RODO  cz. I – Czy taki diabeł straszny jak go malują?

Przepisy regulujące problematykę ochrony danych osobowych

Niewątpliwie w ostatnim czasie jednym z najczęściej wyszukiwanych w Internecie haseł jest „RODO”. Można by wręcz powiedzieć, że słowo “RODO” bije rekordy popularności.

Wszystko to za sprawą zbliżającej się wielkimi krokami daty 25 maja 2018 r. To właśnie z tym dniem obowiązywać zacznie Rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie ochrony danych osobowych, czyli właśnie RODO. Rozporządzenie będzie bezpośrednio stosowane we wszystkich państwach członkowskich UE. W związku z tym, przestanie nas obowiązywać obecna ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (u.o.d.o.), a także wydane na jej podstawie tzw. “rozporządzenie techniczne”, czyli rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.   W ich miejsce stosowane będzie RODO, które, w uproszczeniu, reguluje zasady przetwarzania danych osobowych, oraz nowa ustawa o ochronie danych osobowych, regulująca tzw. “kwestie proceduralne”, czyli przykładowo takie zagadnienia jak postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, odpowiedzialność cywilnoprawną i administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych. Na chwilę obecną istnieje dopiero projekt ww. ustawy o ochronie danych osobowych, który został przygotowany przez Ministerstwo Cyfryzacji, jako resort odpowiedzialny za zapewnienie skutecznego stosowania RODO. Opracowano także projekt zmian ponad 100 przepisów zawartych w innych ustawach, np. w kodeksie pracy, czy w prawie autorskim i prawach pokrewnych. Obecnie obowiązujące “rozporządzenie techniczne” ma natomiast zostać zastąpione wydawanymi przez Prezesa UODO (który zastąpi obecnego GIODO) rekomendacjami, które wskazywać będą zalecane środki bezpieczeństwa.

Co się zmieni? 

Największą i najbardziej nagłośnioną zmianą, jaka nas czeka, są kary finansowe. RODO przewiduje bowiem zwiększenie wysokości grzywny za naruszenie przepisów o ochronie danych osobowych do 20.000.000 EUR lub 4 % całkowitego rocznego światowego obrotu z poprzedniego roku.
Zgodnie z projektem nowej u.o.d.o., ściągane kary mają stanowić dochód budżetu państwa i, w przeciwieństwie do obecnych uregulowań, będą mogły być nakładane od razu po stwierdzonym uchybieniu, bez wcześniejszego wydawania zaleceń pokontrolnych.

Nie da się w kilku słowach opisać nadchodzących zmian, ale warto od razu podkreślić, moim zdaniem, dwie najważniejsze, a mianowicie: zwiększenie obowiązków informacyjnych, które wpłynie znacząco na treść dotychczas stosowanych przez przedsiębiorców oświadczeń, oraz zwiększenie uprawnień podmiotów danych (osób, których dane są przetwarzane), nie tylko w zakresie możliwości uzyskiwania informacji, ale także dochodzenia roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych.

O skali zmian, które nas czekają, świadczyć może porównanie objętości obecnej ustawy o ochronie danych osobowych z nowymi regulacjami. Ustawa o ochronie danych osobowych liczy obecnie 62 artykuły. RODO liczy natomiast 99 artykułów i 173 motywy preambuły. Wbrew pozorom nie zawsze oznacza to doprecyzowanie i uszczegółowienie regulowanych zagadnień, a czasem wręcz przeciwnie. Jak już wspomniałam, obecnie środki organizacyjne i techniczne, jakie mamy obowiązek zastosować przy przetwarzaniu danych osobowych, określa “rozporządzenie techniczne”. Tam wprost możemy się dowiedzieć na przykład, ile znaków musi mieć hasło do komputera, na którym przetwarzamy dane osobowe i jak często należy je zmieniać. Nowe przepisy nie wprowadzają tak szczegółowych rozwiązań, ale nakazują, mówiąc kolokwialnie i w uproszczeniu, robić tak, żeby było dobrze. Nowe regulacje zawierają bowiem wiele pojęć nieostrych. Jak powiedział dr Maciej Kawecki, zastępca dyrektora Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, RODO to inteligentny akt – zaprojektowany w taki sposób, żeby nie wymagał zmiany wraz ze zmieniająca się rzeczywistością i rozwojem technologii. Jednak czy dla nas – praktyków, a także przedsiębiorców, którzy muszą stawić czoła nowym wymaganiom,  takie rozwiązanie jest korzystne? I tutaj odpowiedz również nie ma jednej dobrej odpowiedzi. Z jednej bowiem strony, jeśli przygotujemy się do wypełniania ciążących na nas obowiązków i będziemy potrafili wykazać i uzasadnić zastosowane rozwiązania – to dobrze, bo będziemy mogli sami zadecydować, w zależności od indywidualnych potrzeb, jakie zastosować środki techniczne, żeby nasze dane były bezpieczne. Jeśli jednak uprzednio nie przemyślimy sprawy, licząc, że jakoś to będzie, wówczas nie doprowadzimy szybko organizacji do zgodności z wymogami prawnymi. Nie sięgniemy już wtedy w prosty sposób do “rozporządzenia technicznego”, które liczy tylko 10 artykułów plus 1 załącznik.

