Professional Documents
Culture Documents
Poradnik Rodo
Poradnik Rodo
Patron poradnika
ODO 24 sp. z o. o. oferuje kompleksowe rozwiązania
w zakresie ochrony danych osobowych i bezpieczeń-
stwa informacji. Dzięki doświadczonemu zespołowi
ekspertów z zakresu m.in. prawa, informatyki, zarządza-
nia kryzysowego oraz ciągłości działania dostarcza or-
ganizacjom praktyczne rozwiązania, pozwalające sku-
tecznie zabezpieczyć posiadane zasoby informacyjne.
Autor poradnika
Leszek Kępa – ekspert bezpieczeństwa informacji, autor kilku książek i wielu pu-
blikacji na temat ochrony danych osobowych i bezpieczeństwa informacji. Posia-
da, uznane na całym świecie, certyfikaty CISA (Certified Information Security Au-
ditor), CISM (Certified Information Security Manager) oraz CEH (Certified Ethical
Hacker). Jest członkiem ISACA. Absolwent Szkoły Głównej Handlowej, Politechni-
ki Częstochowskiej oraz Akademii Podlaskiej.
Ilustracje
Karol Banach (www.karolbanach.com)
Projekt i skład
Radosław Zbytniewski (www.zbytniewski.com.pl)
Redakcja i korekta
Aleksandra Kaniewska
ISBN: 978-83-943435-3-8
4
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
Wszyscy przedsiębiorcy oraz instytucje, które przetwarzają dane osobowe, powinni przygotować się na rewolucyjne
zmiany. 25 maja 2016 r. weszły w życie, a od 2018 r. zaczną obowiązywać przepisy europejskiego rozporządzenia
o ochronie danych osobowych.1 Pełna nazwa tego aktu to: Rozporządzenie Parlamentu Europejskiego i Rady
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego prze-
pływu takich danych oraz uchylenia dyrektywy 95/46/WE2 (ogólne rozporządzenie o ochronie danych), które dalej
określane jest w skrócie jako Rozporządzenie lub RODO.
Rys historyczny
Reforma przepisów o ochronie danych osobowych, której jesteśmy świadkami, następuje po ponad 20 latach od
uchwalenia dyrektywy 95/46/WE , która jest fundamentalnym aktem prawnym regulującym kwestie ochrony danych
osobowych w całej Europie.
Wszystko zaczęło się 4 listopada 2010 r., kiedy Komisja Europejska – po przeprowadzeniu szeroko zakrojonych kon-
sultacji społecznych – opublikowała komunikat zatytułowany Całościowe podejście do kwestii ochrony danych oso-
bowych w Unii Europejskiej. W ten sposób zapowiedziana została kompleksowa nowelizacja europejskiego prawa
w zakresie ochrony danych osobowych, która odpowiadałaby zmieniającej się rzeczywistości jednolitego rynku cy-
frowego. Niedługo później, 6 lipca 2011 r., Parlament Europejski przyjął rezolucję, w której poparł stanowisko Komi-
sji3, a 24 lutego 2011 r. swoje poparcie dla zmian wyraziła Rada Unii Europejskiej. Wśród unijnych instytucji panowała
zgodność co do tego, że przepisy o ochronie danych osobowych potrzebują odświeżenia i ujednolicenia.
1) http://ec.europa.eu/health/data_collection/docs/com_2010_0609_pl.pdf
2) http://eur-lex.europa.eu/legal-content/pl/ALL/?uri=CELEX:31995L0046
3) http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2011-0323+0+DOC+XML+V0//PL
5
ODO24.pl OCHRONA DANYCH OSOBOWYCH i BEZPIECZEŃSTWO INFORMACJI
25.01
Propozycja reformy
2012
Ustawa o ułatwieniu wykony-
07.11 wania działalności gospodarczej
2014 przygotowująca w Polsce grunt
pod przepisy europejskie
Wejście w życie przepisów 01.01
tej ww. ustawy 2015
27.04
2016 Uchwalenie RODO
25.05
Obowiązywanie RODO
2018
25 stycznia 2012 r. Komisja Europejska przedstawiła Unii Europejskiej, Parlamentem Europejskim i Komisją
opis najważniejszych elementów reformy ochrony da- Europejską, mające na celu ustalenie ostatecznej wersji
nych.4 Miały się na nią składać dwa nowe akty prawne: pakietu dokumentów.8
• europejskie rozporządzenie o ochronie danych, Po przyjęciu przez Radę dokumentów, w kwietniu 2016r.
zastępujące Dyrektywę 95/46/WE5, Parlament przegłosował pakiet nowych unijnych ram
• dyrektywa określająca przepisy o ochronie danych prawnych dla ochrony danych osobowych, czyli dyrek-
osobowych przetwarzanych do celów zwalcza- tywę i Rozporządzenie. Z perspektywy polskich podmio-
nia przestępczości, zastępująca decyzję ramową tów, istotniejszym dokumentem jest Rozporządzenie
2008/977/WSiSW6. (zwane skrótowo RODO), ponieważ zmienia i ujednolica
obowiązujące przepisy dotyczące ochrony danych oso-
W marcu 2014 r. Parlament Europejski już w pierwszym bowych w całej Unii Europejskiej oraz projekt ustawy
czytaniu zajął pozytywne stanowisko w sprawie projek- o ochronie danych osobowych, która zostanie przyjęta,
tów Rozporządzenia i dyrektywy, a rok później, w czerw- aby doprecyzować w Polsce stosowanie europejskich
cu, Rada zgodziła się z wnioskami Parlamentu i zatwier- przepisów.
dziła ogólne, całościowe podejście do ochrony danych
Aby zrozumieć, jaki wpływ na obywateli mają zapi-
osobowych w Unii.7 Tuż przed świętami, 15 grudnia 2015
sy Rozporządzenia, warto zapoznać się z konstrukcją
r., zakończyły się trójstronne negocjacje pomiędzy Radą
4) Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu ekonomiczno-społecznego i Komitetu regionów – Ochrona prywatno-
ści w połączonym świecie – europejskie ramy ochrony danych w XXI wieku – http://orka.sejm.gov.pl/sue7.nsf/pliki-zal/com_2012_9_pl_acte_f.pdf/$file/
com_2012_9_pl_acte_f.pdf
5) Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady – Zawiera definicje podstawowych terminów odnoszących się do dziedziny danych osobowych, ustala
zasady zbierania, gromadzenia, przechowywania i udostępniania danych osobowych. Określa zasady i warunki zgodności przetwarzania danych osobowych z
prawem oraz prawa osób, których dane dotyczą – http://www.giodo.gov.pl/568/id_art/603/j/pl/
6) http://www.giodo.gov.pl/234/id_art/2501/j/pl/
7) http://www.consilium.europa.eu/press-releases-pdf/2015/6/40802199180_pl.pdf oraz http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/pl/pdf
8) Nawiasem mówiąc, w pewnym momencie śledzenie, na jakim etapie znajdują się zmiany, było ogromnym wyzwaniem, gdyż w obiegu były trzy projekty
rozporządzenia.
6
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
7
ODO24.pl OCHRONA DANYCH OSOBOWYCH i BEZPIECZEŃSTWO INFORMACJI
Aby być dobrze przygotowanym należy m.in: • dokumentować naruszenia bezpieczeństwa i pro-
wadzić rejestr incydentów,
• zapewnić zgodność przetwarzania z obecnie obo-
• przygotować procesy zarządzania incydentami
wiązującymi przepisami, tj. ustawą o ochronie
bezpieczeństwa.
danych osobowych – ułatwi to przygotowania do
zapewnienia zgodności z Rozporządzeniem, Nie trzeba tłumaczyć, że dostosowanie się do Rozpo-
• poznać dobrze wymagania Rozporządzenia, rządzenia nie jest kwestią wyłącznie działu prawnego
by wiedzieć do czego należy się przygotować czy IT. Zapewnienie zgodności wymaga współpracy
– niniejszy Poradnik powinien ułatwić to zadanie, w całej organizacji – poziom kar oraz potencjalny
• przeszkolić zespół który będzie koordynował przy- wpływ na funkcjonowanie organizacji uczynił z Roz-
gotowania do Rozporządzenia, porządzenia problem na poziomie zarządu, a nie po-
• zrozumieć gdzie i jakie dane są przetwarzane, jedynczych działów.
• dokonać przeglądu własnych zleceniobiorców
(tzw. procesorów) i współpracować z nimi, aby tak- Administratorzy oraz podmioty
że dostosowali swoje procesy do Rozporządzenia,
• przeanalizować obecne procesy zbierania danych,
przetwarzające dane
• przejrzeć istniejące procedury i dokumentację, muszą się przygotować
• przeanalizować kto i za co jest odpowiedzialny
w procesach przetwarzania, Podkreślenia wymaga to, że przygotować muszą się
• wdrożyć procesy analizy i szacowania ryzyka, zarówno administratorzy danych jak i podmioty, które
• wzmocnić zabezpieczenia (tam gdzie to potrzebne, przetwarzają dane na zlecenie, szczególnie że w stosun-
bazując na ocenie ryzyka) i zapewnić, że bezpieczeń- ku do tych ostatnich Rozporządzenie definiuje bardzo
stwo będzie wbudowane we wszystkie nowe procesy, dużo nowych obowiązków.
