RODO: Definicja, Wdrożenie, Konsekwencje

RODO – ten akronim słyszało wielu przedsiębiorców. Nie każdy jednak wie co się za nim kryje i jakie konsekwencje organizacyjne, finansowe i prawne wiążą się z przyjęciem nowego prawa. O tym kiedy wchodzi ono w życie i co firmy muszą zrobić aby się do niego dostosować, rozmawiamy z Panią Beatą Marek – doświadczoną prawniczką z firmy Cyberlaw.pl, konsultantką wielu firm i projektów technologicznych, ekspertką pracującą nad projektami dla kilku ministerstw polskiego rządu.

Co to jest RODO/GDPR i jakie są powody wdrożenia tych przepisów?

Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO) / General Data Protection Regulation (GDPR) to przepisy przyjęte przez Parlament Europejski i Radę Unii Europejskiej w 2016 roku. Celem nowej regulacji jest wprowadzenie takich przepisów, które byłyby aktualne niezależnie od postępów rozwoju technologii. Rozporządzenie będzie obowiązywać wprost i zastąpi dyrektywę z 1995 roku.

Co rozumiemy przez pojęcie “dane osobowe”?

Dane osobowe to wszelkie informacje, które możemy „wyciągnąć z danych”, a które mogą posłużyć nam do zidentyfikowania osoby fizycznej. Przykładowo będzie to: imię, nazwisko, adres e-mail, numer telefonu, wiek, płeć. Więcej na ten temat można przeczytać na stronie internetowej GIODO, a także na stronie Wikipedii.

Warto podkreślić, że samo RODO nie zmienia definicji pojęcia “dane osobowe”. Przepisy wskazują nam natomiast tak zwane “identyfikatory”, które umożliwiają – w sposób pośredni bądź bezpośredni – identyfikację danej osoby fizycznej. Przez sposób bezpośredni rozumiemy dane jasno określające osobę. Sposób pośredni to połączenie informacji, które same w sobie niewiele znaczą, natomiast ujęte całościowo pozwalają na identyfikację. Identyfikatorami takimi mogą być np. dane o lokalizacji lub geolokalizacji czy identyfikatory internetowe.

Co bardzo istotne, RODO za “dane osobowe” uznaje także adres IP komputera lub innego urządzenia elektronicznego danej osoby fizycznej, ale tylko wtedy, gdy adres ten można połączyć z innymi danymi umożliwiającymi identyfikację. Przykładowo jeśli przy zapisie na newsletter zbierany jest adres e-mail, imię, nazwisko oraz adres IP.

Kiedy RODO wchodzi w życie?

Przepisy zaczną być stosowane od 25 maja 2018 roku.

Według globalnego, obejmującego również Polskę badania firmy Dell z 2016 roku opublikowanego w whitepaper firmy (“GDPR has ramifications for any company that does business with citizens”) ponad 80% przedsiębiorców nic nie wie na temat rozporządzenia lub ma o nim szczątkowe pojęcie. Jakie konsekwencje organizacyjne i prawne dla przedsiębiorców niesie ze sobą wejście w życie RODO?

RODO wprowadza pojęcie oparte na analizie ryzyka (ang. Data Protection Impact Assessment, DPIA). Oznacza to, że wszystkie procesy przetwarzania danych (oparte na swoich własnych zasobach lub na zasobach zewnętrznych) jakie będziemy chcieli w organizacji podjąć, musimy oprzeć na owej analizie. W niektórych przypadkach trzeba będzie dokonać oceny skutków ochrony danych. Na przykład przy wprowadzaniu na rynek nowej aplikacji lub funkcjonalności będzie trzeba dokonać analizy Pbd – ang. “privacy by design” i “privacy by default”. To m.in. obowiązki informacyjne (np. informowanie o czasie przetwarzania lub kryteriach, prawie wniesienia skargi do organu nadzorczego, profilowaniu itd.). Określone są także zasady pozyskiwania zgody, w tym na profilowanie (pliki cookies). Zgoda musi być zrozumiała, dobrowolna, świadoma, konkretna i jednoznaczna.

RODO oznacza także zmianę funkcjonowania zespołu na poziomie różnych działów. To także w niektórych przypadkach obowiązek wyznaczenia inspektora ochrony danych osobowych (odpowiedzialnego za ochronę, ale także za kontakt z organem nadzorczym). Warto zapoznać się z samą treścią przepisów, ich treść można znaleźć na stronie Dziennika Urzędowego Unii Europejskiej. Obowiązek wyznaczenia inspektora ochrony danych osobowych spoczywa na organach lub podmiotach publicznych, z wyjątkiem sądów w ramach sprawowania przez nie wymiaru sprawiedliwości; lub gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych na dużą skalę. Inspektora wyznaczyć trzeba także jeżeli  główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Jeśli chodzi o konsekwencje prawne, to organ nadzorczy może nałożyć kary finansowe, ale dysponuje także uprawnieniami naprawczymi, np. może wydać ostrzeżenia, udzielić upomnienia, nakazać  administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów rozporządzenia. Więcej przykładów można znaleźć w art. 58 ust. 2 RODO.

