RODO – ten akronim słyszało wielu przedsiębiorców. Nie każdy jednak wie, co się za nim kryje i jakie konsekwencje organizacyjne, finansowe i prawne wiążą się z przyjęciem nowego prawa. O tym, co firmy muszą zrobić, aby się do niego dostosować, rozmawialiśmy z Beatą Marek – właścicielką firmy Cyberlaw.pl, doświadczoną prawniczką, konsultantką wielu firm i projektów technologicznych, ekspertką pracującą nad projektami dla kilku ministerstw polskiego rządu.
Co to jest RODO/GDPR i jakie są powody wdrożenia tych przepisów?
RODO to Rozporządzenie Ogólne o Ochronie Danych Osobowych (ang. General Data Protection Regulation, GDPR), czyli przepisy przyjęte przez Parlament Europejski i Radę Unii Europejskiej w 2016 roku. Celem tej regulacji jest wprowadzenie takich przepisów o ochronie danych osobowych, które byłyby aktualne niezależnie od postępów rozwoju technologii. Rozporządzenie zastąpiło dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
Co rozumiemy przez pojęcie “dane osobowe”?
Dane osobowe to wszelkie informacje, które możemy „wyciągnąć z danych”, a które mogą posłużyć nam do zidentyfikowania osoby fizycznej. Przykładowo będzie to: imię, nazwisko, adres e-mail, numer telefonu, wiek, płeć. Więcej na ten temat można dowiedzieć się m.in. z ustawy o ochronie danych osobowych z 1997 r. (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.).
Warto podkreślić, że samo RODO nie zmienia definicji pojęcia “dane osobowe”. Przepisy wskazują nam natomiast tak zwane “identyfikatory”, które umożliwiają – w sposób pośredni bądź bezpośredni – identyfikację danej osoby fizycznej. Przez sposób bezpośredni rozumiemy dane jasno określające osobę. Sposób pośredni to połączenie informacji, które same w sobie niewiele znaczą, natomiast ujęte całościowo pozwalają na identyfikację. Identyfikatorami takimi mogą być np. dane o lokalizacji lub geolokalizacji czy identyfikatory internetowe.
Co bardzo istotne, RODO za dane osobowe uznaje także adres IP komputera lub innego urządzenia elektronicznego danej osoby fizycznej, ale tylko wtedy, gdy adres ten można połączyć z innymi danymi umożliwiającymi identyfikację. Przykładowo: jeśli przy zapisie na newsletter zbierany jest adres e-mail, imię, nazwisko oraz adres IP.
Kiedy RODO weszło w życie?
Przepisy zaczęły być stosowane 25 maja 2018 roku.
Według globalnego, obejmującego również Polskę, badania firmy Dell z 2016 roku “GDPR has ramifications for any company that does business with citizens” ponad 80% przedsiębiorców nic nie wiedziało początkowo na temat rozporządzenia lub miało o nim szczątkowe pojęcie.
A jakie konsekwencje organizacyjne i prawne dla przedsiębiorców niosło ze sobą wejście w życie RODO?
RODO wprowadziło pojęcie oparte na analizie ryzyka (ang. Data Protection Impact Assessment, DPIA). Oznacza to, że wszystkie procesy przetwarzania danych (oparte na swoich własnych zasobach lub na zasobach zewnętrznych), jakie są podejmowane w organizacji, muszą być oparte na tej analizie. W niektórych przypadkach trzeba dokonać oceny skutków ochrony danych. Na przykład przy wprowadzaniu na rynek nowej aplikacji lub funkcjonalności należy dokonać analizy Pbd – ang. “privacy by design” i “privacy by default”. To m.in. obowiązki informacyjne (np. informowanie o czasie przetwarzania lub kryteriach, prawie wniesienia skargi do organu nadzorczego, profilowaniu itd.). Określone zostały także zasady pozyskiwania zgody, w tym na profilowanie (pliki cookies). Zgoda musi być zrozumiała, dobrowolna, świadoma, konkretna i jednoznaczna. Podczas jej formułowania warto skorzystać z dostępnych wzorów zgód marketingowych.
RODO zmieniło również funkcjonowanie zespołu na poziomie różnych działów. To także w niektórych przypadkach obowiązek wyznaczenia inspektora ochrony danych osobowych (odpowiedzialnego za ochronę, ale także za kontakt z organem nadzorczym). Obowiązek wyznaczenia inspektora ochrony danych osobowych spoczywa na organach lub podmiotach publicznych, z wyjątkiem sądów w ramach sprawowania przez nie wymiaru sprawiedliwości; lub gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych na dużą skalę.
Inspektora wyznaczyć trzeba także, jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Warto zapoznać się z samą treścią przepisów, można je znaleźć na stronie Dziennika Urzędowego Unii Europejskiej.
Jakie są konsekwencje prawne nieprzestrzegania RODO?
Organ nadzorczy może nałożyć kary finansowe, ale dysponuje także uprawnieniami naprawczymi, np. może wydać ostrzeżenia, udzielić upomnienia, nakazać administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów rozporządzenia. Więcej przykładów można znaleźć w art. 58 ust. 2 RODO.