8
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
9) W chwili przygotowania publikacji nie do końca jasne było, jak traktować deklarację wyjścia Wielkiej Brytanii z Unii Europejskiej (tzw. „Brexit”). Do czasu
wyjścia jest ona członkiem Unii i musi szanować i przestrzegać europejskiego prawa.
10) https://mc.gov.pl/aktualnosci/projekt-ustawy-o-ochronie-danych-osobowych
11) Więcej na temat Grupy Roboczej Art. 20 na stronie internetowej GIODO – http://www.giodo.gov.pl/261/id_art/920/j/pl/
9
ODO24.pl OCHRONA DANYCH OSOBOWYCH i BEZPIECZEŃSTWO INFORMACJI
się przestrzegać obecnie obowiązujących przepisów osoby fizyczne i prawne oraz jednostki organizacyjne nie-
o ochronie danych osobowych. będące osobami prawnymi. Wracając do firmy – Kodeks
cywilny w art. 432 określał, że przedsiębiorca działa pod
firmą, czyli przez pojęcie firmy rozumiano nazwę, której
3 Prawo dostosowane
do wielkości
przedsiębiorstwa
Rozporządzenie w końcu zauważa małe, średnie oraz
mikro-przedsiębiorstwa. Dotychczasowe prawo defi-
niowało takie same wymagania ochrony danych oso-
bowych zarówno osobom fizycznym prowadzącym
działalność gospodarczą, jak i dużym, międzynarodo-
wym korporacjom. Skutkowało to tym, że większość
małych podmiotów tylko w znikomym stopniu speł-
10
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
11
ODO24.pl OCHRONA DANYCH OSOBOWYCH i BEZPIECZEŃSTWO INFORMACJI
12) GIODO obecnie także zachęca i wspiera tworzenie kodeksów postępowania, ale nie ma to prawnego umocowania, takiego jakie wprowadza Rozporządzenie
13) We wcześniejszym tłumaczeniu określony jako zainteresowany organ nadzorczy, co wydaje się było lepszym tłumaczeniem terminu „supervisory authority
concerned”.
12
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
Co również ważne, według nowego prawa, skargę do nadzorczym będzie spoczywać ciężar udowodnienia,
UODO będzie można złożyć bezpłatnie, a odbiorcą że mają taki charakter.
takiej skargi będzie mógł też zostać dowolny organ Jako że większość kontroli następuje w efekcie postę-
nadzorczy w UE. W takim przypadku będzie on, uprasz- powania skargowego, można zakładać, że łatwiejszy
czając, brał udział w sprawie jako tzw. organ nadzorczy, sposób składania skarg przełoży się na większe praw-
którego sprawa dotyczy.13 dopodobieństwo kontroli, gdyż skargi do tej pory są
Osoby będą mogły skarżyć się bezpośrednio do sądu, jednym z najważniejszych „wyzwalaczy” przeprowa-
z pominięciem organu nadzorczego (UODO) (art. 79 dzanych przez organ kontroli. Na pewno przygotowując
Rozporządzenia). Dzisiaj wielu przedsiębiorców „korzy- się do wdrożenia nowych przepisów warto przeanalizo-
stało” z tego, że GIODO posiada ograniczone zasoby ka- wać sposób reagowania na skargi klientów, szczególnie
drowe i skargi rozpatruje bardzo powoli. To na pewno na te związane z przetwarzaniem danych osobowych.
się zmieni. Również dlatego, że art. 24 projektowanej Warto rozważyć prowadzenie rejestru wszelkich skarg
ustawy o ochronie danych osobowych umożliwia Pre- na przetwarzanie danych osobowych, aby móc po-
zesowi UODO tymczasowe zobowiązanie administrato- znać skalę potencjalnego problemu, szczególnie że
ra do ograniczenia przetwarzania danych osobowych w przyszłości w procesie obsługi takich skarg będzie
jeszcze w toku postępowania. Będzie to możliwe, jeśli brał udział inspektor ochrony danych.
zostanie uprawdopodobnione, że przetwarzanie da-
Trzeba zauważyć, że w projektowanych przepisach
nych osobowych narusza przepisy o ochronie danych
przewiduje się, że w toku kontroli UODO kontrolujący
osobowych, a dalsze ich przetwarzanie może spowodo-
może korzystać z pomocy funkcjonariuszy innych orga-
wać poważne i trudne do usunięcia skutki.
nów kontroli państwowej lub Policji, a organy kontroli
Kolejnym ciekawym zagadnieniem jest „uprawnie- państwowej lub Policja wykonują czynności na pole-
nie organizacji społecznej do wystąpienia z żądaniem cenie kontrolującego. Co więcej, Prezes Urzędu będzie
wszczęcia postępowania bądź udziału w postępowa- uprawniony do przeprowadzania kontroli bez uprzed-
niu, nie tylko w przypadku gdy przemawia za tym inte- niego zawiadomienia o tym fakcie kontrolowanego.
res społeczny, o czym stanowi art. 31 § 1 KPA, ale rów-
nież gdy przemawia za tym interes osoby, której prawa
zostały naruszone”. Może to oznaczać wysyp organizacji
wyszukujących wszelakich potknięć w przetwarzaniu 6 Nowe sankcje jako
danych i szantażujących przedsiębiorców. Doświadczy-
liśmy tego wszyscy w związku z ustawą o świadczeniu większa siła
usług drogą elektroniczną.
Rozporządzenie określa, że organ nadzoru ma wykony-
oddziaływania
wać zadania na rzecz osób, których dane dotyczą i jeżeli
istnieje, inspektora ochrony danych w sposób wolny od
prawa
opłat. Opłaty za wniesienie skargi mogą się pojawić Za naruszenie istotnych przepisów ochrony danych
tylko wtedy, gdy wnioski skarżącego są ewidentnie nie- osobowych, Rozporządzenie przewiduje grzywnę do 20
uzasadnione lub nadmierne, ale uwaga – to na organie mln EUR, a w przypadku przedsiębiorstwa – do 4% cał-
kowitego światowego obrotu z poprzedniego roku. Niż-
sze kary do 10 mln EUR lub do 2% światowego obrotu,
przewidziane są w sprawach mniejszej wagi.
Nowe rozporządzenie
wprowadza bardzo surowe kary
Każdy przypadek będzie indywidualnie rozpatrywany
i pod uwagę będą brane m.in. następujące elementy:
• skala naruszenia,
• umyślność działań,
• co zrobiono, żeby zminimalizować szkody ponie-
sione przez osoby, których dane dotyczą,
13
ODO24.pl OCHRONA DANYCH OSOBOWYCH i BEZPIECZEŃSTWO INFORMACJI
14
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
ciowe (IDS/IPS – Intrusion Detection/Prevention organ. Swojego rodzaju sankcjami będą też odszkodo-
Systems), wania. Art. 82 Rozporządzenia określa, iż osoba, która
• mechanizmy wspierające zarządzanie dostępami poniosła szkodę majątkową lub niemajątkową w wyniku
do informacji (IdM – Identity Management). naruszenia przepisów Rozporządzenia ma prawo do uzy-
skania od administratora lub procesora odszkodowa-
W większych organizacjach zapewne trzeba będzie
nia za poniesioną szkodę. Co do zasady, administrator
rozbudować zespoły bezpieczeństwa informacji i zarzą-
odpowiada za szkody spowodowane przetwarzaniem
dzania incydentami, szczególnie w świetle obowiązku
naruszającym przepisy, a procesor tylko wtedy, gdy nie
prowadzenia rejestru incydentów oraz raportowania
dopełnił obowiązków, które Rozporządzenie nakłada
tych poważniejszych do organu nadzorczego (UODO).
bezpośrednio na niego lub gdy działał „poza zgodnymi
Konieczne będzie wdrożenie i przetestowanie procedur
z prawem instrukcjami administratora lub wbrew tym
postępowania w sytuacjach kryzysowych, np. w przy-
instrukcjom”. Oczywiście obaj zostają zwolnieni z od-
padku wycieku danych. To o tyle ważne, że do ustalenia
powiedzialności odszkodowawczej, jeżeli są w stanie
wysokości kary Prezes Urzędu będzie brał pod uwagę
udowodnić, że w żaden sposób nie ponoszą winy za
wiele czynników, m.in. sposób, w jaki dane były zabez-
zdarzenie, które doprowadziło do powstania szkody.
pieczone na poziomie technicznym lub organizacyjnym
oraz jakie działania podjęte zostały, żeby zminimalizo-
wać szkody.
