Już 25 maja 2018 roku w całej Unii Europejskiej będą stosowane jednolite przepisy w zakresie danych osobowych, a dokładniej ogólne rozporządzenie o ochronie danych, znane pod skrótem RODO (ang. GDPR). Dla tych przedsiębiorców, którzy już teraz przestrzegali przepisów dotyczących danych osobowych rozporządzenie nie będzie się wiązać z wielką rewolucją, ale z dostosowaniem do nowych regulacji. Natomiast ci przedsiębiorcy, którzy do tej pory prawnymi aspektami ochrony danych osobowych nie zawracali sobie głowy - teraz mają sporo do zrobienia. Poniżej znajdziesz pakiet informacji o RODO przydatny każdemu kto w ramach swojej działalności przetwarza dane osobowe.
Autorem publikacji jest Zofia Babicka-Klecor z serwisu LegalGeek.pl
1. RODO nie zastąpi GIODO
Zacznijmy od zdementowania plotek – RODO nie zastąpi GIODO, a tak zupełnie poważnie dla ścisłości wyjaśnię, że RODO jest skrótem od nazwy nowego rozporządzenia (ogólne rozporządzenie o ochronie danych), natomiast GIODO jest aktualnym, polskim organem do spraw ochrony danych osobowych (Generalny Inspektor Ochrony Danych Osobowych), którego najprawdopodobniej, na podstawie nowej, krajowej ustawy o ochronie danych osobowych zastąpi Prezes Urzędu Ochrony Danych Osobowych.
Tak jak obecne przepisy, RODO wymaga aby przetwarzanie danych osobowych następowało tylko jeśli wystąpi, jedna ze wskazanych w rozporządzeniu, podstaw przetwarzania danych osobowych. W praktyce – jeśli nie masz jednej ze wskazanych w przepisach podstaw, to nie możesz przetwarzać (w tym także zbierać czy przechowywać) czyichś danych osobowych.
Najczęściej występującymi warunkami pozwalającymi na legalne przetwarzanie danych są:
Umowa – możesz przetwarzać dane kiedy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (np. odpowiedzenie na zapytanie ofertowe), taka umowa może być zawarta drogą elektroniczną – np. w oparciu o odpowiednio przygotowany regulamin e-usługi,
Zgoda wyrażona przez osobę, której dane dotyczą,
Wypełnienie obowiązku prawnego, który na Tobie ciąży – nawet jeśli klient skutecznie wypowie wiążącą was umowę możesz przetwarzać jego dane w takim zakresie w jakim potrzebujesz ich np. w związku z obowiązkami rachunkowymi, takimi jak konieczność przechowywania faktur czy wyciągów bankowych,
Realizacja prawnie uzasadnionych interesów administratora danych – np. przetwarzanie danych osobowych bezwzględnie koniecznych do zapobiegania oszustwom. Jednak w każdym przypadku administrator musi ocenić czy faktycznie w danej sytuacji zachodzi ta przesłanka i przetwarzanie nie będzie naruszać interesów lub podstawowych praw i wolności osoby, której dane są przetwarzane.
Właściwe zakwalifikowanie przesłanki przetwarzania danych jest teraz szczególnie ważne ponieważ musisz poinformować osobę, której dane przetwarzasz o tym na jakiej podstawie przetwarzasz informacje o niej.
3. Zgoda zgodzie nie równa
Jeśli przetwarzasz dane na podstawie zgody (np. w oparciu o nią wysyłasz informacje handlowe) zwróć uwagę na to żeby zgoda była uzyskana prawidłowo. Jeśli będziesz zbierać zgody niezgodnie z RODO to tak jakbyś tych zgód nie posiadał – Twoje zgody będą nieważne, a Ty narażasz się na odpowiedzialność z tym związaną.
