „szablonowego podejścia”

Na gruncie obowiązującej jeszcze ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i jej aktów wykonawczych istniała de facto „szablonizacja” podejścia do ochrony danych osobowych. W organizacjach przyjmowane były wzorcowe polityki ochrony danych osobowych, wzorcowe instrukcje zarządzania systemami informatycznymi, przeprowadzane wzorcowe szkolenia, a wszystko to traktowane, jako kolejny punkt do „odhaczenia” na długiej liście obowiązków obciążających prowadzenie codziennej aktywności.

GDPR zmienia to podeście w sposób zasadniczy, za pomocą nowych mechanizmów i instytucji niejako wpisuje ochronę danych osobowych w funkcjonowanie podmiotów przetwarzających dane, a intensywność zmiany jest tym większa, im bardziej podmiot opiera swoją działalność właśnie na przetwarzaniu danych osobowych.

Podejście oparte na ryzyku

Osią zmian jest podejście oparte na ryzyku, które zmusza administratora i podmiot przetwarzający do szacowania ryzyka związanego z przetwarzaniem danych, a także doboru stosownych środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (art. 24 i 32 GDPR). Podejście to ma z jednej strony zagwarantować techniczną neutralność nowego prawa – innowacyjne rozwiązania dotyczące przetwarzania danych będą wymagały nowego podejścia i prawdopodobnie odmiennych środków mitygujących ryzyko naruszenia praw i wolności osób fizycznych, w związku z przetwarzaniem ich danych osobowych. Z drugiej strony zastosowane środki techniczne i organizacyjne będą różniły się w zależności od rodzaju danych osobowych (np. danych o stanie zdrowia, danych biometrycznych), a także charakterystyki administratora lub podmiotu przetwarzającego oraz branży, w której działają (inne zabezpieczenia zastosuje bank, inne sklep sportowy, a jeszcze inne księgarnia internetowa).

To od stopnia ryzyka będzie np. zależało, czy naruszenie ochrony danych osobowych należy zgłaszać organowi nadzorczemu, a także w szczególnych przypadkach, gdy ryzyko takie będzie wysokie – również osobom, których dane dotyczą (art. 33 i 34 GDPR).

Stopień ryzyka będzie także determinował konieczność przeprowadzenia oceny skutków dla ochrony danych i tam, gdzie to konieczne – zwrócenia się do organu nadzorczego o konsultacje (art. 35 i 36 GDPR).

Zasada rozliczalności

Z powyższą regułą wiąże się zasada rozliczalności, którą sprowadzić można do dwóch wymagań: przyjęcia odpowiednich środków organizacyjnych i technicznych adekwatnych do ryzyka, a także możliwości wykazania spełnienia wymagań nakładanych mocą GDPR. W przypadku podmiotów o złożonej strukturze, będzie się to oznaczało konieczność wypracowania pełnej i przejrzystej dokumentacji. Mniejsze podmioty mogą ją posiadać w bardzo uproszczonej formie, a opierać się na przyjętych (nawet ustnie) procedurach. Jest to naturalna konsekwencja przyjęcia podejścia opartego na ryzyku, a więc pewnej swobody pozostawionej administratorom i podmiotom przetwarzającym, którą wyrazić można kolokwialnym nakazem – „zróbcie tak, żeby było dobrze, ale bądźcie w stanie pokazać, że jest dobrze i uzasadnić dlaczego tak jak jest, jest dobrze”.

Zasada ta jest explicite wymieniona w art. 5 ust. 2 GDPR, gdzie stwierdzono, iż administrator jest odpowiedzialny za przestrzeganie przepisów dotyczących zasad przetwarzania danych osobowych i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). W motywie 85 GDPR, poświęconym notyfikacji naruszenia ochrony danych osobowych podniesiono, iż natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.

Organizacja w swoje wewnętrzne procedury musi zatem wplatać kwestie przetwarzania danych osobowych i uwzględniać je na każdym etapie działalności: planowania, pierwszego kontaktu z osobami których dane dotyczą, świadczenia usługi, dostawy towaru, prowadzenia działalności marketingowej lub innej działalności zarobkowej, zawodowej lub dla realizacji celów statutowych, a także pamiętać, by usuwać dane wtedy, gdy nie są już niezbędne do celu, dla którego realizacji zostały zebrane (retencja).