W uzasadnieniu do projektu ustawy podkreśla się, że 7 Kompleksowa
współpraca organów
ogromne znaczenie Prezes Urzędu powinien przywią-
zywać do zebrania w toku postępowania dowodów
przemawiających nie tylko za wymierzeniem admini- (tzw. one stop shop)
stracyjnej kary pieniężnej, ale również wymierzeniem
kary o takiej, a nie innej wysokości. Oczekuje się też Międzynarodowe organizacje, które działają na terenie
wyczerpujących uzasadnień wydanych rozstrzygnięć. wielu państw Unii Europejskiej, będą mogły załatwić
Będzie to bez wątpienia interesująca baza wiedzy dla wszystkie formalności w jednym punkcie, przy pomocy
wszystkich zainteresowanych. tzw. organu wiodącego, który powinien współpracować
Dobrze też pamiętać, że wniesienie skargi do sądu ad- z innymi organami, których sprawa dotyczy. Przykłado-
ministracyjnego powoduje wstrzymanie wykonania de- wo polska międzynarodowa organizacja może udać się
cyzji w zakresie dotyczącym administracyjnej kary pie- do Prezesa UODO, aby załatwić kwestie związane z mię-
niężnej, zatem jeśli ukarany podmiot wniesie skargę, to dzynarodowym przetwarzaniem danych i nie musi anga-
jest szansa, że odroczy w czasie karę. Gdy o sankcjach żować organów nadzorczych w innych krajach.
mowa, trzeba pamiętać, że sankcją dla podmiotu nie W preambule Rozporządzenia dowiadujemy się:
musi być wyłącznie kara nałożona przez odpowiedni
• (Motyw 135) Należy ustanowić mechanizm spójności
na potrzeby współpracy między organami nadzor-
czymi. Mechanizm ten powinien mieć zastosowanie
w szczególności wtedy, gdy organ nadzorczy zamie-
rza przyjąć środek mający wywoływać skutki praw-
ne w odniesieniu do operacji przetwarzania, które
znacznie wpływają na istotną liczbę osób, których
dane dotyczą w kilku państwach członkowskich.
• (Motyw 133) Organy nadzorcze powinny się wza-
jemnie wspierać w wykonywaniu swoich zadań
oraz świadczyć sobie wzajemną pomoc, by zapew-
nić spójne stosowanie i egzekwowanie niniejszego
rozporządzenia na rynku wewnętrznym.
15
ODO24.pl OCHRONA DANYCH OSOBOWYCH i BEZPIECZEŃSTWO INFORMACJI
i ograniczenia
Obowiązkiem podmiotu przetwarzającego będzie pro-
wadzenie rejestru wszelkich kategorii czynności prze-
14) http://www.giodo.gov.pl/1520282/id_art/9742/j/pl/
16
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
do państw trzecich jak administrator, czy notyfikować ustala cele i sposoby przetwarzania danych osobowych,
administratora o incydentach. Prezes UODO będzie są oni współadministratorami. W drodze wspólnych
mógł egzekwować stosowanie RODO bezpośrednio uzgodnień w przejrzysty sposób określają odpowiednie
w stosunku do przetwarzającego. Wcześniej takie zobo- zakresy swojej odpowiedzialności dotyczącej wypełnia-
wiązania trzeba było formułować samodzielnie i nie za- nia obowiązków wynikających z niniejszego rozporzą-
wsze pamiętano o wszystkich kluczowych elementach, dzenia, w szczególności w odniesieniu do wykonywania
które powinny znaleźć się w prawidłowo skonstruowa- przez osobę, której dane dotyczą, przysługujących jej
nej umowie powierzenia. Teraz zaś art. 28 ust. 3 RODO praw oraz ich obowiązków w odniesieniu do podawania
określa szczegółowy zakres umowy powierzenia. informacji, o których mowa w art. 13 i 14, chyba że przy-
Rozporządzenie wyraźnie podkreśla, że jeżeli podmiot padające im obowiązki i ich zakres określa prawo Unii
przetwarzający naruszy niniejsze rozporządzenie przy lub prawo państwa członkowskiego, któremu admini-
określaniu celów i sposobów przetwarzania, uznaje się stratorzy ci podlegają. W uzgodnieniach można wskazać
go za administratora w odniesieniu do tego przetwarza- punkt kontaktowy dla osób, których dane dotyczą.
nia (ale to nie wyklucza stosowania przepisów art. 82, Grupa przedsiębiorstw oznacza przedsiębiorstwo sprawu-
83 i 84 – poświęconych sankcjom, karom, odszkodowa- jące kontrolę oraz przedsiębiorstwa przez nie kontrolowane.
niom i odpowiedzialności). Oznacza to przykładowo, że
jeśli pewien zakład ubezpieczeń dane powierzy agento- RODO wprowadza
wi oferującemu ubezpieczenia, a on zmieni pierwotny
cel przetwarzania i wykorzysta te dane osobowe, żeby
współadministratorów danych
zaoferować konsumentom zupełnie inne produkty
i usługi, niż te z oferty ubezpieczyciela, to agent auto- Wcześniej współadministratorzy nie występowali
matycznie stanie się dodatkowym administratorem w Polskich przepisach (mimo, że Dyrektywa na nich po-
tych danych. Taki stan obowiązywał już wcześniej, ale zwalała), a nawet jeśli w jakimś procesie dwa podmioty
nie jako bezpośredni zapis prawny, a efekt interpretacji wspólnie przetwarzały dane osobowe, to i tak z punktu
przepisów. To kolejny dowód na to, że Rozporządzenie widzenia przepisów traktowano ich jako dwóch odręb-
zostało napisane przystępnym językiem oraz w taki nych administratorów danych. Rozporządzenie wprowa-
sposób, aby wyjaśniać i regulować kwestie niejasne dza współadministratorów i pozwala im dzielić się pra-
i wymagające wcześniej interpretacji. wami i obowiązkami, pod warunkiem, że osoby, których
dane się przetwarza, będą poinformowane o tym, kto
W ramach przygotowań administratorzy i procesorzy i za co odpowiada. Stanowi o tym art. 26 ust. 2 Roz-
powinni zinwentaryzować wszystkie przypadki powie- porządzenia: zasadnicza treść uzgodnień jest udostęp-
rzenia przetwarzania danych, zapewnić że są w formie niana podmiotom, których dane dotyczą. Jest to za-
umowy na piśmie oraz ocenić w jakim stopniu regulują gadnienie, które należy uwzględnić podczas przeglądu
kwestie zdefiniowane przez Rozporządzenie. Jeśli oka- tzw. obowiązków informacyjnych, o których będzie dalej.
że się, że umowy nie zawierają wszystkich wymagany
elementów, powinny zostać zmienione (aneksowane). Grupy przedsiębiorstw pojawiają się także przy kwe-
Administratorzy powinni na bieżąco oceniać zgodność stiach dotyczących tzw. wiążących reguł korporacyj-
współpracujących podmiotów z obecnymi i przyszłymi nych, ułatwiających międzynarodowe transfery danych
przepisami. Podmioty przetwarzające dane osobowe
usługowo (np. biura księgowe, call center, telemarketing)
powinny szczególnie przyłożyć się do analizy Rozporzą-
dzenia, gdyż nakłada na nie sporo nowych obowiązków.
9 Współadministra-
torzy i grupy
przedsiębiorstw
W Rozporządzeniu pojawiają się definicje współadmini-
stratorów oraz grup przedsiębiorstw.
Jeżeli co najmniej dwóch administratorów wspólnie
17
ODO24.pl OCHRONA DANYCH OSOBOWYCH i BEZPIECZEŃSTWO INFORMACJI
10 Inspektor ochrony
danych zamiast
administratora przetwarzającego polega na przetwarzaniu na
bezpieczeństwa dużą skalę danych osobowych szczególnych kate-
gorii, o których mowa w art. 9 ust. 1, oraz danych
informacji o wyrokach skazujących za przestępstwa i o prze-
stępstwach, o których mowa w art. 9a.
Rozporządzenie zastępuje administratora bezpieczeń-
stwa informacji inspektorem ochrony danych w litera- Należy zwrócić uwagę na to, że także zleceniobiorcy
turze określanego najczęściej jako DPO (ang. data pro- (podmioty przetwarzające) będą musieli wyznaczać
tection officer), chociaż być może z czasem przyjmie się inspektora ochrony danych, w przypadku zaistnienia
polski skrót IOD (inspektor ochrony danych). Zmiana jednego z powyższych czynników.
polega nie tylko na nowym „tytule”, zmieniają się zna- Grupa robocza art. 29 w połowie grudnia 2016 r. opu-
cząco wymagania, jakie ma spełniać i sytuacje, w któ- blikowała „Wytyczne dotyczące inspektorów ochro-
rych należy go obowiązkowo powołać. ny danych (»IOD«)”15 Dokument ten rozwiewa wiele
wątpliwości związanych z tym kiedy dokładnie należy
IOD ma być wyznaczany powołać inspektora. Przykładowo trzeba go powołać,
gdy główna działalność (…) polega na przetwarzaniu na
na podstawie kwalifikacji dużą skalę szczególnych kategorii danych osobowych.
- wiedzy i doświadczenia W przypadku szpitala główną działalnością jest zapew-
nianie opieki medycznej, ale jej efektywne prowadze-
Inspektora ochrony danych należy wyznaczyć w przy- nie „nie byłoby możliwe bez przetwarzania danych me-
padku, gdy: dycznych jak np. historii choroby pacjenta. W związku
z tym działalność polegająca na przetwarzaniu historii
• przetwarzania dokonują organ lub podmiot pu-
choroby pacjenta również powinna zostać zaklasyfiko-
bliczny, z wyjątkiem sądów w ramach sprawowa-
wana jako działalność główna. Oznacza to, że szpitale
nia przez nie wymiaru sprawiedliwości, albo
będą miały obowiązek powołania IOD.