Organ nadzorczy może także nałożyć kary finansowe za nieprzestrzeganie przepisów. Wysokość tych kar robi wrażenie. Jeżeli administrator lub podmiot przetwarzający dopuści się naruszenia obowiązku lub wielu obowiązków, o których mowa w RODO to może podlegać grzywnie administracyjnej sięgającej do 10 000 000 EUR lub odpowiednio 20 000 000 EUR, a w przypadku przedsiębiorstwa – sięgającej 2 % lub odpowiednio 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Więcej na ten temat można przeczytać w 83 artykule ustawy o RODO.

Jakie kroki musi podjąć firma, aby dostosować swoją działalność do nowych przepisów?

Można przyjąć, że organizacja powinna podjąć trzy takie kroki:

• Podniesienie poziomu świadomości. Ten punkt można pominąć, jeśli oceniamy, że w naszym przypadku świadomość jest wysoka i wiemy co należy zrobić dalej. Jeśli nie, konieczne są szkolenia dla pracowników. Niekoniecznie wszystkich, ale na pewno takich, którzy mają kontakt z klientem i jego danymi. To będą na pewno sprzedawcy, wybrani pracownicy marketingu, informatycy i administratorzy systemów. To także kwestia rozumienia samej natury przepisów i tego, jakie konsekwencje będą miały dla danej organizacji oraz jaki będą miały wpływ na codzienne jej funkcjonowanie.
• Inwentaryzacja zasobów. Jakimi danymi organizacja dysponuje, gdzie je gromadzi i przetwarza. Konieczna jest też świadomość tego, jaka jest ścieżka gromadzenia i przetwarzania tych informacji. Konieczne jest tu wykonanie audytu. Można przeprowadzić go własnymi siłami lub też zlecić go na zewnątrz. Audyt ten może mieć charakter formalno prawny, ale także technologiczny.
• Analiza i zmiana procedur, jakie dotychczas organizacja posiadała oraz zwiększenie poziomu infrastruktury, jakim dotychczas dysponowała. Wszystko to dotyczy na przykład rewizji umów, zgód, aneksów.

Szacunkowy czas przygotowania firmy zatrudniającej około 200 pracowników to od 3 do nawet 6 miesięcy. Czas wdrożenia całości działań w mniejszych jednostkach organizacyjnych będzie zapewne krótszy, ale należy pamiętać, że organizacja posiadająca 15-20 pracowników też może być poddana wyżej określonemu okresowi wdrożenia. Wszystko zależy od tego jakimi danymi dysponuje i jakie przetwarza, jak skomplikowany jest ten proces, ile osób jest w niego zaangażowanych, jaką infrastrukturą firma dysponuje i jaki jest aktualny poziom zabezpieczeń.

Czy osoba fizyczna będąca dysponentem swoich danych osobowych ma w ramach RODO możliwość przekazania prawa na dysponowanie tymi danymi/udostępnienie ich w zakresie chociażby pomocy w obsłudze produktu firmie?

Jak najbardziej tak. W idealnej sytuacji, chociażby w kwestiach dotyczących relacji z obsługą techniczną, klient powinien sam dokonywać modyfikacji swoich danych osobowych i ich obsługi. Ma jednak i powinien mieć możliwość na przekazanie takiej obsługi pracownikom firmy. Może się to odbywać na przykład w formie naciśnięcia przycisku wyrażającego zgodę na taką obsługę bądź też wygenerowanie ticketa w systemie. Wszystko zależy od tego, jak wygląda tutaj infrastruktura podmiotu świadczącego usługi.

Jednym z elementów RODO jest obowiązek firmy ujawnienia zainteresowanej osobie (na przykład w postaci pliku .pdf) informacji którymi konkretnie danymi firma administruje. Co będzie groziło firmom za ewentualną odmowę spełnienia tego obowiązku?

Spełnienie obowiązku dostępu do danych można naturalnie bardzo łatwo spełnić, zwłaszcza jeśli świadczymy jakieś usługi przez Internet. Można tak skonstruować przepisy polityki prywatności, aby taki dostęp zapewnić. Następnie klient może uzyskać dostęp do swoich danych poprzez panel klienta. Naturalnie nie należy udostępniać informacji osobowych poprzez wysyłkę ich e-mailem, gdyż nie jest to sposób bezpieczny. Ten proces jest już sam w sobie naruszeniem zarówno aktualnych, jak i nadchodzących przepisów.