- musisz być w stanie wykazać, że osoba, której dane przetwarzasz wyraziła zgodę (np. posiadając odpowiednie informacje w logach serwera czy bazach danych),
- zgoda musi być dobrowolna, mieć zrozumiałą i łatwo dostępną formę (zgody nie uważa się za dobrowolną jeżeli od jej udzielenia uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna),
- domyślnie zaznaczone checkboxy nie oznaczają zgody (użytkownik musi samodzielnie zaznaczyć odpowiednie okienko w przypadku gdy chce wyrazić zgodę).
Pamiętaj, że zgodnie z tym o czym była mowa wcześniej, w przypadku gdy przetwarzasz dane wyłącznie w celu realizacji umowy (np. sprzedaży czy o świadczenie usług) nie musisz, a wręcz nie powinieneś, uzyskiwać na to zgody ponieważ podstawą przetwarzania będzie tutaj umowa. Mimo tego, że tak jest już obecnie to wiele podmiotów zupełnie niepotrzebnie dorzuca dodatkowy checkbox i żąda zgody na przetwarzanie danych w celu realizacji umowy (takie działanie było wręcz kwestionowane przez GIODO).
4. Na te dane uważaj szczególnie!
Tak jak obecne, krajowe przepisy RODO wyróżnia pewne kategorie danych, których przetwarzać co do zasady nie można.
Szczególnymi kategoriami danych osobowych zgodnie z RODO są:
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dotyczące danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, a także dotyczące zdrowia, seksualności lub orientacji seksualnej osoby.
Być może zastanawiasz się co masz zrobić jeśli prowadzisz sklep z okularami lub jesteś dostawcą aplikacji dla osób stosujących diety medyczne, w których zbierasz informacje o stanie zdrowia kupujących/użytkowników? W takim przypadku podstawą przetwarzania, inaczej niż przy danych „zwykłych”, będzie odrębna zgoda.
Pamiętaj, żeby spełniała ona wymogi, o których mowa w punkcie 3!
Co ważne RODO wprowadza jednak pewne ułatwienie – zgoda może być wyrażona w formie elektronicznej, obecnie musi mieć ona formę pisemną (czyli powinna być wyrażona „na papierze”). Ta zmiana mocno ułatwi życie m.in. twórcom aplikacji związanych ze zdrowiem.
5. Pozyskujesz dane osobowe? Przekaż informacje od siebie.
Już teraz musisz przekazać osobie, której dane przetwarzasz pewne informacje o sobie, jako administratorze danych, a także o prawach tej osoby. RODO znacznie wydłuża listę obowiązków informacyjnych, a do tego zaleca aby informacje te przekazać w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem co jest nie małym wyzwaniem dla przedsiębiorców. Z poniższej infografiki dowiesz się jaki pakiet informacji powinieneś przekazać osobie od której pozyskujesz dane osobowe.
6. RODO przenosi dane
Nowością, którą wprowadza RODO, jest prawo osoby, której dane dotyczą do przeniesienia jej danych osobowych do innego administratora. W przypadku przetwarzania danych na podstawie zgody, umowy lub w sposób zautomatyzowany - jako administrator danych musisz umożliwić to swojemu klientowi czy użytkownikowi prowadzonego przez Ciebie serwisu. Dane powinieneś przekazać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. XML czy CSV). Ponadto osoba, której dane przetwarzasz może poprosić Cię o przekazanie danych wskazanemu przez nią podmiotowi (czyli może się okazać, że będziesz musiał przekazać te dane swojej konkurencji).
7. Zapomnij mnie - czyli prawo do bycia zapomnianym
Prawo do bycia zapomnianym to prawo do usunięcia danych, które wprost wprowadza RODO. Osoba, której dotyczą dane ma prawo zażądać od Ciebie, jako administratora danych, usunięcia dotyczących jej danych, a Ty musisz spełnić to żądanie jeśli nie występują przesłanki, które Ci to uniemożliwiają!