• główna działalność administratora lub podmiotu
przetwarzającego polega na operacjach przetwarza- Z Wytycznych dowiadujemy się także m.in. że:
nia, które ze względu na swój charakter, zakres lub • jeśli z przepisów nie wynika, że trzeba powołać IOD,
cele wymagają regularnego i systematycznego mo- to warto udokumentować tego rodzaju decyzję,
nitorowania podmiotów danych na dużą skalę, albo • można dobrowolnie powołać IOD, nawet jeśli ta-
• główna działalność administratora lub podmiotu kiego obowiązku nie ma,
18
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
• IOD powinien brać udział w spotkaniach przedsta- zasoby do interakcji z klientami tak aby móc odpisywać
wicieli wyższego i średniego szczebla organizacji, na ich pisma bądź udzielać telefonicznych wyjaśnień.
• zaleca się inspektorowi „ustalanie priorytetów Inspektora ochrony danych należy zaangażować, do-
w swojej pracy i koncentrowania się na aspektach konując oceny skutków przetwarzania danych, o której
pociągających za sobą większe ryzyko”. mowa w art. 35 ust. 1 Rozporządzenia (np. gdy prze-
Wytyczne podkreślają, że „administrator lub podmiot twarza się szczególne kategorie danych na dużą skalę),
przetwarzający zapewniają, by takie zadania i obowiąz- oczywiście, jeżeli został on wyznaczony.
ki nie powodowały konfliktu interesów.” Oznacza to, że Nowością jest konieczność powołania inspektora także
inspektor nie może zajmować w organizacji stanowiska przez procesora, czyli podmiot przetwarzający.
pociągającego za sobą określanie sposobów i celów Pojawiają się też jednak ułatwienia. Grupa przedsię-
przetwarzania danych. W Wytycznych zauważa się, biorstw będzie mogła powołać jednego inspektora
że „za powodujące konflikt interesów uważane będą ochrony danych pod warunkiem, że z każdej siedziby
stanowiska kierownicze (dyrektor generalny, dyrektor będzie można się z nim łatwo skontaktować. Inspektor
ds. operacyjnych, dyrektor ds. medycznych, kierow- może być pracownikiem lub wykonywać zadania na
nik działu marketingu, kierownik działu HR, kierownik podstawie umowy o świadczenie usług. Trzeba jednak
działu IT)”. Oznaczałoby to, że większość dyrektorów, podkreślić, że w każdym przypadku należy zapewnić
którzy mają coś wspólnego z przetwarzaniem danych - mu zasoby niezbędne do podtrzymania jego wiedzy
nie może być inspektorami ochrony danych. fachowej. To bez wątpienia dobra nowina dla inspek-
torów (w końcu ktoś podkreślił wyraźnie, że muszą się
W określonych przypadkach rozwijać zawodowo), a mniej dobra dla administrato-
także procesorzy muszą powołać rów – teraz będą musieli uwzględnić plany rozwoju in-
spektorów i znaleźć na nie środki finansowe.
inspektora ochrony danych
Wedle nowych przepisów, inspektor ma być zaangażo-
wany we wszystkie sprawy związane z ochroną danych
Administrator lub podmiot przetwarzający publikują
osobowych. Ma mieć odpowiednie zasoby do wykony-
dane kontaktowe inspektora ochrony danych i zawia-
wania pracy, której wyniki raportuje do najwyższego
damiają o nich organ nadzorczy, co w Polsce nie jest
kierownictwa. Może wykonywać inne obowiązki, o ile
nowością, bo już dzisiaj administratora bezpieczeń-
nie powodują konfliktu interesów.
stwa trzeba zgłaszać do rejestracji w GIODO. Informacje
o sposobie kontaktu z inspektorem trzeba będzie poda- Na pewno będzie łatwiej tym organizacjom, które
wać podczas zbierania danych osobowych. już wcześniej powołały ABI i zgłosiły go do rejestracji
w GIODO, gdyż obecny sposób uregulowania statusu
Rozporządzenie określa, że osoby, których dane się
i funkcji ABI w polskich przepisach w dużym stopniu od-
przetwarza, mogą kontaktować się z inspektorem
powiada rozwiązaniom przyjętym w Rozporządzeniu.
ochrony danych we wszystkich sprawach związanych
z przetwarzaniem ich danych oraz z korzystaniem z praw Dzisiaj powołanie ABI jest w pełni dobrowolne, dlate-
przysługujących im na mocy niniejszego rozporządzenia. go wprowadzenie konieczności powołania inspektora
ochrony danych to dodatkowy obowiązek dla przed-
Osoby będą mogły kontaktować siębiorstw i organizacji. Przede wszystkim potrzebna
będzie ocena zarówno przez administratora danych jak
się bezpośrednio z inspektorem i podmiot przetwarzający, czy musi on być powołany,
ochrony danych a jeśli tak – to należy zatrudnić osobę z odpowiednią
wiedzą i doświadczeniem, zgłosić ją do GIODO, za-
Trzeba pamiętać, że tam, gdzie inspektor będzie powo- pewnić zasoby i niezależność, poinformować klientów
łany, osoby, których dane się przetwarza, będą mogły o sposobie kontaktu z nią oraz angażować we wszystkie
się z nim bezpośrednio kontaktować. Rozporządzenie istotne kwestie dotyczące przetwarzania danych.
nie określa, jakie dane kontaktowe inspektora trzeba
będzie podać. Nie ma obowiązku podawania jego imie- Funkcję inspektora ochrony
nia i nazwiska, chociaż zaleca się, aby to były takie dane,
które pozwolą na nawiązanie kontaktu w łatwy sposób. danych można outsource’ować
Bardzo możliwe, że wystarczy bezpośredni adres mailo-
wy. Nie tylko jego dane będą musiały znaleźć się na for- Nic nie stoi na przeszkodzie, aby funkcję inspektora ochro-
mularzach zgody, będzie on musiał mieć odpowiednie ny danych pełnił podmiot zewnętrzny, Rozporządzenie
19
ODO24.pl OCHRONA DANYCH OSOBOWYCH i BEZPIECZEŃSTWO INFORMACJI
16) https://mc.gov.pl/aktualnosci/projekt-ustawy-o-ochronie-danych-osobowych
20
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
12 Dokumentacja
i rejestr
przetwarzania
Zamiast rejestrowania zbiorów w GIODO, administra-
tor danych osobowych będzie musiał prowadzić rejestr
czynności przetwarzania danych osobowych. Obowią-
zek ten będzie także spoczywać na podmiotach przetwa-
Pierwotnie ta koncepcja dotyczyła korzystania z usług rzających (procesorach) – co jest absolutną nowością.
świadczonych drogą elektroniczną, szczególnie porta- W preambule (motyw 98) podkreśla się: Dyrektywa
li społecznościowych takich jak Facebook. Miała ona 95/46/WE przewidywała ogólny obowiązek zawiada-
chronić użytkowników przed nieświadomym upublicz- miania organów nadzorczych o przetwarzaniu danych
nianiem swoich danych, bowiem często okazywało się, osobowych. Obowiązek ten powoduje jednak obciąże-
że nie byli oni świadomi zastosowanych domyślnie nia administracyjne i finansowe, i nie zawsze przyczy-
ustawień prywatności. Rozporządzenie ostatecznie niał się do poprawy ochrony danych osobowych. Dla-
rozszerzyło tę koncepcję i w myśl Rozporządzenia (art. tego należy znieść te powszechne, ogólne obowiązki
25 ust. 2) domyślnie mogą być przetwarzane wyłącznie zawiadamiania i zastąpić je skutecznymi procedurami i
te dane, które są niezbędne.17 mechanizmami, koncentrującymi się w zamian na tych
Domyślną ochronę danych osobowych można łatwo rodzajach operacji przetwarzania, które ze względu na
zobrazować przykładem z serwisów społecznościo- swój charakter, zakres, kontekst i cele mogą nieść duże
wych. Każdy nowy post, który tam umieszczamy, zagrożenie dla praw i wolności osób fizycznych.
powinien być z założenia niewidoczny. Dopiero sam Likwiduje się rejestrację zbiorów, a wprowadza rejestr
użytkownik powinien móc każdorazowo zmieniać usta- czynności przetwarzania
wienia prywatności, decydując się np. na widoczność
Rozporządzenie wskazuje, iż rejestr powinien być pro-
tylko dla znajomych, czy dla wszystkich osób.
wadzony w formie pisemnej, w tym w formie elektro-
Przygotowując się należy przeanalizować jak przebie- nicznej. Rejestr przetwarzania ma zawierać m.in. nastę-
gają obecne procesy tworzenia nowych produktów pujące kategorie informacji:
czy usług, w których przetwarza się dane osobowe.