Za nieprzestrzeganie przepisów organ nadzorczy może także nałożyć kary finansowe. Wysokość tych kar robi wrażenie. Jeżeli administrator lub podmiot przetwarzający dopuści się naruszenia obowiązku lub wielu obowiązków, o których mowa w RODO, to może podlegać grzywnie administracyjnej sięgającej do 10 000 000 EUR lub odpowiednio 20 000 000 EUR, a w przypadku przedsiębiorstwa – sięgającej 2% lub odpowiednio 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Sankcje karne mogą być określone przez państwa członkowskie i w projekcie ustawy z dnia 8 lutego 2018 roku zostały one zaproponowane. Więcej na ten temat można przeczytać w 83 artykule ustawy o RODO.
Jakie kroki musi podjąć firma, aby dostosować swoją działalność do przepisów RODO?
Można przyjąć, że organizacja powinna podjąć trzy kroki, aby dostosować swoją działalność do przepisów RODO:
- Podniesienie poziomu świadomości. Ten punkt można pominąć, jeśli oceniamy, że w naszym przypadku świadomość jest wysoka i wiemy, co należy zrobić dalej. Jeśli nie, konieczne są szkolenia dla pracowników. Niekoniecznie wszystkich, ale na pewno tych, którzy mają kontakt z klientem i jego danymi. To będą na pewno sprzedawcy, wybrani pracownicy marketingu, informatycy i administratorzy systemów. To także kwestia rozumienia samej natury przepisów i tego, jakie konsekwencje mają dla danej organizacji oraz jaki mają wpływ na codzienne jej funkcjonowanie.
- Inwentaryzacja zasobów. To określenie, jakimi danymi organizacja dysponuje, gdzie je gromadzi i przetwarza. Konieczna jest też świadomość tego, jaka jest ścieżka gromadzenia i przetwarzania tych informacji. Konieczne jest tu wykonanie audytu; można przeprowadzić go własnymi siłami lub też zlecić na zewnątrz. Audyt może mieć charakter formalno-prawny, ale także technologiczny.
- Analiza i zmiana procedur, jakie dotychczas organizacja posiadała oraz zwiększenie poziomu infrastruktury, jakim dotychczas dysponowała. Wszystko to dotyczy na przykład rewizji umów, zgód, aneksów.
Czy osoba fizyczna będąca dysponentem swoich danych osobowych ma w ramach RODO możliwość przekazania prawa na dysponowanie tymi danymi/udostępnienie ich w zakresie chociażby pomocy w obsłudze produktu firmie?
Jak najbardziej tak. W idealnej sytuacji, chociażby w kwestiach dotyczących relacji z obsługą techniczną, klient powinien sam dokonywać modyfikacji swoich danych osobowych i ich obsługi. Ma jednak i powinien mieć możliwość na przekazanie takiej obsługi pracownikom firmy. Może się to odbywać na przykład w formie naciśnięcia przycisku wyrażającego zgodę na taką obsługę bądź też wygenerowanie ticketa w systemie. Wszystko zależy od tego, jak wygląda tutaj infrastruktura podmiotu świadczącego usługi.
Jednym z elementów RODO jest obowiązek firmy ujawnienia zainteresowanej osobie (na przykład w postaci pliku .pdf) informacji, którymi konkretnie danymi firma administruje. Co będzie groziło firmom za ewentualną odmowę spełnienia tego obowiązku?
Spełnienie obowiązku dostępu do danych można naturalnie bardzo łatwo spełnić, zwłaszcza jeśli świadczymy jakieś usługi przez Internet. Można tak skonstruować przepisy polityki prywatności, aby taki dostęp zapewnić. Następnie klient może uzyskać dostęp do swoich danych poprzez panel klienta. Nie należy udostępniać informacji osobowych poprzez wysyłkę ich e-mailem, gdyż nie jest to sposób bezpieczny, a jest także naruszeniem przepisów.
Kara za odmowę wydania danych osobowych jest bardzo indywidualna. Organ nadzorczy analizuje, z jakiego powodu wydano taką odmowę albo czy prawidłowo zrealizowano prawo dostępu do danych.
Kolejny element RODO to tak zwane “prawo do bycia zapomnianym”. Często okazuje się, że mimo iż świadczenie jakieś usługi wygasło, dane osobowe dalej są w obrocie. Czy firma ma w takim wypadku obowiązek je skasować?
Prawo do bycia zapomnianym obowiązuje w przypadku, gdy administrator upublicznił dane osobowe. Jeżeli administrator upublicznił dane osobowe, ma obowiązek usunąć te dane osobowe, biorąc pod uwagę dostępną technologię i koszt realizacji. W takim przypadku administrator podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikację.
Jeśli zaś chodzi o odmowę usunięcia danych, to RODO wprowadza długą listę wyjątków. Wyjątkiem, jakim zapewne często będziemy się posługiwać, jest tak zwana “retencja danych”, czyli obowiązek przetwarzania danych przez okres wykraczający np. poza czas obowiązywania umowy na potrzeby dochodzenia lub ochrony roszczeń prawnych.
