RODO – czy naprawdę trzeba się bać?

RODO, czyli unijne rozporządzenie o ochronie danych osobowych. Oto temat, którym żyje cała branża. Im bliżej rozpoczęcia jego stosowania, co nastąpi 25 maja 2018 r., tym więcej szkoleń, artykułów, dyskusji, ale również chaosu wśród przedsiębiorców, którzy czują się zagubieni pośród wielu docierających do nich z różnych źródeł informacji.

Milionowe kary, nowe i dotkliwe obowiązki, konieczność skrupulatnego przygotowania się na godzinę „W”, rewolucja w podejściu do ochrony danych osobowych, wyzwania techniczne stojące przed administratorami – łatwo popaść w panikę i dezorientację w kontakcie z tego rodzaju przekazami.

RODO - strach może mieć wielkie oczy
Strach przed RODO może mieć wielkie oczy

Nie twierdzę bynajmniej, że RODO to pikuś i można przejść obok niego obojętnie. Wręcz przeciwnie – uważam, że każdy przedsiębiorca powinien z uwagą przyjrzeć się rozporządzeniu i na poważnie przysiąść do tematu ochrony danych osobowych.

Odnoszę jednak wrażenie, że spora część materiałów poświęconych RODO odnosi odmienny skutek od zamierzonego, czyli bardziej potęguje chaos i wątpliwości u przedsiębiorców niż pomaga im odnaleźć się w świecie ochrony danych osobowych.

Dotyczy to w szczególności małych firm, które śledząc pobieżnie doniesienia o RODO, mogą ugiąć się pod ciężarem przedstawianych nowości i obowiązków. Tymczasem rozporządzenie tak naprawdę ułatwia życie wielu firmom, odformalizowując ochronę danych osobowych i stawiając na jej rzeczywisty charakter oraz dopasowanie do skali prowadzonej działalności.

Jeżeli zatem słyszałeś już coś o RODO, ale to dla ciebie w dalszym ciągu czarna magia, ten artykuł pomoże ci uporać się z tematem. Przygotowując go, postawiłem sobie za cel przekazać najważniejsze dla ciebie informacje w prosty sposób, by cię przy tym nie przestraszyć i nie wprawić w osłupienie, jakaż to rewolucja czeka twoją firmę. Gotowy na poznanie tajemnic RODO? Zaczynajmy.

Prakreacja.pl
Mam dla ciebie dwie wiadomości – dobrą i lepszą.

Dobra wiadomość jest taka, że artykuł jest obszerny. Liczy sobie prawie 6 tys. słów.

Jaka jest ta lepsza wiadomość? Że objętości artykułu towarzyszy również jakość. W jednym miejscu znajdziesz omówienie najważniejszych problemów związanych z RODO. Nie musisz już skakać pomiędzy artykułami na poszczególne tematy. Czytasz raz i zdobywasz kompleksową wiedzą na temat RODO.

Lista zagadnień, które omawiam:

  • kary za nieprzestrzeganie przepisów,
  • kogo obejmuje RODO,
  • podstawy przetwarzania danych osobowych,
  • rejestracja zbiorów,
  • dotychczasowa dokumentacja,
  • rejestr czynności przetwarzania,
  • środki ochrony danych,
  • kodeksy dobrych praktyk i certyfikacja,
  • ocena skutków przetwarzania,
  • obowiązki informacyjne,
  • powierzenie przetwarzania danych,
  • inspektor ochrony danych,
  • zgłaszanie naruszeń,
  • profilowanie,
  • privacy by design and default.

Oczywiście najlepiej, gdy zapoznasz się ze wszystkim. Ale spokojnie. Ten artykuł nie zniknie. Po prostu zapisz go w takim miejscu, by w dowolnym momencie móc do niego wrócić.

Spis treści

Dla twojej wygody przygotowałem spis treści, który ułatwi ci poruszanie się po tej stronie. 

Podcast – poradnik RODO do odsłuchu

Jeżeli wolisz słuchać niż czytać, poniżej znajdziesz jedenasty odcinek podcastu „Prawo dla kreatywnych”, w którym opowiadam o RODO. To wersja audio tego artykułu.

Niestety, ale wybrałeś/aś brak obsługi Soundcloud w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu odtwarzacz.

Podobał ci się odcinek? Udostępnij go innym. Dzięki poniższym przyciskom zajmie ci to dosłownie chwilę.

Wszystkie pozostałe odcinki podcastu „Prawo dla kreatywnych” znajdziesz na podstronie poświęconej podcastowi.

Wideo o RODO do obejrzenia

Mam dla ciebie również wideo. To nagranie rozmowy na temat RODO. Odpowiadam na konkretne pytania zadawane przez osobę zainteresowaną tematem.

Wideo powstało na potrzeby innego mojego artykułu o RODO, który również warto sprawdzić: RODO dla blogerów, vlogerów i twórców internetowych.

Milionowe kary  w RODO – straszak czy realne zagrożenie?