Na pewno jednym z pomysłów może być zapewnienie, • informacje o administratorze i ew. współadmini-
że wymagania i realizację wymagań w zakresie pry- stratorach,
watności będzie nadzorował np. inspektor ochrony • dane inspektora ochrony danych,
danych (o ile go powołano). Bez wątpienia ostrożniej • opis celów przetwarzania,
trzeba będzie projektować nowe produkty czy usługi, • kategorie osób, których dane się przetwarza,
a w każdym przypadku szacować potencjalne ryzyko. • kategorie danych osobowych,
Niekiedy pewne rozwiązania mogą wymagać konsulta- • informacje o odbiorcach (także w państwach trzecich),
cji z UODO, co może okazać się czasochłonne. Bardzo • planowane terminy usuwania poszczególnych ka-
ważnym elementem jest technologia komputerowa – tegorii danych,
zwłaszcza architekci rozwiązań informatycznych oraz • opis środków bezpieczeństwa.
17) Oczywiście o niezbędności danych należy mówić w kontekście domyślnego przetwarzania, nie należy uznawać, że jest to likwidacja obowiązującej wcześniej
zasady adekwatności danych.
21
ODO24.pl OCHRONA DANYCH OSOBOWYCH i BEZPIECZEŃSTWO INFORMACJI
22
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
twarzania danych osobowych, tyle że ta ocena była dzie brał udział podmiot działający w jego imieniu.
przeprowadzana przez GIODO. Jeśli uznawał on, że ist- Jeszcze nie wiemy dokładnie jak dokonywać oceny
nieje zagrożenie dla praw i wolności osób, których dane skutków, warto jednak śledzić pojawiające się sukce-
dotyczą, odmawiał rejestracji zbioru. Rozporządzenie sywnie publikacje na stronach internetowych GIODO
zlikwiduje rejestrację zbiorów, a w jego miejsce nakła- czy Grupy Roboczej Art. 28.18
da obowiązek dokonania oceny wpływu przetwarzania
W stosunku do niektórych operacji od razu będzie wia-
i oszacowania związanego z tym ryzyka, z tym, że teraz
domo, że należy kierować pierwsze kroki do UODO, musi
ten obowiązek ciążyć będzie na administratorze danych.
ono jednak wcześniej ustalić wykaz operacji przetwarza-
Art. 35 ust. 1 Rozporządzenia określa, że jeżeli dany nia, które będą podlegały wymogowi oceny skutków dla
rodzaj przetwarzania danych – zwłaszcza z użyciem no- ochrony danych (na mocy art. 35 ust. 4 Rozporządzenia).
wych technologii – ze względu na swój charakter, zakres, Dzisiaj wiemy jedynie, że mogą to być w szczególności:
kontekst i cele z dużym prawdopodobieństwem może
powodować wysokie ryzyko naruszenia praw lub wolno- • profilowanie, będące podstawą decyzji wywołują-
ści osób fizycznych, administrator przed rozpoczęciem cej skutki prawne wobec osoby,
przetwarzania dokonuje oceny skutków planowanych • przetwarzanie na dużą skalę szczególnych katego-
operacji przetwarzania dla ochrony danych osobowych. rii danych,
• monitorowanie na dużą skalę miejsc publicznych.
Pokazuje to, że bardzo ważną i szczególnie akcentowa-
ną koncepcją w Rozporządzeniu jest podejście oparte Obowiązek przeprowadzenia takiej oceny powinien
na ryzyku – tylko po oszacowaniu ryzyka można dobrać mieć charakter okresowy, podobnie jak ocena ryzyka.
odpowiednie środki bezpieczeństwa. Jest to prawdzi- Organizacje i przedsiębiorcy powinni konsultować się
wa rewolucja nie tylko w przepisach, ale także dla or- z UODO, jeżeli ocena skutków dla ochrony danych wska-
ganizacji, bo rzadko która organizacja szacuje ryzyko, że, że przetwarzanie powodowałoby wysokie ryzyko,
a jeśli już, to niezmiernie rzadko uwzględnia w nim ryzy- gdyby administrator nie zastosował środków w celu zmi-
ko dla ochrony danych osobowych. nimalizowania tego ryzyka (…) (art. 36 ust. 1).
Podczas przetwarzania danych osobowych trzeba brać
pod uwagę istniejące i potencjalne ryzyka dla ochro- Rejestracja zbiorów danych
ny po to, aby zastosować odpowiednie do nich środki
bezpieczeństwa. Można to zobrazować przykładem osobowych zostanie
domu – jeśli znajduje się w nim wartościowe wyposa- zlikwidowana, ale pojawią
żenie – będzie zapewne wyposażony w drzwi i okna ze
się nowe obowiązki
zwiększoną odpornością na włamanie, będzie też mo-
nitorowany przez system kamer przemysłowych oraz np. udokumentowana ocena
służby ochrony, natomiast niewielkie i słabo wyposa- skutków przetwarzania
żone mieszkanie nie będzie wymagało takich zabez-
pieczeń. Takiego racjonalnego podejścia nieco brakuje Dokonanie oceny skutków wymagać będzie zaangażo-
w dotychczasowych przepisach i cieszy fakt, że pojawia wania inspektora ochrony danych, jeśli został powo-
się ono w Rozporządzeniu. łany. Jeśli nie, jest mało prawdopodobne, żeby przed-
siębiorca, który nie posiada specjalistycznej wiedzy
Jeśli ocena skutków eksperckiej, sam był wstanie dokonać odpowiedniej
przetwarzania potwierdzi analizy skutków przetwarzania danych – dzisiaj można
założyć, że do przygotowania się w tym obszarze nie-
wysokie ryzyko, trzeba będzie zbędne będzie profesjonalne wsparcie.
konsultować się z UODO Na ocenę skutków przetwarzania, powinny się składać m.in.:
Podmiotem zobowiązanym do dokonania oceny ryzyka • opis planowanych operacji przetwarzania i ich
przed rozpoczęciem przetwarzania jest administrator celów (udokumentowanie jakie dane osobowe
danych, niezależnie od tego, czy zamierza przetwarzać przetwarza się i w jakich celach),
dane osobowe samodzielnie, czy w przetwarzaniu bę- • ocena proporcjonalności operacji przetwarzania
18) W chwili przygotowania tego Poradnika jednym z nielicznym materiałów była publikacja brytyjskiego organu dostępna pod adresem https://ico.org.uk/for-or-
ganisations/guide-to-data-protection/privacy-by-design/
23
ODO24.pl OCHRONA DANYCH OSOBOWYCH i BEZPIECZEŃSTWO INFORMACJI
14 Zgłaszanie
naruszenia
ochrony danych
do Prezesa Urzędu
W sytuacji, w której naruszenie ochrony danych osobo-
wych prawdopodobnie będzie skutkować ryzykiem na-
ruszenia praw lub wolności osób fizycznych, zgłasza się
je do Prezesa Urzędu Ochrony Danych Osobowych bez
zbędnej zwłoki – ale nie później niż w ciągu 72 godzin.
Motyw 75 Rozporządzenia opisuje stosunkowo wyczer-
pująco i dość dokładnie w jakich przypadkach takie ry-
zyko może występować.
W Rozporządzeniu przez naruszenie ochrony danych
osobowych należy rozumieć naruszenie bezpieczeństwa
w stosunku do celów (samoocenę, czy dane oso- prowadzące do przypadkowego lub niezgodnego z pra-
bowe są niezbędne a sposób ich przetwarzania wem zniszczenia, utracenia, zmodyfikowania, nieupraw-
jest odpowiedni do celu przetwarzania), nionego ujawnienia lub nieuprawnionego dostępu do
• ocena zagrożenia dla praw i wolności osób, danych osobowych przesyłanych, przechowywanych lub
• ocena środków mających zmniejszyć zagrożenia w inny sposób przetwarzanych.
i chronić dane osobowe. Takim zdarzeniom poświęcony jest art. 33 Rozporządzenia.
Co więcej, w stosownym przypadku administrator zasięga
opinii osób, których dane dotyczą lub ich przedstawicieli Naruszenie ochrony danych
w sprawie zamierzonego przetwarzania. Zaś jeśli ocena należy zgłosić w ciągu 72 godzin
skutków wskaże, że przetwarzanie niosłoby duże zagro-
żenie, gdyby administrator nie przedsięwziął środków
do UODO. W szczególnych
w celu zminimalizowania tego zagrożenia, to przed prze- przypadkach trzeba będzie
tworzeniem danych osobowych administrator konsul- też informować klientów
tuje się z organem nadzorczym. Oznacza to, że zawsze
w razie wątpliwości warto skonsultować się z UODO. W ust. 5 omawianego przepisu ustanowiono obowią-
Bez wątpienia niezbędne będzie przygotowanie się zek prowadzenia przez administratora danych doku-
przedsiębiorców do tego, w jaki sposób dokonywać mentacji wszelkich naruszeń ochrony danych osobo-
oceny skutków. Z czasem będą pojawiać się kolejne wych. Oznacza to, że nawet jeśli administrator danych
Wytyczne, które uregulują ten obszar, nic nie stoi jed- osobowych nie ma obowiązku poinformowania UODO
nak na przeszkodzie, aby przygotować dokumentację, o konkretnym negatywnym zdarzeniu, musi i tak je od-
która będzie pomocna przy wdrażaniu Rozporządzenia, notować we własnym rejestrze.
na którą składać będzie się: W sytuacji, w której naruszenie niesie ze sobą wysokie
• opis jakie dane osobowe są przetwarzane w organizacji, „ryzyko naruszenia praw lub wolności osób fizycznych”,
• opis jaki jest cel przetwarzania tych danych i jakie administrator powinien również bez zbędnej zwłoki
są przesłanki legalności, zawiadomić osobę, której dane dotyczą o takim naru-
• uzasadnienie zakresu zbieranych danych w uwzględ- szeniu – jasnym i prostym językiem (art. 34 ust. 1 i 2
nieniem ich adekwatności i niezbędności, Rozporządzenia).
