Wejście w życie w dniu 25 maja 2018 r. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, czyli tzw. ogólnego rozporządzenia o ochronie danych (dalej „Rozporządzenie” lub „RODO”), wywołało swoistą panikę wśród przedsiębiorców, z uwagi na widmo wysokich kar, grożących za niedostosowanie się do nowych wymogów ochrony danych osobowych. Na rynku pojawiło się wiele gotowych wzorów, które przedsiębiorcy kupowali w przeświadczeniu, że takie działanie wystarczająco chroni ich przed owymi karami w przypadku kontroli. W odróżnieniu jednak od poprzednich regulacji, Rozporządzenie nie wskazuje przy pomocy jakich środków i w jaki konkretnie sposób zabezpieczać dane tak, by ich przetwarzanie było zgodne z prawem. Zatem wszelkie gotowe rozwiązania nie są w stanie zapewnić zgodności przetwarzania danych osobowych z Rozporządzeniem. W miejsce gotowych rozwiązań, Rozporządzenie wprowadziło coś nowego – nowe podejście do ochrony danych osobowych, oparte na indywidualnej ocenie stanu faktycznego i zastosowaniu środków adekwatnych do okoliczności, co dla administratora nie zawsze jest łatwe i oczywiste.
Domyślna ochrona danych i podejście oparte na ryzyku
Jedną z innowacyjnych zmian wprowadzonych przez Rozporządzenie było wysłowienie trzech niezwykle istotnych zasad w kontekście prawidłowego przetwarzania danych osobowych w ramach przedsiębiorstwa. Obecnie, zgodnie z art. 25 ust. 1 RODO, administrator jest zobowiązany zaprojektować proces przetwarzania danych w taki sposób aby spełniał on wymogi Rozporządzenia oraz aby chronił prawa osób, których dane dotyczą (prywatność w fazie projektowania – privacy by design). Nadto, zgodnie z art. 25 ust. 2 RODO, ochrona prywatności powinna być działaniem domyślnym każdego z przedsiębiorców, w szczególności poprzez dostosowanie charakteru i zakresu przetwarzanych danych do konkretnego celu, w którym dane te są przetwarzane (prywatność w ustawieniach domyślnych – privacy by default).
Ponadto, każdy administrator musi samodzielnie oceniać ryzyko, jakie przetwarzanie danych osobowych może spowodować dla praw i wolności osób, których te dane dotyczą, uwzględniając wiele specyficznych dla niego czynników, takich jak: rozmiar organizacji i jej struktura, zakres i rodzaj danych oraz cel ich przetwarzania, i zastosować środki ochrony adekwatne do tego ryzyka (zasada podejścia opartego na ryzyku – risk based approach).
Oznacza to, że na przedsiębiorcy ciąży obowiązek nieustannej weryfikacji wdrożonych przez niego środków bezpieczeństwa oraz środków organizacyjnych pod kątem spełniania wymogów Rozporządzenia oraz ochrony praw osób, których dane dotyczą.
5 lat obowiązywania RODO – o czym należy pomyśleć?
5 lat obowiązywania Rozporządzenia (co w wielu przypadkach pokrywa się z momentem wdrożenia w organizacji obowiązków z niego wynikających) to stosunkowo długi okres, w którym w przedsiębiorstwie mogło dojść do wielu zmian – w zakresie struktury klientów (np. skierowanie oferty także lub w większym zakresie do osób fizycznych), form zatrudnienia i współpracy, digitalizacji procesów (co ma przełożenie również na sposób wypełniania obowiązków nakładanych przez RODO poprzez odchodzenie np. od przekazywania informacji w formie papierowej, a także na sposób spełniania przez administratora wymogu rozliczalności, czyli wykazania prawidłowego, zgodnego z Rozporządzeniem, przetwarzania danych osobowych).
Służą temu okresowe audyty powdrożeniowe, które pozwalają ocenić skuteczność stosowanych przez administratora i podmiot przetwarzający środków ochrony danych osobowych, w tym w zakresie:
- sposobu wdrożenia dokumentacji i jej stosowania w praktyce,
- aktualności i efektywności przyjętych procedur i rozwiązań,
a także zweryfikować dotychczasowe i zidentyfikować nowe procesy, w których dochodzi do przetwarzania danych osobowych, ocenić ryzyko związane z przetwarzaniem danych osobowych i zastosować adekwatne środki ochrony.
