Dane osobowe: skutki przetwarzania, ocena zagrożeń i ryzyka, zasady profilowania

13 lipca 2017 r. 

Tylko do maja 2018 roku przedsiębiorcy mają czas na dostosowanie swojej firmy do nowych unijnych przepisów w zakresie ochrony i przetwarzania danych osobowych. Warto już teraz zacząć wdrażać odpowiednie rozwiązania organizacyjne i techniczne oraz szkolenie pracowników, aby stosowanie nowych przepisów przebiegało bez problemów. 

Rozporządzenie Parlamentu Europejskiego i Rady (UE) o ochronie danych (RODO) zacznie obowiązywać od 25. maja 2018 roku. RODO wprowadza zupełnie nowe podejście do ochrony i przetwarzania danych osobowych. Pojawi się przede wszystkim obowiązek samooceny przez administratora danych skutków przetwarzania dla ochrony danych i ewentualnego ryzyka z tym związanego (ang.: risk-based approach). Analiza ryzyka obejmuje weryfikację przetwarzanych danych, ocenę zagrożeń związanych z przetwarzaniem konkretnych danych osobowych oraz planowane środki, zabezpieczenia i mechanizmy, które zostaną zastosowane w celu zminimalizowania zagrożeń.

Ocenę skutków dla ochrony danych trzeba będzie przeprowadzić przed rozpoczęciem ich przetwarzania. Będzie ona obowiązkowa w przypadkach, gdy charakter, zakres, kontekst i cele danego rodzaju przetwarzania z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a także gdy decyzją organu nadzoru dany rodzaj operacji przetwarzania podlega obowiązkowej ocenie.

Profilowanie danych osobowych osób fizycznych

Rozporządzenie reguluje zasady profilowania. W przepisach pojawia się definicja tego pojęcia. W myśl przepisów profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Profilowanie będzie legalne, gdy: wyraźnie dopuszcza to prawo, jest niezbędne do zawarcia i wykonania umowy między osobą, której dane dotyczą, a administratorem danych, osoba, której dane dotyczą wyraziła zgodę na profilowanie.

Prawo do bycia zapomnianym - administrator musi usunąć dane osobowe

Nowe przepisy zwiększają uprawnienia osób, których dane dotyczą. Będą one miały nie tylko prawo dostępu do informacji (wglądu w dane), sprostowania danych, ograniczenia przetwarzania, ale także prawo do usunięcia danych (tj. „prawo do bycia zapomnianym”). Dana osoba będzie mogła żądać od administratora niezwłocznego usunięcia dotyczących jej danych. Co więcej, w przypadku upublicznienia danych, to na administratorze, do którego wpłynęło żądanie do usunięcia danych będzie ciążył obowiązek podjęcia dalszych działań związanych z poinformowaniem innych administratorów przetwarzających dane tej osoby, o tym, że osoba której dane dotyczą, żąda usunięcia przez dalszych administratorów wszelkich łączy do jej danych, ich kopii lub ich replikacji.

Dana osoba będzie mogła też zwrócić się z żądaniem, by jej dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe (tzw. prawo do przeniesienia danych). Chodzi na przykład o sytuację, gdy klient zmienia operatora sieci komórkowej i chce, aby dotychczasowy operator przesłał dane nowemu operatorowi.

RODO będzie wymagać od przedsiębiorców podjęcia szeregu działań i wdrożenia nowych procedur zarówno prawnych, jak i informatycznych, m.in:

• weryfikacji przesłanek i podstaw przetwarzania danych osobowych, weryfikacji konieczności i zasadności
• powołania inspektora ochrony danych, analizy i weryfikacji dokumentacji kadrowej i zasad procesu
• rekrutacji, przeprowadzenia szkoleń dla pracowników, weryfikacji umów powierzenia przetwarzania danych osobowych oraz klauzul informacyjnych i klauzul zgody na przetwarzanie danych na gruncie RODO,
• opracowania dokumentacji związanej z ochroną danych na gruncie RODO (np. analiza ryzyka) oraz systematycznej (np. raz na kwartał/pół roku) jej weryfikacji.