• ustalenie w jakich miejscach te dane się znajdują Raportowanie incydentów związanych z naruszenia-
(w tym systemy informatyczne), mi danych osobowych nie jest wcale nowe. Przepisy
• oszacowanie wpływu na osoby w przypadku np. polskiego prawa nakazują zgłaszanie takich naruszeń
wycieku czy utraty tych danych, operatorom telekomunikacyjnym. Według prawa tele-
• określenie i ocenę stosowanych zabezpieczeń komunikacyjnego (Dz. U. Nr 171, poz. 1800 z późn. zm.),
tych danych. w przypadku stwierdzenia naruszenia bezpieczeństwa
24
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
15 Pseudonimizacja
danych
Rozporządzenie wprowadza pojęcie pseudonimizacji
danych, które oznacza przetworzenie danych osobo-
wych w taki sposób, by nie można ich było już przypisać
konkretnej osobie, której dane dotyczą, bez użycia do-
datkowych informacji, pod warunkiem że takie dodat-
kowe informacje są przechowywane osobno i są objęte
danych osobowych przedsiębiorca telekomunikacyjny środkami technicznymi i organizacyjnymi uniemożliwia-
ma obowiązek powiadomić o tym zdarzeniu GIODO, jącymi ich przypisanie zidentyfikowanej lub możliwej do
a także (w niektórych sytuacjach) abonenta lub użyt- zidentyfikowania osobie fizycznej.
kownika końcowego.
W preambule (motyw 26) wskazano, iż spseudonimizowa-
W preambule Rozporządzenia (motyw 87) czytamy, że ne dane osobowe, które przy użyciu dodatkowych informa-
należy się upewnić, czy wdrożono wszelkie odpowiednie cji można przypisać osobie fizycznej, należy uznać za infor-
techniczne środki ochrony i wszelkie odpowiednie środki macje o możliwej do zidentyfikowania osobie fizycznej.
organizacyjne, by od razu stwierdzić naruszenie ochro-
ny danych osobowych. Nie bardzo wiadomo, co należy
Pseudonimizacja danych
przez tę deklarację rozumieć. Być może takie przepisy
będą uzupełniane przez dokładną interpretację GIODO. będzie jednym z mechanizmów
Możliwe też, że konieczne stanie się wdrażanie rozwią- ochrony danych
zań, pozwalających dokładnie monitorować stan bez-
pieczeństwa, takich jak systemy klasy SIEM. Dodatkowo, ustawodawca wskazał w treści Rozporzą-
Trzeba pamiętać, że informowanie o naruszeniu bezpie- dzenia pseudonimizację jako przykład jednego z me-
czeństwa, szczególnie wszystkich klientów, może być bar- chanizmów, mających za zadanie zapewnić taki stopień
dzo kosztowne, zarówno operacyjnie, jak i wizerunkowo. bezpieczeństwa danych, który odpowiada ryzyku ich
Dlatego też warto dołożyć wszelkich starań, aby zmini- naruszenia (art. 32 ust. 1 lit. a).
malizować ryzyko wycieków danych. Z tym zaś wiąże się Przykład danych pseudonimizowanych to np. stoso-
konieczność wdrożenia rozmaitych zabezpieczeń tech- wanie wewnętrznego numeru zamiast jego danych
nicznych i organizacyjnych. Można śmiało powiedzieć, osobowych. Nawet jeśli doszłoby do wycieku takich
iż w świetle nowych przepisów organizacje będą musiały informacji jak np. ID 129871 = wynagrodzenie 3400zł,
uwzględnić większy budżet na wdrożenie mechanizmów osoba nieupoważniona niewiele by się z nich dowie-
zabezpieczenia danych osobowych niż dotychczas. działa. Cóż bowiem znaczyłaby dla niej informacja, że
Sposób, w jaki organ nadzorczy dowiedział się o na- ktoś o numerze identyfikacyjnym 129871 zarabia 3400
ruszeniu, w szczególności, czy i w jakim stopniu ad- zł? Okazuje się więc, że zastosowanie danych pseudoni-
ministrator danych lub podmiot przetwarzający zgło- mizowanych zmniejsza możliwość naruszenia bezpie-
sili naruszenie, będzie brany pod uwagę przez organ czeństwa informacji. Pseudoanonimizacja danych od
nadzorczy przy ustalaniu wysokości ewentualnej kary pewnego czasu stosowana jest w szkołach, gdzie oceny
finansowej. A jeśli zostanie wykazane, iż do naruszenia publikuje się wraz z identyfikatorem ucznia zamiast
doszło z zaniedbania administratora czy podmiotu prze- jego imienia i nazwiska.
twarzającego, można liczyć się z ryzykiem nałożenia ad- Warto zwrócić uwagę, że Rozporządzenie zauważa też
ministracyjnych kar finansowych (art. 83 Rozporządze- dane anonimowe już w samej preambule (motyw 26). Czy-
25
ODO24.pl OCHRONA DANYCH OSOBOWYCH i BEZPIECZEŃSTWO INFORMACJI
16 Retencja i usuwanie
danych
Rozporządzenie bardzo mocno podkreśla wagę retencji
danych. Przykładowo podczas zbierania danych należy Jedną z nowych zasad przetwarzania danych osobo-
podać okres, przez który dane osobowe będą przecho- wych wskazanych w Rozporządzeniu jest prawo do
wywane, a gdy nie jest to możliwe, kryteria ustalania usunięcia danych (nazywane „prawem do zapomnie-
tego okresu. Do tej pory konieczność podawania takich nia”) które określa kiedy dane osobowe należy usuwać.
informacji nie pojawiała się w przepisach. Art. 17 Rozporządzenia podkreśla, że osoba, której
dane dotyczą, ma prawo żądania od administratora
Dalej przepisy stanowią, że podmiot przetwarzający
niezwłocznego usunięcia dotyczących jej danych oso-
dane po zakończeniu świadczenia usług przetwarzania
bowych, a administrator ma obowiązek bez zbędnej
danych, zależnie od decyzji administratora, usuwa lub
zwłoki usunąć dane osobowe. Dane osobowe należy
zwraca mu wszelkie dane osobowe oraz usuwa wszelkie
usunąć wtedy, kiedy m.in:
ich istniejące kopie, chyba że prawo Unii lub prawo pań-
stwa członkowskiego nakazują mu je przechowywać. • cel przetwarzania się skończył,
• zgoda została wycofana,
Podczas zbierania danych trzeba • dane są zebrane wbrew prawu.
poinformować osobę Trzeba pamiętać, że czas przez który dane będą prze-
o tym, jak długo jej dane będą chowywane zazwyczaj jest dłuższy niż cel ich prze-
twarzania. Przykładowo umowa OC na samochód
przechowywane zawierana jest na rok (cel przetwarzania), ale zakład
ubezpieczeń musi dane przechowywać prawie 6 lat ze
Jeśli mamy zacząć zbierać dane osobowe, wcześniej nale- względu na przepisy podatkowe oraz 20 lat ze wzglę-
ży ustalić jak długo dane będą przechowywane, a gdy nie du na potencjalne roszczenia (okres przechowywania
jest to możliwe, przynajmniej określić kryteria ustalania danych) – wówczas administrator danych będzie dane
tego okresu. Mimo, iż może się to wydawać utrudnieniem, przechowywał na mocy art. 17 ust. 3 pkt b) – przepisy
tak naprawdę stanowi ułatwienie. Do tej pory organiza- podatkowe oraz pkt e) – dochodzenie roszczeń.
cje często zapominały o konieczności usuwania danych,
dowiadując się o takim obowiązku (wynikającym z art.
26. ust.1 pkt 4 ustawy o ochronie danych osobowych) 17 Większe zaufanie
do podmiotów
dopiero podczas kontroli GIODO i próbując w pośpiechu
wdrożyć jakieś mechanizmy ich usuwania. Teraz, w świe-
tle nowych przepisów, nie da się o tym zapomnieć.