Zwiększenie świadomości osób, których dane dotyczą
Niewątpliwie istotnym aspektem związanych z 5-letnim okresem obowiązywania przepisów Rozporządzenia jest rosnąca świadomość osób fizycznych, że ich dane mają wartość i powinny być należycie chronione. Rozporządzenie przyznało bowiem osobom, których dane dotyczą, konkretne uprawnienia, z których osoby te coraz częściej korzystają, pytając np. w jakim celu przekazują swoje dane, co się z nimi dzieje, zwracając uwagę na nadmiarowość zbieranych przez administratora danych, a także wnosząc liczne skargi do Prezesa UODO. Oczywiście – jak to zwykle bywa – pojawiają się próby nadużywania praw (jak żądania usunięcia danych formułowane przez dłużników), jednak korzystanie z praw przez osoby, których dane dotyczą, często ma mobilizujący wpływ na przedsiębiorcę, który – aby na takie pytania odpowiedzieć – musi pochylić się nad tym aspektem swojej działalności i zweryfikować, czy rzeczywiście odpowiednio przetwarza dane osobowe, co niejednokrotnie prowadzi do wniosku, że nie.
Przedsiębiorcy – w trosce o swój wizerunek – są coraz bardziej świadomi, że klienci powierzając im swoje dane osobowe, działają w zaufaniu do tego, że ich dane będą należycie zabezpieczone i chronione. Rozporządzenie nie chroni danych osobowych jako takich, a chroni prawa i wolności osób w związku z przetwarzaniem ich danych osobowych. To właśnie te wartości należy przede wszystkim brać pod uwagę także w sytuacji, gdy (nawet pomimo wdrożonych procedur) w organizacji dojdzie do naruszenia ochrony danych osobowych. Nawet bowiem najbardziej zaawansowane technologicznie zabezpieczenia nie są w stanie zapewnić pełnego, stuprocentowego bezpieczeństwa danych. W takiej sytuacji w praktyce dochodzi do weryfikacji, czy przedsiębiorca i jego pracownicy wiedzą co robić, znają procedury postępowania w razie naruszenia, potrafią ocenić czy i komu należy dokonać zgłoszenia.
Kontrole UODO
Jest to też istotny aspekt, który bierze pod uwagę Prezes UODO wydając swoje decyzje, w tym wymierzając kary, których w trakcie 5 lat obowiązywania RODO nałożono niemało. Część z nich była wynikiem kontroli prowadzonych w związku z wniesionymi skargami, część wskutek zgłoszonych naruszeń, a jeszcze inne w związku z planowanymi przez Prezesa UODO kontrolami sektorowymi. Niezależnie od powodów prowadzenia kontroli wiemy już, że niemal każdy podmiot (w tym administratorzy i podmioty przetwarzające) może spodziewać się kontroli i, chcąc uniknąć dotkliwych konsekwencji zarówno finansowych, jak i wizerunkowych, powinien być do niej przygotowany. Działania organu nadzoru, takie jak przykładowo opublikowanie przez Urząd Ochrony Danych Osobowych na swojej stronie internetowej listy pytań jakie kieruje do podmiotów w zakresie wyznaczenia i pracy inspektora ochrony danych, również pozwalają na weryfikację dotychczasowych rozwiązań i ustalenie odpowiedniej strategii.
5 lat obowiązywania RODO z pewnością zmieniło podejście do ochrony danych osobowych zarówno osób, których dane te dotyczą, jak i tych, które te dane przetwarzają. Choć przyniosło pozytywne efekty, jak zwrócenie uwagi na prywatność i potrzebę jej ochrony, to ujawniło również słabe strony, jak powierzchowność wdrożeń, próby nadużywania praw i niejednokrotne reagowanie post factum. Wiele jest więc jeszcze do poprawy, ale dzięki licznym wytycznym i rekomendacjom na poziomie Unii Europejskiej, a także ze strony organów nadzoru, jest szansa, że organizacje coraz lepiej odnajdować się będą w tej rzeczywistości, a osoby, których dane dotyczą, mądrze i skutecznie będą egzekwować swoje prawa.
Jeśli chcą Państwo sprawdzić przygotowanie Państwa organizacji do wymogów nakładanych przez przepisy dotyczące ochrony danych osobowych, polecamy wypełnienie ankiety dostępnej pod poniższym linkiem:
https://sp-legal.pl/quiz/rodo/