Bez wątpienia musisz usunąć dane m.in. jeśli:
nie są już one Tobie niezbędne do celów, w których zostały zebrane,
zgoda na podstawie, której przetwarzałeś dane została cofnięta,
dane przetwarzałeś niezgodnie z prawem, a także jeśli
dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego (np. w ramach portalu społecznościowego).
Są jednak sytuacje, o czym warto pamiętać, w których możesz odmówić spełnienia żądania usunięcia danych. Ma to miejsce m.in. jeśli przetwarzanie jest niezbędne:
do wywiązania się z prawnego obowiązku,
do ustalenia, dochodzenia lub obrony roszczeń,
do korzystania z prawa do wolności wypowiedzi i informacji.
Dlatego też w każdym przypadku prawo do bycia zapomnianym powinno być analizowane indywidualnie. Nie możesz przecież usunąć danych osobowych z wyciągów bankowych, do których przechowywania obligują Cię przepisy o rachunkowości. Ponadto, tak jak przy innych żądaniach, musisz być pewien, że żądanie faktycznie pochodzi od uprawnionego.
8. Privacy by design/by default
Jeżeli w ramach swojej działalności tworzysz projekty (np. serwisy czy aplikacje) zgodnie z RODO ochronę danych powinieneś uwzględnić już w fazie projektowania, a dane zawsze chronić domyślnie.
Co to oznacza w praktyce? Zadbaj m.in. o to żeby:
użytkownicy Twojego serwisu podawali tylko tyle danych ile faktycznie jest niezbędnych ze względu na charakter serwisu, a ich dane osobowe nie były domyślnie udostępniane nieokreślonej liczbie osób bez działania osoby, której dane dotyczą,
zgody na przetwarzanie danych osobowych były właściwie skonstruowane i zbierane (checkboxy nie mogą być domyślnie zaznaczone),
stosowane przez Ciebie środki należycie chroniły dane osobowe (np. dzięki certyfikatowi SSL czy właściwie zabezpieczonym serwerom).
9. Profilowanie danych
Wykorzystujesz zautomatyzowane narzędzia do oceny m.in. preferencji, zachowania lub zainteresowań użytkownika? Jeśli tak - to dokonujesz profilowania w związku, z którym RODO nakłada na Ciebie dodatkowe obowiązki.
Przede wszystkim musisz poinformować użytkownika, że stosujesz profilowanie (które RODO wymienia jako osobny rodzaj przetwarzania danych). Ponadto osoba, której dane są przetwarzane w celu marketingu bezpośredniego ma prawo w każdej chwili sprzeciwić się wobec dalszego przetwarzania jej danych w tym celu, a Ty, jako administrator danych, musisz zaprzestać dalszego przetwarzania jej danych w ten sposób.
Jeśli profilowanie zamierzasz wykorzystywać do podejmowania decyzji, które będą się opierać wyłącznie na zautomatyzowanym przetwarzaniu i będą wywoływać wobec osoby, którą profilujesz, skutki prawne lub w podobny sposób istotnie na nią wpływać możesz tego dokonywać tylko wtedy gdy ta decyzja:
jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem (np. głównym celem i funkcją Twojego serwisu jest automatyczne łączenie osób w oparciu o ich preferencje, lokalizację itp.),
opiera się na wyraźnej zgodzie osoby, której dane dotyczą,
jest dozwolona prawem.
10. Rejestr czynności przetwarzania zastąpi zgłoszenie zbiorów do GIODO
Rozporządzenie unijne nie przewiduje czegoś takiego jak zgłaszanie zbiorów do organu nadzorczego - w związku z czym ten obowiązek zniknie po 24 maja. Jeśli wdrażasz projekt w ramach, którego dane zaczniesz zbierać dopiero po tej dacie - odpada Ci przygotowanie i wysłanie zgłoszeń do GIODO. Jednak zamiast zgłoszeń osoby, które przetwarzają czyjeś dane osobowe będą musiały prowadzić Rejestr czynności przetwarzania danych.