Kara za odmowę wydania danych osobowych będzie zapewne bardzo indywidualna. Organ nadzorczy będzie z pewnością analizował z jakiego powodu wydano taką odmowę albo bardziej czy prawidłowo zrealizowano prawo dostępu do danych.

Osoba fizyczna będzie miała możliwość poproszenia by firmy lub firmy i urzędy wymieniły się danymi osobowymi tej osoby, na przykład przy wnioskowaniu o kredyt. Czy istnieje konieczność wdrożenia do tego specjalnego systemu informatycznego, pracownika, itp?

Prawo do wymiany danych osobowych między organizacjami to nowe pojęcie wprowadzane przez RODO. Wydaje mi się, że część osób może tutaj mylić prawo do przenoszenia danych z prawem udostępnienia danych innym podmiotom. Faktycznie, administrator danych będzie mógł tutaj odmówić prawa do przeniesienia danych do innego administratora w sytuacji, kiedy ten drugi podmiot nie będzie w stanie przyjąć tych danych oraz wtedy, kiedy będzie przetwarzał dane pozyskane innymi metodami niż te wynikające ze zgody lub umowy.

Wydaje mi się, że przez pierwszy rok albo nawet dłużej od wejścia w życie RODO będziemy się uczyć tego, jak odmawiać przenoszenia danych gdyż może być ono nadużywane. Czym innym jest udostępnienie, czym innym dostęp do danych a czym innym przeniesienie.

Kolejny element RODO to tak zwane “prawo do bycia zapomnianym”. Często okazuje się, że mimo iż świadczenie jakieś usługi wygasło, dane osobowe dalej są w obrocie. Czy firma ma w takim wypadku obowiązek je skasować?

Prawo do bycia zapomnianym obowiązuje w przypadku, gdy administrator upublicznił dane osobowe. Jeżeli administrator upublicznił dane osobowe ma obowiązek usunąć te dane osobowe biorąc pod uwagę dostępną technologię i koszt realizacji. W takim przypadku, administrator podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikację.

Jeśli zaś chodzi o odmowę usunięcia danych to RODO wprowadza długą listę wyjątków. Wyjątkiem jakim zapewne często będziemy się posługiwać, jest tak zwana “retencja danych”, czyli obowiązek przetwarzania danych przez okres wykraczający np. poza czas obowiązywania umowy na potrzeby dochodzenia lub ochrony roszczeń prawnych.

Czy w związku z RODO firmy muszą przygotować nowe polityki prywatności odnośnie cookies (internetowych ciasteczek)?

Należy dokonać przeglądu wszystkich dokumentów które są w organizacji, w tym również polityki prywatności. I na tym właśnie poziomie należy informować o tym po co cookies, jak je wykorzystujemy itp.  Jeżeli cookies służą do profilowania to należy opisać zgodnie z obowiązkiem informacyjnym w zakresie profilowania. Sama zgoda na cookies się natomiast nie zmienia. Jednak jeśli służą do profilowania to użytkownik powinien zaakceptować cookies. Wymagane jest zatem kliknięcie (dotyczy to zwłaszcza tzw. scoringu).

A co z dotychczasowymi klientami? Czy firmy mają obowiązek przedstawienia aneksów do istniejących umów?

Należy dokonać przeglądu umów, może pojawić się taka konieczność. Będzie tak z pewnością w przypadku umów powierzenia jeżeli były one tworzone przed 27 kwietnia 2016r. i nie uwzględniono tam przepisu art. 28 RODO.

Czy istnieje rozróżnienie między przygotowaniem wewnętrznym a zewnętrznym? Czy przedsiębiorca musi udowadniać urzędowi, że jego działalność jest zgodna z rozporządzeniem? Jeśli tak, jaką formę powinien przyjąć taki dowód?

Administrator nie musi przedstawiać takich dowodów aż do momentu kontroli bądź do czasu obrony na etapie postępownia sądowego czy postępowania przygotowawczego (w przypadku sprawy karnej). Należy wtedy wykazać jak działają procedury, w tym zarządzania zgodami.

RODO wprowadza natomiast możliwość certyfikacji i przystąpienia do tak zwanego “kodeksu dobrych praktyk” (pod warunkiem, że podmiot działa w branży, która go ma). Kodeks to forma obwieszczenia zainteresowanym, że podmiot dobrze administruje danymi i są one bezpiecznie przechowywane. Certyfikację przeprowadza natomiast organ nadzorczy.

Czy przedsiębiorca musi poddać swoją działalność zewnętrznemu audytowi bezpieczeństwa danych w związku z RODO? Kto zapewni przedsiębiorcę, że jego firma działa w tym zakresie w zgodzie z prawem?