Natomiast mniej korzystne jest to, że należy informo-
certyfikowanych
wać osoby o tym, kiedy ich dane będą usunięte, a jeśli
Rozporządzenie wprowadza kodeksy postępowania
nie jest to możliwe, trzeba podać, jakie są warunki obli-
i certyfikaty, które będą podnosić wiarygodność pod-
czania terminu usunięcia danych.
miotów przetwarzających dane osobowe, a właściwie
26
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
19) http://www.giodo.gov.pl/1520255/id_art/9299/j/pl
27
ODO24.pl OCHRONA DANYCH OSOBOWYCH i BEZPIECZEŃSTWO INFORMACJI
bowych do państwa trzeciego będzie mogło nastąpić Zmiany w tym obszarze są w zasadzie kosmetyczne.
na podstawie m.in: To przede wszystkim harmonizacja prawa, na którą
już wcześniej zostaliśmy przygotowani przez noweli-
• wydanej przez Komisję Europejską decyzji stwier-
zację polskiej ustawy o ochronie danych osobowych.
dzającej, iż dane państwo trzecie zapewnia odpo-
Rozporządzenie wprowadza kodeksy postępowania
wiedni stopień ochrony danych osobowych,
i certyfikacji, uznawane jako odpowiednie gwarancje.
• zatwierdzonych przez właściwy organ nadzorczy
Małą, choć uciążliwą zmianą, będzie ograniczone prze-
wiążących reguł korporacyjnych,
kazywanie danych do państw trzecich na podstawie
• standardowych klauzul ochrony danych przyję-
zgody. Według nowych przepisów, aby osoba, której
tych przez Komisję Europejską,
dane dotyczą (czyli osoba fizyczna, najczęściej konsu-
• standardowych klauzul ochrony danych przy-
ment) mogła wyrazić zgodę na przekazanie danych,
jętych przez organ nadzorczy i zatwierdzonych
musi wcześniej zostać poinformowana o ewentualnych
przez Komisję Europejską,
zagrożeniach, wynikających z przetwarzania danych
• zatwierdzonego kodeksu postępowania,
osobowych na terenie takiego państwa. Warto treść
• zatwierdzonego mechanizmu certyfikacji.
tego rodzaju zgód dopasować do tego wymagania już
dzisiaj. Im wcześniej, tym lepiej!
Wymiana danych Zgodnie z dyrektywą 95/46/WE, Komisja Europejska
w międzynarodowych może stwierdzić, że państwo trzecie zapewnia odpo-
organizacjach będzie wiedni stopień ochrony danych osobowych na pod-
stawie swojego prawa krajowego lub zobowiązań
znacznie ułatwiona międzynarodowych. W dniu 12 lipca 2016 r. Komisja
Europejska dała zielone światło dla nowych zasad
Wymiana danych na podstawie wiążących reguł kor- przekazywania danych osobowych z UE do USA. Nowy
poracyjnych albo z użyciem standardowych klauzul pakiet tzw. Privacy Shield (Tarcza Prywatności) zastą-
umownych będzie więc znacznie ułatwiona. pił dawniejszy Safe Harbour. Zatem jeśli amerykański
Wiążące reguły korporacyjne to polityki ochrony danych podmiot bierze udział w tym programie, to nie ma prze-
osobowych stosowane przez administratora lub podmiot szkód aby do niego przekazywać dane osobowe, należy
przetwarzający, którzy posiadają jednostkę organizacyjną jednak pamiętać, że program ten co roku jest weryfi-
na terytorium państwa członkowskiego Unii, przy jedno- kowany i może się okazać, że (nagle!) przestanie sta-
razowym lub wielokrotnym przekazaniu lub przekazywa- nowić podstawę do przekazywania danych. Tam gdzie
niu danych osobowych administratorowi lub podmiotowi to możliwe, lepiej stosować tzw. zatwierdzone klauzule
przetwarzającemu w co najmniej jednym państwie trzecim umowne. Teraz warto dokonać inwentaryzacji wszyst-
w ramach grupy przedsiębiorstw lub grupy przedsiębior- kich przypadków przekazywania danych do państw
ców prowadzących wspólną działalność gospodarczą. trzecich oraz podstaw prawnych ich przekazywania.
Wciąż aktualne pozostaje przekazywanie danych na
podstawie decyzji stwierdzającej odpowiedni poziom
ich ochrony.
Możliwe będzie przekazywanie danych osobowych do
podmiotu, który stosuje kodeks postępowania bądź
posiada odpowiedni certyfikat. Ma to się dziać na pod-
stawie zatwierdzonego kodeksu postępowania opartego
na art. 40 wraz z wiążącymi i egzekwowalnymi zobowią-
zaniami administratora lub podmiotu przetwarzającego
w państwie trzecim do stosowania odpowiednich gwa-
rancji, w tym w odniesieniu do praw osób, których dane
dotyczą; lub zatwierdzonego mechanizmu certyfikacji
opartego na art. 42 wraz z wiążącymi i egzekwowalnymi
zobowiązaniami administratora lub podmiotu przetwa-
rzającego w państwie trzecim do stosowania odpowied-
nich zabezpieczeń, w tym w odniesieniu do praw osób,
których dane dotyczą.
28
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
Dane biometryczne
staną się danymi
szczególnie chronionymi
Zupełną nowością jest włączenie do kategorii danych
wrażliwych danych biometrycznych. Wcześniej były
one uznane za dane zwykłe, a wszelkie ograniczenia
w ich przetwarzaniu miały charakter indywidualnych
decyzji GIODO. Biometrię potocznie kojarzy się z od-
ciskami palców bądź ze skanowaniem siatkówki lub
tęczówki oka. Ta szeroka dziedzina nauki zajmuje się
pomiarami istot żywych w celu określenia ich indywi-
dualnych cech. Bada wszystko, co pozwala na identy-
fikowanie indywidualnych cech, wśród których znaleźć
19 Szerszy katalog można m.in.:
29
ODO24.pl OCHRONA DANYCH OSOBOWYCH i BEZPIECZEŃSTWO INFORMACJI
30
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
• wyraziła na to zgodę,
• jest to podyktowane ważnym interesem publicznym.
21 Ograniczenie
O profilowaniu trzeba
profilowania informować na etapie
Przez „profilowanie” należy rozumieć dowolną formę zbierania danych
zautomatyzowanego przetwarzania danych osobowych,
które polega na wykorzystaniu tych danych do oceny nie- W Polsce pojęcie automatycznego przetwarzania da-
których czynników osobowych osoby fizycznej, w szcze- nych obecne jest już od dawna w obowiązującej usta-
gólności do analizy lub prognozy aspektów dotyczących wie o ochronie danych osobowych. Europejskie Rozpo-
efektów pracy tej osoby fizycznej, jej sytuacji ekonomicz- rządzenie jedynie uszczegółowiło cały proces i warunki,
nej, zdrowia, osobistych preferencji, zainteresowań, wia- w jakich może do niego dochodzić. Jeżeli profilowanie
rygodności, zachowania, lokalizacji lub przemieszczania odbywa się w celu marketingu bezpośredniego (który
się. Upraszczając jest to zautomatyzowany proces pro- do tej pory stanowił w polskim prawie tzw. usprawiedli-
wadzący do wnioskowania o posiadaniu przez człowie- wiony prawnie cel przetwarzania, zaś Rozporządzenie
ka określonych cech. Przykładem może być aplikacja określa go jako tzw. cel wynikający z uzasadnionych in-
bankowa, która na podstawie pozyskanych informacji teresów administratora danych20), można zgłosić sprze-
automatycznie ocenia, że dana osoba nie powinna do- ciw w związku z takim przetwarzaniem. Niekorzystny
stać kredytu, ze względu na jej niskie wynagrodzenie wpływ tej zmiany na funkcjonowanie przedsiębiorstw
i liczną rodzinę. Bardzo istotne jest tutaj zautomaty- łagodzi możliwość korzystania z profilowania, o ile jest
zowanie procesu, jeśli wyłącznie maszynowo (kom- to niezbędne do zawarcia umowy – tak będzie zapewne
puterowo) dokonuje się oceny i podejmuje decyzje, w przypadku np. ubezpieczeń.
bez istotnego udziału człowieka, to co do zasady jest O profilowaniu należy informować na etapie zbiera-
to zabronione, ale jeśli profilowanie wykonuje człowiek nia danych osobowych, a także na wniosek osoby fi-
(a nie komputer), to nie stawia się tutaj ograniczeń. zycznej, której dane dotyczą. Spowoduje to z pewno-
Dalej dowiadujemy się z art. 22 Rozporządzenia, ścią konieczność modyfikacji istniejących formularzy
że osoba, której dane dotyczą, ma prawo do tego, by i pism dotyczących zbierania oraz przetwarzania da-
nie podlegać decyzji, która opiera się wyłącznie na zau- nych osobowych, zatem aby przygotować się do wdro-
tomatyzowanym przetwarzaniu, w tym profilowaniu, żenia zasad opisanych w rozporządzeniu należy przede
20) Ta zmiana bardzo cieszy autora tego poradnika, bo określanie marketingu bezpośredniego mianem czegoś prawnie usprawiedliwionego (a więc wynikającego
z prawa) było nienaturalne.
31
ODO24.pl OCHRONA DANYCH OSOBOWYCH i BEZPIECZEŃSTWO INFORMACJI
wszystkim ocenić, w jakich procesach „szufladkuje” nej, potwierdzającej czynności, która wyraża odnoszą-
się (profiluje) klientów oraz gdzie na takiej podstawie ce się do określonej sytuacji dobrowolne, świadome
podejmowane są automatyczne decyzje. Wszędzie tam i jednoznaczne przyzwolenie osoby, których dane
trzeba będzie informować już na etapie pozyskiwania dotyczą na przetwarzanie dotyczących jej danych
danych o podejmowaniu zautomatyzowanych decyzji osobowych i która ma na przykład formę pisemnego
opartych o profilowanie. (w tym elektronicznego) lub ustnego oświadczenia.