RODO określa co powinien taki rejestr zawierać. Są to m.in. cele przetwarzania danych, opis osób, których dane dotyczą (np. klienci) czy opis kategorii danych (nie podajesz tutaj danych konkretnych osób, ale to jakiego rodzaju dane przetwarzasz, np. imię i nazwisko, adres e-mail).
Rejestru nie musisz prowadzić tylko wtedy jeśli dane przetwarzasz sporadycznie (co rzadko będzie miało miejsce) i zatrudniasz mniej niż 250 osób. Zawsze musisz prowadzić rejestr gdy przetwarzanie obejmuje szczególne kategorie danych (np. dane dotyczące stanu zdrowia).
11. Dokumentacja zgodna z RODO
Być może wiesz o tym, że dokumentami, które obecnie powinieneś posiadać jako przedsiębiorca przetwarzający dane osobowe są polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym (w przypadku przetwarzania danych w formie elektronicznej). Jeśli nie tylko wiesz o tym obowiązku, ale również posiadasz właściwą, zgodną ze stanem faktycznym, dokumentację jesteś na dobrej drodze do dostosowania się do RODO – masz bazę do przygotowanie polityk ochrony danych osobowych, o których mowa w RODO.
Ale zanim przygotujesz polityki ochrony danych musisz przeprowadzić analizę ryzyka, która tak naprawdę pozwoli Ci zdecydować jakie środki bezpieczeństwa danych powinieneś podjąć. RODO, w przeciwieństwie do aktualnych przepisów, zostawia Ci wolną rękę w zakresie zastosowanych środków, ale to Ty musisz stwierdzić czy dane zabezpieczenie będzie właściwe. Rozporządzenie nie narzuca Ci np. jak często musisz zmieniać hasła dostępowe, ale musisz wprowadzić w swojej firmie takie zasady, które będą należycie chronić dane.
Jako przykłady środków technicznych i organizacyjnych RODO wymienia pseudonimizację i szyfrowanie danych osobowych. Ponadto wskazuje na obowiązek zapewnienia, w stosownych przypadkach, poufności, integralności, dostępności i odporności systemów i usług przetwarzania, a także zdolności szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu.
Jeśli z analizy ryzyka wyjdzie Ci wysokie ryzyko naruszenia praw lub wolności osób fizycznych powinieneś przeprowadzić ocenę skutków przetwarzania danych. Ocenę przeprowadzasz zawsze w przypadku:
systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną (np. przy scoringu dokonywanym przy podejmowaniu decyzji kredytowych);
przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w punkcie 4, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa lub
systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie (np. w przypadku agencji ochrony).
a jeśli z analizy ryzyka wyjdzie Ci wysokie ryzyko lub wpisujesz się w co najmniej jeden z trzech, powyższych przypadków:
dokonać oceny skutków przetwarzania.
12. Powierzaj dane z głową i… zgodnie z RODO
Prawdopodobnie zdarza Ci się skorzystać z usług zewnętrznych podmiotów, które ułatwiają Ci prowadzenie działalności, np. firmy hostingowej, biura rachunkowego czy rozwiązania do wysyłania mailingów. Pamiętaj, że w przypadku gdy wraz z waszą współpracą następuje przekazanie do przetwarzania danych Twoich klientów czy użytkowników Twoich serwisów lub aplikacji tym podmiotom powinniście podpisać umowę powierzenia przetwarzania danych osobowych. Rozporządzenie dokładnie określa jakie elementy powinny się składać na tę umowę, ale tutaj także odchodzi od formy pisemnej - umowę możesz zawrzeć również drogą elektroniczną.
A może to Tobie klienci powierzają do przetwarzania dane osobowe (np. przez korzystanie z dostarczanego przez Ciebie CRMa w modelu SAAS)? Zadbaj o to, żeby miało to miejsce zgodnie z RODO np. przez dołączenie umowy powierzenia przetwarzania danych jako załącznika do regulaminu aplikacji.