Nie, certyfikacja oraz przystąpienie do kodeksu dobrych praktyk są dobrowolne. Odpowiedzialność za działalność zgodną z prawem dotyczy administratora, a w niektórych przypadkach także przetwarzającego.

Jaki musi być zakres przedmiotowy, w jakim firma musi być w zgodzie z RODO? Dokumentacja wewnętrzna, projektowa, wytwarzany produkt, czyli software, dokumentacja dla urzędów?

W skład przygotowania do RODO wchodzą wszystkie procedury plus relacje z dostawcami. Dotyczy to zarówno rozwoju produktu jak i szerzej bezpieczeństwa informacji.

Czy trzeba coś przygotować w momencie wejścia ustawy w życie? Dokumentację dla urzędów?

Rozporządzenie unijne obowiązuje wprost. Będzie natomiast jeszcze ustawa krajowa, tzw. wprowadzająca. Może zawierać pewne odmienności czy wyłączenia, ale w wąskim zakresie regulowanym rozporządzeniem. Spodziewamy się, że będzie w marcu lub najpóźniej w kwietniu.

Zarówno obecny projekt ustawy jak i RODO nie wprowadzają jakiejś specjalnej dokumentacji dla urzędu. Dokumentację jeśli tworzymy w ramach organizacji to dla siebie samych, dla własnego bezpieczeństwa i dbania o ochronę danych, w tym nasze aktywa i ciągłość działania. Pamiętajmy, że biznes nie istnieje bez danych osobowych dlatego trzeba o nie dbać.

Jak będzie w miarę upływu czasu wyglądała kwestia zgodności przedmiotu działalności firmy z RODO? Czy pojawią się jakieś kontrole okresowe? Kto je będzie przeprowadzał?

Nie będzie kontroli zewnętrznych, natomiast dobrą praktyką jest przeprowadzanie okresowych kontroli wewnętrznych. Warto je wdrażać co najmniej raz do roku, przeprowadzając przegląd obowiązujących procedur, zgodności dokumentów, poziomu bezpieczeństwa, itd.

Co z potencjalnym wyciekiem lub wykradzeniem danych osobowych? Komu firma będzie to musiała zgłosić i ile będzie miała na to czasu?

W RODO są bardzo szczegółowo wymienione reguły informowania organu nadzorczego o naruszeniu integralności danych osobowych. W pozostałych, nie wymienionych przypadkach należy poinformować organ w przeciągu 72h od daty stwierdzenia faktu naruszenia bazy danych i dostarczyć komplet zgromadzonych informacji związanych z wydarzeniem. Uwaga: trzeba też przedstawić kroki jakie podjęliśmy dążąc do minimalizacji dalszego rozprzestrzeniania się skutków tego naruszenia.

Firmy będą musiałby też przygotować procedury na wypadek wykradzenia danych. Co rozumiemy w tym przypadku przez “procedury”? Czy chodzi tylko o zgłoszenie tego faktu do urzędu, czy wchodzą w to jakieś dodatkowe działania? Jakie?

Organizacje muszą mieć plany zarządzania ciągłością działania. Oznacza to, że musimy wiedzieć co się stanie, gdy zostanie naruszona poufność lub integralność lub rozliczalność lub odporność systemów i samej organizacji. To także relacje z dostawcami, zasady zatrudniania pracowników, wymiana danych pomiędzy systemami, backupy i wiele innych.

Czy znane są szacunkowe koszty, jakie przedsiębiorcy będą musieli ponieść na dostosowanie swojej działalności do wymogów nowych przepisów?

Koszty będą rzecz jasna zróżnicowane, ale można je traktować jako inwestycję. Zacząć można od zatrudnienia pracownika, który w myśl nowego prawa będzie w organizacji pełnił rolę inspektora ochrony danych. Inne koszty to np. zakup oprogramowania, które pozwoli sprawdzić gdzie są dane osobowe i co się z nimi dzieje w organizacji albo np. na stałe wpisać wydatki związane z testami penetracyjnymi.

Co grozi za nie dostosowanie się do nowych przepisów?

Sankcje karne mogą być określone przez państwa członkowskie i w projekcie ustawy z dnia 8 lutego 2018 roku zostały one zaproponowane. Oprócz tego mogą też być przewidziane wcześniej wspomniane kary finansowe oraz uprawnienia naprawcze.

Cyberlaw.pl jest firmą oferującą konsultacje prawne w modelu rozliczenia godzinowego (dostępne różne pakiety) lub projektowego (model fixed price). Zespół ekspertów firmy jest różnorodny, w jego skład wchodzą prawnicy, ekonomiści, analitycy oraz inżynierowie ds. bezpieczeństwa IT. Sprawia to, że firma pomaga klientom wielowymiarowo.