RODO: Administrator danych musi umieć wykazać, że działa zgodnie z prawem

Od 25 maja 2018 r. znacznie zmienią się obowiązki w zakresie kształtowania i dokumentowania procesów przetwarzania danych osobowych. Istotne będzie nie tylko to, czy przedsiębiorca przetwarza dane zgodnie z prawem, lecz także czy umie to wykazać.

Nowe unijne Rozporządzenie o ochronie danych osobowych („RODO”), obok dotychczasowych zasad przetwarzania, takich jak zasada minimalizacji danych, zasada integralności, czy zasada transparentności, wymienia dodatkowo zasadę rozliczalności. Zgodnie z tą zasadą administrator „musi być w stanie wykazać” przestrzeganie pozostałych zasad ochrony danych, co rodzi po jego stronie liczne dodatkowe obowiązki rejestracyjne i dokumentacyjne. Zasada rozliczalności znalazła odzwierciedlenie w szeregu szczegółowych przepisów rozporządzenia.

Rejestr przetwarzania

RODO znosi obowiązek zgłaszania zbiorów danych osobowych do GIODO. Zamiast tego nakazuje jednak prowadzenie wewnętrznego rejestru przetwarzania. Zawartość rejestru będzie zbliżona do treści obecnie dokonywanych zgłoszeń (będzie zawierał m.in. kategorie danych osobowych, kategorie osób, których dane dotyczą, cele przetwarzania i kategorie odbiorców). Rejestr będą jednak musieli prowadzić nie tylko administratorzy, ale także procesorzy (np. dostawca hostingu, firma oferująca outsourcing księgowy). 

Formalnie z obowiązku prowadzenia rejestru zwolnione będą podmioty zatrudniające mniej niż 250 osób. Wyłączenie to nie ma jednak zastosowania, gdy przetwarzanie „może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą” (np. ryzyko ujawnienia danych osobom niepowołanym), „nie ma charakteru sporadycznego” (a więc następuje regularnie, choćby w niewielkiej skali) lub dotyczy danych wrażliwych (tj. m.in. danych ujawniających pochodzenie etniczne, poglądy polityczne i dotyczących zdrowia). Zwolnienie jest więc sformułowane na tyle wąsko, że obowiązek prowadzenia rejestru będzie prawdopodobnie dotyczył znakomitej większości przedsiębiorców przetwarzających dane osobowe (klientów, pracowników, etc.).

Wyznaczenie inspektora ochrony danych

Już na gruncie obecnych przepisów wielu przedsiębiorców powołało administratora bezpieczeństwa informacji. Na gruncie RODO powołanie osoby odpowiedzialnej za bezpieczeństwo przetwarzania – zwanej w rozporządzeniu inspektorem ochrony danych – będzie w wielu przypadkach obowiązkowe. Rolą inspektora będzie m.in. monitorowanie przestrzegania RODO przez przetwarzającego.

Obowiązek powołania inspektora będzie dotyczył podmiotów, których główna działalność polega na przetwarzaniu wymagającym „regularnego i systematycznego monitorowania osób” na dużą skalę. Jak wynika z motywów rozporządzenia przez „monitorowanie” należy rozumieć także monitorowanie zachowania internautów służące prognozowaniu ich preferencji, co dotyczy w zasadzie całej branży reklamy internetowej.

Inspektora będą musieli powołać także administratorzy, których główna działalność polega na przetwarzaniu danych wrażliwych „na dużą skalę” (co może odnosić się zwłaszcza podmiotów z sektora medycznego, choć nie do pojedynczych lekarzy) oraz podmioty publiczne (z wyjątkiem sądów).

Inspektor powinien posiadać fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych. Powinien też być „właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych”, co dla dużych podmiotów może być nie lada wyzwaniem.

Rejestr naruszeń

Każdy administrator będzie zobowiązany dokumentować „wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze”. Definicja „naruszenia ochrony danych” może przy tym obejmować nie tylko przypadki włamań do systemów informatycznych, ale także zgubienie laptopa czy wysłanie e-maila do niewłaściwej osoby.