Jak się zatem przygotować na nadchodzące zmiany?

Odpowiedź na to pytanie zależy przede wszystkim od tego, w jaki sposób ja, jako przedsiębiorca, dotychczas postępowałem z danymi osobowymi. Czy miałem wdrożone procedury w tym zakresie, czy też, jak znaczna większość, słyszałem o ochronie danych, ale jakoś nigdy nie było czasu, żeby się nad tym głębiej zastanowić. A jak to sprawdzić? Niewątpliwie najskuteczniejszym i najbardziej wiarygodnym miernikiem jest przeprowadzenie kompleksowego audytu organizacji. Takie rozwiązanie pozwoli nam ocenić, gdzie jesteśmy i co mamy do zrobienia. Jednakże nawet najlepiej przeprowadzony audyt nie pomoże, jeżeli nie dokonany następnie faktycznego wdrożenia zalecanych rozwiązań. Kolejność działań nie jest tutaj przypadkowa. Z dobrze dopasowanymi procedurami w zakresie ochrony danych osobowych jest trochę jak z budową domu. Zawsze należy zacząć od fundamentów, a takim fundamentem jest właśnie audyt. Dlatego też żadna, choćby najlepsza, wzorcowa dokumentacja, wsparta nawet „instrukcją wypełnienia”, nigdy nie będzie dostosowana konkretnie do naszych potrzeb. Może się na przykład okazać,że wcale nie musimy pytać klienta o zgodę na przetwarzania jego danych osobowych, a jeżeli robimy to mimo wszystko – postępujemy w sposób nieprawidłowy. Wbrew zasadzie “od przybytku głowa nie boli”, w tym przypadku, kiedy bez potrzeby prosimy o wyrażenie zgody na przetwarzanie danych osobowych, wprowadzamy klienta (lub innym podmiot danych) w błąd i niesłusznie sugerujemy mu, że mógłby takiej zgody odmówić.

Jak przeprowadzić audyt ?

Zakres audytu będzie ściśle uzależniony od stopnia obecnego “wdrożenia” organizacji/firmy w tematykę ochrony danych osobowych. Jeśli  nasza firma nigdy nie zagłębiała się w temat
i nie posiada jakiekolwiek procedur/dokumentacji  wewnętrznej w przedmiocie ochrony danych osobowych, trzeba zacząć od podstaw i ustalić m.in.:

– jakie zbiory danych osobowych są lub będą przetwarzane,
– na jakiej podstawie dane osobowe mogą być przetwarzane,
– czy wypełniane są obowiązki informacyjne,
– czy respektowane są zasady przetwarzania danych m.in. celowości, adekwatności i czasu przetwarzania danych,
– czy dane są udostępniane lub powierzane do przetwarzania innym podmiotom i na jakiej podstawie,
– czy w sposób prawidłowy  przetwarzane są dane osobowe pracowników i współpracowników,
– czy zostały zastosowane wymagane zabezpieczenia organizacyjne i informatyczne służące ochronie danych.

Dopiero tak przeprowadzony audyt może być podstawą i punktem wyjścia do postawienia diagnozy zastanego stanu faktycznego, a następnie sformułowania rekomendacji i wskazania sposobu ich wykonania. Oczywiście, aby można było mówić o spełnieniu wymogów prawnych w zakresie ochrony danych osobowych, należy postawić jeszcze kropkę nad “i” i wdrożyć wszystkie zalecenia i rekomendacje.

Przedsiębiorcy, który mieli już do czynienia z tematem ochrony danych osobowych na gruncie obecnie obowiązujących przepisów oraz podejmowali działania w tym zakresie, niewątpliwie będą w nieco lepszej sytuacji. W ich bowiem przypadku konieczne jest dokonanie porównania stosowanych już rozwiązań – np. treści klauzul informacyjnych – z wymogami, które w tym zakresie przewiduje RODO i dokonać koniecznych zmian.

Co dalej?

W kolejnych wpisach na blogu zajmiemy się właśnie  porównaniem obecnych i tych nadchodzących, wprowadzanych przez RODO,  zasad przetwarzania danych osobowych. Zatem w praktyce sprawdzimy, czy faktycznie diabeł taki straszny, jak go malują.

Aleksandra Otok – Zagajewska
radca prawny