Czy w związku z RODO firmy muszą dostosować polityki prywatności odnośnie cookies (internetowych ciasteczek)?
Wszystkie dokumenty, które są w organizacji, w tym również polityki prywatności, powinny być zgodne z przepisami. Na tym poziomie należy informować o tym, po co cookies i jak je wykorzystujemy. Jeżeli cookies służą do profilowania, to należy opisać zgodnie z obowiązkiem informacyjnym w zakresie profilowania. Sama zgoda na ciasteczka się natomiast nie uległa zmianie. Jednak jeśli służą do profilowania, to użytkownik powinien zaakceptować pliki cookies. Wymagane jest zatem kliknięcie (dotyczy to zwłaszcza tzw. scoringu).
Czy przedsiębiorca musi udowadniać urzędowi, że jego działalność jest zgodna z rozporządzeniem?
Administrator nie musi przedstawiać takich dowodów aż do momentu kontroli bądź do czasu obrony na etapie postępownia sądowego czy postępowania przygotowawczego (w przypadku sprawy karnej). Należy wtedy wykazać, jak działają procedury, w tym zarządzanie zgodami.
RODO wprowadza natomiast możliwość certyfikacji i przystąpienia do tak zwanego “kodeksu dobrych praktyk” (pod warunkiem, że podmiot działa w branży, która go ma). Kodeks to forma obwieszczenia zainteresowanym, że podmiot dobrze administruje danymi i są one bezpiecznie przechowywane. Certyfikację przeprowadza natomiast organ nadzorczy.
Czy przedsiębiorca musi poddać swoją działalność zewnętrznemu audytowi bezpieczeństwa danych w związku z RODO? Kto zapewni przedsiębiorcę, że jego firma działa w tym zakresie w zgodzie z prawem?
Nie, certyfikacja oraz przystąpienie do kodeksu dobrych praktyk są dobrowolne. Odpowiedzialność za działalność zgodną z prawem dotyczy administratora, a w niektórych przypadkach także przetwarzającego.
Jaki musi być zakres przedmiotowy, w jakim firma musi być w zgodzie z RODO? Dokumentacja wewnętrzna, projektowa, wytwarzany produkt, czyli software, dokumentacja dla urzędów?
W skład przygotowania do RODO wchodzą wszystkie procedury plus relacje z dostawcami. Dotyczy to zarówno rozwoju produktu, jak i szerzej bezpieczeństwa informacji.
Co z potencjalnym wyciekiem lub wykradzeniem danych osobowych? Komu firma musi to zgłosić i ile ma na to czasu?
W RODO są bardzo szczegółowo wymienione reguły informowania organu nadzorczego o naruszeniu integralności danych osobowych. W pozostałych, niewymienionych przypadkach należy poinformować organ w przeciągu 72h od daty stwierdzenia faktu naruszenia bazy danych i dostarczyć komplet zgromadzonych informacji związanych z wydarzeniem. Uwaga: trzeba też przedstawić kroki, jakie zostały podjęte podczas dążenia do minimalizacji dalszego rozprzestrzeniania się skutków tego naruszenia.
Firmy będą musiałby też przygotować procedury na wypadek wykradzenia danych. Co rozumiemy w tym przypadku przez “procedury”? Czy chodzi tylko o zgłoszenie tego faktu do urzędu, czy wchodzą w to jakieś dodatkowe działania? Jakie?
Organizacje muszą mieć plany zarządzania ciągłością działania. Oznacza to, że musimy wiedzieć, co się stanie, gdy zostanie naruszona poufność lub integralność bądź rozliczalność lub odporność systemów i samej organizacji. To także relacje z dostawcami, zasady zatrudniania pracowników, wymiana danych pomiędzy systemami, backupy i wiele innych.
Jakie są szacunkowe koszty, jakie przedsiębiorcy ponoszą na dostosowanie swojej działalności do wymogów przepisów?
Koszty są rzecz jasna zróżnicowane, ale można je traktować jako inwestycję. Zacząć można od zatrudnienia pracownika, który będzie w organizacji pełnił rolę inspektora ochrony danych. Inne koszty to np. zakup oprogramowania, które pozwoli sprawdzić, gdzie są dane osobowe i co się z nimi dzieje w organizacji, albo np. na stałe wpisać wydatki związane z testami penetracyjnymi.
Cyberlaw.pl jest firmą oferującą konsultacje prawne w modelu rozliczenia godzinowego (dostępne różne pakiety) lub projektowego (model fixed price). Zespół ekspertów firmy jest różnorodny, w jego skład wchodzą prawnicy, ekonomiści, analitycy oraz inżynierowie ds. bezpieczeństwa IT. Sprawia to, że firma pomaga klientom wielowymiarowo.
Znajomość przepisów dotyczących ochrony danych osobowych jest niezbędna podczas prowadzenia kampanii zbierającej leady. W Landingi landing page’a w tym celu możesz stworzyć i opublikować za darmo!