Rozpocznę ten artykuł od tego, co najczęściej znajduje się na końcu publikacji poświęconych RODO, czyli od kar za nieprzestrzeganie przepisów o ochronie danych osobowych.

Fakt, RODO przewiduje możliwość nakładania kar pieniężnych w wysokości nawet do 20 mln euro lub do 4% obrotu przedsiębiorstwa z roku poprzedniego. Na tym jednak najczęściej kończą się informacje zawarte w wielu materiałach dotyczących RODO. Ja pragnę cię w tym miejscu uspokoić.

RODO - miliony monet
Miliony monet może być mało!

To, że istnieje możliwość nałożenia tak wysokiej kary, nie oznacza, że taka kara zostanie na ciebie nałożona w każdym przypadku naruszenia przepisów o ochronie danych osobowych. W samym RODO znajduje się wskazanie, że kara ma być proporcjonalna oraz wylistowane są kryteria, jakimi organ nadzorczy ma się kierować, ustalając wysokość kary.

Podstawa prawna: art. 83 RODO.

Oczywiście moim celem nie jest skłonienie cię do ignorowania przepisów o ochronie danych osobowych. Podkreślam raz jeszcze, że kwestia ta powinna zostać w twojej firmie odpowiednio rozwiązana i gorąco cię do tego zachęcam. Mój wewnętrzny sprzeciw budzą jednak materiały, w których wspomina się o wysokich karach pieniężnych bez słowa wyjaśnienia.

Pierwsze słowa wyjaśnienia z mojej strony co do wysokości kar zawarłem powyżej.

Druga kwestia to skala prowadzonych kontroli przez organy nadzorcze. Tak naprawdę trudno w tej chwili wyrokować jak będzie wyglądała działalność obecnego GIODO w tym zakresie po rozpoczęciu stosowania RODO.

RODO a kontrole przedsiębiorców

Do tej pory liczba kontroli GIODO była niewielka w porównaniu do liczby przedsiębiorców w Polsce. Biorąc jednak pod uwagę fakt, że kary pieniężne za naruszanie przepisów o ochronie danych osobowych będą stanowić przychód budżetu państwa, można się głośno zastanawiać, czy nie wpłynie to na częstotliwość kontroli.

Tym bardziej, że do tej pory jako podstawowy argument w zakresie nieskuteczności egzekwowania przepisów o ochronie danych osobowych była wskazywana niemożność nakładania kar pieniężnych. Od 25.05.2018 r. taka możliwość będzie, ale jak to wszystko wyjdzie w praniu, pokaże życie.

Odpowiadając na pytanie ze śródtytułu, mimo chęci uspokojenia cię, muszę jednak przyznać, że kary rzeczywiście są realnym zagrożeniem dla przedsiębiorców, którzy nie będą przestrzegać przepisów o ochronie danych osobowych.

Czy będą to kary milionowe? W przypadku małych firm – nie sądzę, bo należy pamiętać o wymogu proporcjonalności kary i kryteriach ustalania jej wysokości.

Warto jednak mieć się na baczności i zwrócić uwagę, że organ nadzorczy będzie miał w ręku uprawnienia, jakich do tej pory mu brakowało. Jaki zrobi z nich użytek? Tego lepiej dowiedzieć się z doniesień medialnych niż z własnych doświadczeń. Dlatego warto mądrze przygotować się do RODO, nie ulegając jednak panice w obliczu masowych przekazów o rewolucji w ochronie danych osobowych.

RODO – kogo w ogóle dotyczy?

Może się wydawać, że rozpoczęcie artykułu od kar jest dość dziwne, biorąc pod uwagę, że kolejny śródtytuł zawiera pytanie o to, kto w ogóle musi się RODO przejmować.

Nie ma jednak przypadków. Zacząłem od kar dlatego, że tak naprawdę RODO znajduje zastosowanie do każdego, kto przetwarza dane osobowe obywateli Unii Europejskiej w celach innych niż czysto osobiste lub domowe.

Krótko mówiąc, każdy przedsiębiorca, który sprzedaje produkty lub usługi obywatelom UE musi stosować się do RODO. Do RODO muszą stosować się również osoby, które wprawdzie nie prowadzą działalności gospodarczej, ale przetwarzanie danych odbywa się w związku z jakąś ich zorganizowaną aktywnością, np. blogerzy wysyłający newslettery.

Jedno RODO w całej Unii

Największą zaletą RODO jest to, że stwarza jednolite zasady przetwarzania danych osobowych na terenie całej Unii Europejskiej.

W związku z tym, gdy np. prowadzisz działalność we Francji, ale sprzedajesz na rzecz Polaków, nie musisz zastanawiać się, gdzie zarejestrować swój zbiór danych. Po pierwsze, obowiązek rejestracji w ogóle znika, o czym piszę w dalszej części artykułu. Po drugie, wystarczy, że zerkniesz do RODO, by znać przepisy obowiązujące w całej Unii.

Krótko mówiąc, koniec z zastanawianiem się, do przepisów którego państwa się zastosować. Stosujemy przepisy RODO.