Może to polegać na zaznaczeniu okienka wyboru pod-
czas przeglądania strony internetowej, na wyborze
32
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
33
ODO24.pl OCHRONA DANYCH OSOBOWYCH i BEZPIECZEŃSTWO INFORMACJI
23 Prawo
do przenoszenia
danych
Art. 20 Rozporządzenia wskazuje, że osoba, której dane
dotyczą, ma prawo otrzymać w ustrukturyzowanym, po-
wszechnie używanym formacie nadającym się do odczy-
tu maszynowego dane osobowe jej dotyczące, które do-
starczyła administratorowi, oraz ma prawo przesłać te
dane innemu administratorowi bez przeszkód ze strony
administratora, któremu dane te dostarczono. cyjnych systemów, a nie kompatybilnych systemów”,
Będzie to możliwe wtedy, kiedy: w Wytycznych czytamy, że chodzi o możliwość łatwego
przenoszenia, kopiowania lub przesyłania danych oso-
• przetwarzanie jest automatyczne, bowych z jednego środowiska IT do innego.22
• dane przetwarza się na podstawie zgody lub
Wszyscy przedsiębiorcy będą musieli zapewne odpo-
w celu zawarcia bądź realizacji umowy (dane zwy-
wiednio zmodyfikować systemy, aby te były w stanie
kłe), bądź na podstawie zgody (dane wrażliwe).
wygenerować dane do przeniesienia, a wszystko to bez
Ogólną zasadą jest to, że można przenosić takie dane, żadnej opłaty!
które przetwarzane są w pełni automatycznie i wyłącz-
Artykuł 12 ust. 3 podkreśla, że dane należy przekazać,
nie na podstawie zgody osoby, której dotyczą. Jed-
„bez zbędnej zwłoki” lub „w terminie miesiąca od
nak nie jest do końca jasne, co należy rozumieć przez
otrzymania żądania” lub w ciągu maksymalnie trzech
„w pełni automatyczne przetwarzanie”? Czy są to np.
miesięcy w przypadku naprawdę skomplikowanych
dane przetwarzane przez serwis aukcyjny Allegro?
spraw, pod warunkiem, że poinformuje się osobę
A może inne? Z odpowiedzią na takie pytania przycho-
o przyczynach takiego odległego terminu.
dzi opracowanie Grupy Roboczej Art. 29 zatytułowane
„Wytyczne dotyczące prawa do przenoszenia danych”.21 Wydawałoby się, że adresatem takich wymagań są
głównie serwisy społecznościowe, przykładowo dzisiaj
Facebook pozwala wykonać i ściągnąć kopię swoich
Celem przenoszenia danych
danych, okazuje się jednak, że to wymaganie dotyczy
jest ułatwienie zamiany bardzo wiele podmiotów, np. banki czy zakłady ubez-
jednego dostawcy usług pieczeń. W Wytycznych czytamy, że administratorzy
danych powinni zacząć opracowywać środki, które
na innego przyczynią się do udzielania odpowiedzi na wnioski
o przeniesienie danych, takie jak narzędzia do pobie-
Rzeczywiście głównym celem przenoszenia danych
rania i interfejsy programowania aplikacji (Application
jest ułatwienie zamiany jednego dostawcy usług na
Programming Interfaces - API). Powinni oni zagwaran-
innego, w ten sposób zwiększając konkurencję wśród
tować, że dane osobowe będą przekazywane w ustruk-
dostawców usług (ułatwiając osobom zmianę dostaw-
turyzowanym, powszechnie używanym formacie nada-
ców usług). Umożliwia ono tworzenie nowych usług
jącym się do odczytu maszynowego, oraz powinni być
w kontekście strategii jednolitego rynku cyfrowego.
zachęcani do zapewnienia interoperacyjności formatu
Przenoszenie ma też na celu tworzenie „interopera-
21) http://www.giodo.gov.pl/1520282/id_art/9741/j/pl/
22) Wytyczne dotyczące prawa do przenoszenia… str. 14.
34
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
danych przekazywanych w ramach realizacji wniosku ich replikację. Widać więc wyraźne wzmocnienie prawa
o przeniesienie danych. do usunięcia danych upublicznionych.
Modyfikacja systemów informatycznych to niekiedy Art. 18 Rozporządzenia podkreśla, że przetwarzanie
proces długotrwały i pracochłonny. W wielu organiza- danych osobowych można ograniczyć wyłącznie do
cjach będzie to po prostu całkowita wymiana systemu. przechowywania, jeśli osoba kwestionuje prawdziwość
W wielu innych – kosztowne zmiany. danych lub gdy cel przetwarzania wygasł, ale dane na-
Trzeba też pamiętać, że o prawie do przenoszenia da- leży dalej przechowywać, na wypadek potencjalnych
nych trzeba informować podczas zbierania danych (art. roszczeń.
13 i 14 ust. 2 pkt c). O prawie do usunięcia danych (prawie do zapomnie-
nia) głośno dyskutowano przez ostatnie lata. Prawo do
usunięcia danych jest obecne w obowiązującej jeszcze
24 Rozszerzone prawo
polskiej ustawie o ochronie danych osobowych, jednak
w wersji znacznie uproszczonej (art. 35 ustawy o ochro-
35
ODO24.pl OCHRONA DANYCH OSOBOWYCH i BEZPIECZEŃSTWO INFORMACJI
Zakończenie
Rozporządzenie stanowi bez wątpienia poważne wyzwanie dla wszystkich instytucji przetwarzających dane osobo-
we. Mamy już coraz mniej czasu do 25 maja 2018 r., kiedy to przepisy zaczną już obowiązywać oraz kiedy to trzeba
będzie być w pełni z nimi zgodnym. To oznacza, że do tego terminu organizacje muszą być doskonale przygotowane
do rewolucji narzuconych regulacjami Rozporządzenia, a w odpowiedniej chwili zacząć je stosować.
Poradnik ten powstał aby pomóc w przygotowaniach. Gdzie tylko było to możliwe, proponowaliśmy rozwiązania lub
sposób podejścia do przygotowań. Mamy nadzieję, że poradnik pomoże Państwu w dostosowaniu się do wymagań
stawianych przez Rozporządzenie!
36
Reforma ochrony danych osobowych w UE - 24 kluczowe zmiany
Notatki
37
POLECAMY
„Unijna reforma ochrony danych
osobowych – analiza zmian”
Książka opisuje najważniejsze zmiany jakie zajdą w przepisach ochrony danych osobowych po 25 maja 2018 r.
Przedsiębiorcy do tego czasu muszą dostosować procesy przetwarzania danych osobowych poprzez sukcesywne
wdrażanie wytycznych zawartych w ogólnym rozporządzeniu o ochronie danych. Książka ma ułatwić organiza-
cjom zrozumienie głównych motywów i założeń nowych przepisów w celu ich jak najefektywniejszej implemen-
tacji w funkcjonujący u nich model przetwarzania danych. Publikacja skierowana jest do wszystkich przedsię-
biorców, osób piastujących funkcję administratorów bezpieczeństwa informacji oraz osób odpowiedzialnych
za ochronę danych w organizacji.
Książka zawiera:
- analizę zmian jakie zajdą w przepisach o ochronie
danych,
- omówienie nowych obowiązków nałożonych
na administratorów danych,
- wzory dokumentów,
- wzory nowych klauzul zgód na przetwarzanie danych;
- analizę zmiany statusu administratora bezpieczeństwa
informacji na inspektora ochrony danych,
- omówienie nowych uprawnień GIODO, w tym wytycznych
dotyczących nakładania kar na administratorów danych
i podmioty przetwarzające;
- wyjaśnienie nowych zagadnień takich jak profilowanie
czy prawo do bycia zapomnianym,
- omówienie nowych obowiązków nałożonych na podmiot
przetwarzający (procesora),
- omówienie procedury postępowania w razie wystąpienia
incydentu w zakresie ochrony danych osobowych.
Autorzy
Specjaliści ds. ochrony danych w ODO 24 sp. z o.o.,
adwokaci, członkowie Okręgowej Rady Adwokackiej
w Warszawie, absolwenci Wydziału Prawa i Administra-
cji Uniwersytetu Warszawskiego. Zajmują się szeroko
pojętym zagadnieniem bezpieczeństwa informacji.
Doradzają w zakresie stosowania przepisów o ochro-
nie danych osobowych oraz prowadzą w tym obszarze
szkolenia. Współpracują m.in. z dużymi grupami ka-
pitałowymi gdzie przeprowadzają audyty w zakresie
bezpieczeństwa informacji, tworzą wewnętrzne pro-
cedury, dokumentację oraz opinie prawne. Posiadają
wieloletnie doświadczenia w prowadzeniu spraw roz-
strzyganych przed sądami powszechnymi. Adw. Anna Dmochowska Adw. Marcin Zadrożny