W kontekście systemów IT szczególne znaczenie będzie miała dogłębna analiza ryzyka związana z ewentualnymi incydentami upublicznienia lub utraty danych. Trzeba je będzie ocenić na podstawie aktualnego stanu wiedzy technicznej i znajomości realnych zagrożeń. Wzorcowo wdrożony proces analizy zagrożeń powinien uwzględniać także stałe monitorowanie informacji o wykrytych lukach w bezpieczeństwie systemów i aplikacji oraz umożliwiać szybką reakcję na pojawiające się zagrożenia o wysokim stopniu ryzyka dla bezpieczeństwa danych.

Wyzwaniem staje się zatem również wdrożenie takich środków technicznych i organizacyjnych (formalnych), które w najlepszy możliwy sposób będą chronić dane osobowe przed incydentami związanymi z ich bezpieczeństwem. Dobór tych środków spocznie w całości na przedsiębiorcach. Co więcej, dużą zmianą dla przedsiębiorców może być wprowadzenie obowiązku monitorowania incydentów związanych z bezpieczeństwem przetwarzanych danych.

Administrator będzie miał jedynie 72 godziny na zgłoszenie organowi nadzorczemu wykrytego „wycieku” danych, włączając w to czas potrzebny na konieczną analizę skali problemu, określenie liczby i rodzaju danych, które „wyciekły”. Jeżeli zaś problem mógłby skutkować „wysokim ryzykiem naruszenia praw lub wolności osób fizycznych", to administrator będzie miał obowiązek poinformowania o zagrożeniu także poszczególnych osób, których to dotyczy. Co więcej, konieczne będzie także podniesienie poziomu świadomości zagrożeń wśród pracowników tak, aby ewentualny incydent został rozpoznany i niezwłocznie zgłoszony administratorowi.

Odpowiedzialność i kary za nieprzestrzeganie przepisów RODO

Za naruszenie przepisów RODO zostały przewidziane sankcje o charakterze cywilnoprawnym i administracyjnym. Odpowiedzialność cywilnoprawna będzie dotyczyła każdej osoby, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO. Będzie miała ona prawo uzyskać odszkodowanie za poniesioną szkodę od administratora lub podmiotu przetwarzającego. W przypadku przetwarzania danych przez więcej niż jednego administratora lub podmiotu przetwarzającego – odpowiedzialność będzie solidarna. Podmiotowi, który zapłacił całe odszkodowanie przysługiwać będzie prawo żądania od pozostałych administratorów lub podmiotów przetwarzających uczestniczących w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność. Z kolei odpowiedzialność administracyjna ma się sprowadzać do kar pieniężnych nakładanych przez organ nadzorczy.

Nieprzestrzeganie przepisów RODO - co wpłynie na karę

Przy nakładaniu kar i określaniu ich wysokości organ weźmie pod uwagę, m.in.:

• charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą oraz rozmiaru poniesionej przez nie szkody, umyślny lub nieumyślny charakter naruszenia, działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych, wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
• stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
  stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji  oraz
  wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięcie straty.

Wysokość kary została uzależniona od rodzaju naruszenia i wynosić będzie nawet do 20 mln euro, a w przypadku przedsiębiorstwa – do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Kogo dotyczy RODO

Obowiązek przetwarzania danych osobowych zgodnie z nowymi przepisami będzie spoczywać na:

administratorach danych mających siedzibę na terenie UE, niezależnie od tego, czy przetwarzanie ma miejsce w UE, administratorach danych niemających siedziby na terenie UE, którzy przetwarzają dane osób przebywających w UE, jeżeli:ma to związek z oferowaniem produktów lub usług osobom przebywającym w UE, bez względu na fakt odpłatności lub jej braku, monitorowane jest zachowanie osób przebywających w UE, o ile ich zachowanie ma miejsce na terenie UE (np. przeglądarki internetowe, Google), administratorach danych niemających siedziby na terenie UE, ale posiadających jednostkę organizacyjną w miejscu, gdzie na podstawie prawa międzynarodowego ma zastosowanie prawo kraju członkowskiego UE.

W przypadku gdyby byli Państwo zainteresowani naszą pomocą w przeanalizowaniu praktyk stosowanych w Państwa przedsiębiorstwie oraz dokumentacji dotyczącej ochrony danych osobowych pod kątem ich zgodności z obecnymi, a także nadchodzącymi regulacjami, służymy wsparciem i doradztwem prawnym. Nasi adwokaci jak i radcowie prawni oferują doradztwo prawne także w innych dziedzinach. Są dostępni dla Państwa w biurach Rödl & Partner: Gdańsk, Gliwice, Kraków, Poznań, Warszawa, Wrocław.