Elementy podejścia proaktywnego i prewencyjnego

Takie prewencyjne i proaktywne podejście znajduje swoje odbicie w nowych rozwiązaniach przyjętych na gruncie GDPR:

Wdrożenie GDPR w organizacji nie jest więc prostym dostosowaniem dokumentacji, ale stanowi projekt korporacyjny – zmianę sposobu podejścia i myślenia o danych osobowych. Przyjęcie nowych procedur niejako wymusza naszą ciągłą świadomość ryzyka związanego z możliwym naruszeniem praw i wolności osób fizycznych. Wiąże się także z uwzględnianiem szeregu konkretnych wymagań.

Zaangażowanie kierownictwa

W praktyce tak istotną zmianę niezwykle trudno jest wprowadzić w organizacji bez wsparcia najwyższego kierownictwa. Wdrożenie GDPR będzie bowiem zwykle wymagało partycypacji  komórek ds. kard i płac, IT, działu prawnego, marketingu itd. Działania te należy odpowiednio zaplanować i skoordynować, a stosowny impuls i pęd powinny wyjść od osób, których pozycja pozwoli nadać projektowi odpowiedni priorytet. Nie bez znaczenia pozostaje także kwestia przyporządkowania odpowiedzialności konkretnym osobom, tak by uniknąć jej „rozmycia”, a tym samym jedynie mitygowania kluczowych działań w miejsce wdrażania nowego prawa.

Budżet

Z kwestią tą jest związane przeznaczenie odpowiednich środków nie tylko osobowych, ale też finansowych i uwzględnienie takiej pozycji w budżecie. Zmiany w formularzach, systemach informatycznych, opracowanie nowych polityk i procedur, a także zakup adekwatnych środków zapewniających bezpieczeństwo – mogą wiązać się z wydatkami, których wielkość zależeć będzie od charakteru danego podmiotu, a także dokonywanych operacji na danych osobowych.

Rola Inspektora Ochrony Danych

Inspektor Ochrony Danych ma być gwarantem przestrzegania zasady rozliczalności. Jego zadania koncentrują się w trzech obszarach:

Wyznaczenie takiej osoby oznacza posiadanie w swoim zespole specjalisty sprawnie zapobiegającego lub reagującego na incydenty związane z nieprawidłowym przetwarzaniem lub ochroną danych osobowych. Co istotne, prawodawca wprowadził stopniowalność kar finansowych za ewentualne naruszenia, a powołanie Inspektora (tam gdzie nie jest to obowiązkowe) może być uznane za wyższą staranność administratora.

Inwentaryzacja – co, jak i po co robię?

Pierwszym krokiem na drodze wdrażania GDPR jest zbadanie:

Taka mapa przetwarzania danych w organizacji pozwoli na identyfikację luk, sformułowanie rekomendacji, a następie opracowanie planu i harmonogramu działań dostosowawczych.

Wysoka jakość dokumentacji

Uwzględniając zasadę rozliczalności warto zadbać o przygotowanie odpowiednich polityk, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania (art. 24 ust 2 GDPR). Dokumentacja dotycząca przetwarzania danych w organizacji powinna być:

Narzędzia i procedury

Przygotowując procedury i dobierając narzędzia (np. odpowiednie programy kadrowe lub płacowe), należy pamiętać, że mają one stanowić podstawę codziennej pracy, a nie jedynie formalne spełnienie wymagań GDPR. Wybór należy skonsultować z pracownikami, których specjalistyczna – a co ważniejsze praktyczna – wiedza pozwoli na weryfikację przydatności narzędzi i procedur w bieżącej działalności. Pomoże to uniknąć sytuacji, w której kilkudziesięciu stronicowa procedura zgłaszania naruszeń de facto sparaliżuje działania pracowników w momencie wystąpienia takiego incydentu.

Szkolenia

Najlepsze polityki i narzędzia okażą się bezużyteczne, jeśli użytkownicy nie będą posiadali odpowiedniej wiedzy i świadomości w obszarze, w którym powinny być one stosowane. Wysokiej jakości, regularne szkolenia z jednej strony sygnalizują pracownikom wagę poruszanej tematyki i budują ich kompetencje w tym obszarze, z drugiej strony pozwalają zminimalizować ryzyko ewentualnego błędu, który mógłby skutkować naruszeniem przepisów i wszczęciem postępowania przez organ nadzorczy.