13. Dane przekraczają granice – jak to zrobić legalnie?
Zazwyczaj dalsza podróż, a zwłaszcza poza Unię Europejską, wiąże się z większymi przygotowaniami i formalnościami – podobnie jest z wysyłaniem danych osobowych poza UE, a właściwe poza Europejski Obszar Gospodarczy.
RODO nie zabrania takiego przekazywania więc jest duża szansa, że będziesz mógł skorzystać np. z usług podmiotów ze Stanów Zjednoczonych. Jednak żeby zrobić to legalnie muszą zostać spełnione wskazane w rozporządzeniu warunki, co ma celu zapewnienie osobom fizycznym, których dane będą przekazane, co najmniej takiego samego stopnia ochrony ich danych jaki daje im RODO.
Przekazanie danych może nastąpić m.in. na podstawie stosownej decyzji Komisji Europejskiejstwierdzającej odpowiedni stopień ochrony w danym państwie trzecim co jest chyba najpowszechniejszym sposobem na przekazanie danych poza EOG. Przykładowo, decyzją, o której mogłeś słyszeć, umożliwiającą przekazywanie danych do USA jest Tarcza Prywatności UE-USA pozwalająca na przekazywanie danych podmiotom amerykańskim, które przystąpiły do tarczy.
Co istotne, zgodnie z RODO, decyzje przyjęte przez Komisję pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia także również po rozpoczęciu stosowania RODO będziesz mógł skorzystać z obowiązujących już teraz decyzji.
14. IOD czyli ABI na nowych zasadach
Miejsce obecnego Administratora Bezpieczeństwa Informacji zajmie, na nowych zasadach, Inspektor Ochrony Danych odpowiadający za ochronę danych osobowych przetwarzanych przez przedsiębiorcę, który go wyznaczył.
Rozporządzenie wskazuje przypadki, w których zawsze musisz wyznaczyć Inspektora Ochrony Danych, a dotyczy to sytuacji:
gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, a także gdy,
przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.
Co istotne obowiązek wyznaczenia IODa spoczywa zarówno na administratorze danych jak i na podmiocie przetwarzającym. Tym samym jeśli Twoja działalność polega na dostarczaniu oprogramowania dla przychodni i powierzane są Tobie do przetwarzania (np. przez korzystanie z Twoich serwerów, w tym jeśli świadczysz usługi SaaS) dane o stanie zdrowia pacjentów przychodni również powinieneś wyznaczyć IODa ponieważ podpadasz pod drugi ze wskazanych przypadków.
15. Kary
Na koniec to z czego, niestety dla przedsiębiorców, słynie RODO czyli wysokie kary.
Maksymalna wysokość kary to 20 000 000 EUR, a w przypadku przedsiębiorstwa –do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Zwróć uwagę, że mowa tutaj o górnej, granicznej kwocie co oznacza, że kara ta może być, i zazwyczaj pewnie będzie, niższa. Wymierzając karę organ będzie brał pod uwagę m.in. charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, a także liczbę poszkodowanych osób.
Organ nadzoru kary będzie nakładał m.in. za naruszenie podstawowych zasad przetwarzania danych (np. za przetwarzanie danych bez stosownej podstawy prawnej), w tym warunków zgody, naruszenie praw osób, których dane dotyczą, a także przekazywania danych osobowych odbiorcy w państwie trzecim niezgodnie w wymogami wskazanymi w rozporządzeniu.
Zofia Babicka-Klecor
Założycielka Legal Geek, prawniczka.
W Legal Geeku odpowiada przede wszystkim za obsługę prawną podmiotów z branży e-commerce, doradzając im jak zgodnie z prawem prowadzić działalność w sieci, a także za wdrożenia RODO. Ponadto zajmuje się rozwojem należącej do Legal Geek marki Dokrates.pl- projektu z dziedziny Legal Tech. Prywatnie mama dwójki dzieci, zapalony fotograf i miłośniczka Italii.