Niezależnie od obowiązku rejestracji naruszeń ochrony danych, zapewnienie właściwej reakcji na naruszenia (np. zgłoszenie organowi nadzoru w ciągu 72 godzin) oraz ograniczenie strat finansowych i wizerunkowych wymaga wcześniejszego przygotowania. Uzasadnione będzie zwykle stworzenie procedur wykrywania naruszeń (przewidujących np. instalowanie i aktualizowanie oprogramowania antywirusowego oraz przeglądy logów), procedur postępowania na wypadek wystąpienia naruszenia (które powinny wskazywać m.in. osoby odpowiedzialne za koordynację działań) oraz przeszkolenie pracowników. W razie naruszenia ochrony danych nie ma bowiem czasu na opracowanie strategii działania. 

Ochrona danych w fazie projektowania i domyślna ochrona danych

Rozporządzenie RODO nakazuje uwzględniać ochronę danych osobowych już w fazie projektowania („by design”) procesów, produktów i usług. Oznacza to, że zarówno wewnętrzne jak i zewnętrzne procesy przetwarzania danych powinny umożliwiać realizację podstawowych zasad ochrony danych, takich jak zasada minimalizacji czy zasada ograniczenia przechowywania. Systemy IT powinny być zatem projektowane w taki sposób, aby dostęp do określonych danych osobowych miały tylko te osoby, które muszą mieć do nich dostęp. Tam gdzie to możliwe i celowe dane powinny być ponadto spseudonimizowane (tj. niemożliwe do powiązania z konkretną osobą fizyczną bez dodatkowych informacji).

Rozporządzenie nakazuje również, aby domyślnie („by default”) przetwarzane były „wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania”, co można interpretować w ten sposób, że mechanizmy ochrony danych implementowane w fazie projektowania powinny być domyślnie włączone. W konsekwencji podstawą zarzutu naruszenia RODO może być np. wprowadzenie niepotrzebnych pól do przedkładanego klientom formularza albo zbieranie przez aplikację mobilną danych „na zapas”.

Większość przedsiębiorców nie analizuje, czy zakres zbieranych danych osobowych odpowiada powyższym zasadom. Niektórzy przetwarzający celowo zbierają więcej danych niż potrzebują zakładając, że dane „nadmiarowe” będą mogli wykorzystać w przyszłości (co niekiedy istotnie prowadzi do powstania nowych usług z korzyścią dla konsumentów). Jeszcze przed 25 maja 2018 r. obie grupy powinny jednak zweryfikować swoją strategię. 

Ocena skutków przetwarzania

Rozporządzenie RODO zobowiązuje też przetwarzających do przeprowadzenia tzw. oceny skutków przetwarzania wtedy, gdy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. Rozporządzenie precyzuje, że ma to miejsce w szczególności w przypadku

a) systematycznego i kompleksowego zautomatyzowanego przetwarzania prowadzącego do podejmowania wobec jednostek istotnych dla nich decyzji

b) przetwarzania danych wrażliwych „na dużą skalę” i

c) „systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie”.

Obowiązkowa ocena skutków przetwarzania będzie więc nierzadko dotyczyć podmiotów z sektora bankowego, ubezpieczeniowego, czy usług medycznych, ale może też objąć np. twórców aplikacji monitorujących aktywność fizyczną czy wspomagających odchudzanie.

Ocena skutków przetwarzania służy szacowaniu ryzyka naruszenia praw lub wolności osób, których dane dotyczą (np. ryzyka nieuprawnionego ujawnienia danych, ryzyka podjęcia błędnych decyzji), a także ustaleniu środków ograniczenia tego ryzyka. Ocena skutków przetwarzania musi obejmować systematyczny opis planowanych operacji przetwarzania i celów przetwarzania oraz ustalenie, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów (tj. np. czy zamierzone cele można by osiągnąć, zbierając mniej danych). Przedsiębiorcy „narażeni” na dokonywanie oceny skutków przetwarzania powinni rozważyć stworzenie wewnętrznych wytycznych i formularzy wspomagających ten proces (wskazujących kiedy należy go wdrożyć i co należy zweryfikować).

Nieprzeprowadzenie oceny skutków przetwarzania jest naruszeniem samym w sobie – niezależnie od tego, czy następnie dojdzie do jakiegokolwiek naruszenia praw lub wolności podmiotów danych. Naruszenie to (podobnie jak naruszenie pozostałych opisanych wyżej obowiązków) jest zagrożone karą do 10 mln euro lub 2 proc. rocznego światowego obrotu z poprzedniego roku obrotowego. 

Artykuł ukazał się w Dzienniku Gazecie Prawnej w ramach cyklu: Europejska Reforma Ochrony Danych osobowych (RODO) - Jak się do niej przygotować?

Autorzy: Jakub Łabuz, Maciej Marek