RODO - jednolitość w UE
Harmonizacja prawa w obrębie UE to świetna sprawa!

Niezależnie od tego, że mamy jednolite przepisy na terenie całej Unii, to jednak w każdym państwie będą funkcjonować odrębne organy nadzorcze.

W niektórych sytuacjach, gdy administrator będzie przetwarzał dane w wielu państwach, może powstać problem tzw. wiodącego organu nadzorczego.

Pomijam już jednak ten wątek. W uproszczeniu powiem, że właściwym organem nadzorczym będzie organ funkcjonujący w tym kraju, gdzie przedsiębiorca posiada główną jednostkę organizacyjną.

RODO a podstawy przetwarzania danych osobowych

Wiesz już, że RODO stosujemy niemal do każdego przetwarzania danych osobowych obywateli Unii Europejskiej. Omówmy teraz to, co w RODO się nie zmieniło, czyli podstawy przetwarzania danych osobowych.

Czym są te podstawy? To sytuacje, w których możesz legalnie przetwarzać cudze dane osobowe. Tym samym, jeżeli przetwarzasz dane bez podstawy lub błędnie identyfikując podstawę, naruszasz prawo.

RODO w zakresie podstaw przetwarzania danych osobowych nie jest nowatorskie. Jeżeli interesowałeś się już wcześniej ochroną danych osobowych, to podstawy są ci znane. Twoja wiedza zachowuje aktualność.

RODO przewiduje…

następujące podstawy przetwarzania danych osobowych:

  • zgoda,
  • wykonanie umowy lub podjęcie działań przed jej zawarciem,
  • wypełnienie obowiązku prawnego,
  • ochrona żywotnych interesów użytkownika,
  • wykonanie zadania realizowane w interesie publicznym,
  • prawnie uzasadnione interesy administratora.

Firmy najczęściej przetwarzają dane na podstawie zgody (np. wysyłka newslettera), w celu wykonania umowy (np. realizacja zamówienia w sklepie internetowym) oraz w celu wypełnienia obowiązku prawnego (np. wystawienie faktury dokumentującej zakup).

Wykonanie umowy i wypełnienie obowiązku prawnego nie budzą wątpliwości. Zawierasz umowę – masz podstawę do przetwarzania danych w celu jej realizacji. Zrealizowałeś usługę lub otrzymałeś płatność – musisz wystawić fakturę i prawo pozwala ci przetwarzać dane w tym celu.

Zgoda na przetwarzanie danych osobowych na gruncie RODO

Najwięcej emocji budzi zgoda na przetwarzanie danych osobowych. Skąd te emocje? Stąd, że zgodę w Internecie zbiera się przez checkboxy. A checkboxów nikt nie lubi. W szczególności UX-designerzy, którzy jeszcze bardziej od checkboxów nie lubią prawników.

RODO w zakresie zgody jest jasne – ma być uprzednia, wyraźna, dobrowolna, a jej fakt wyrażenia musi zostać udokumentowany przez administratora. Co więcej, w trakcie wyrażania zgody użytkownik musi otrzymać informację, że będzie mógł taką zgodę odwołać w każdym czasie. Przykład zgody:

Wyrażam zgodę na przetwarzanie moich danych osobowych podanych w powyższym formularzu przez XYZ Sp. z o.o. w celach marketingowych. Wiem, że w każdej chwili będę mógł odwołać zgodę.

Pamiętaj, że powyższa zgoda dotyczy wyłącznie marketingu realizowanego przy wykorzystaniu „tradycyjnych” metod.

Jeżeli chcesz wysyłać maile albo SMS-y, to musisz jeszcze zebrać zgody na przesyłanie informacji handlowych oraz na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego.

Na blogu znajdziesz kilka tekstów, w ramach których możesz o tym poczytać:

RODO chroni dzieci

Jeżeli chodzi o zgodę, to zwracam również twoją uwagę, że RODO wprowadza szczególną sytuację dotyczącą zgody wyrażanej przez dziecko.

Jeżeli twój użytkownik ma poniżej 16 lat (wg RODO, bo przepisy krajowe mogą wprowadzić niższą barierę, nie niższą niż 13 lat – polski ustawodawca planuje skorzystać właśnie z 13 lat), to musisz mieć zgodę jego przedstawiciela ustawowego na przetwarzanie jego danych osobowych.

RODO – w końcu koniec z rejestracją zbiorów

Za najważniejszą nowość w RODO uważam zniesienie obowiązku rejestracji zbiorów danych osobowych. Koniec ze zgłaszaniem zbiorów do GIODO i fiksacją na tym punkcie.

RODO - koniec ze zgłaszaniem zbiorów
Nigdy więcej wypełniania wniosków jako sztuka dla sztuki!

Dlaczego uważam tę zmianę za taką ważną? Bo nie tylko zwalnia ona przedsiębiorców z upierdliwego obowiązku, ale przede wszystkim pokazuje, że ochrona danych osobowych nie polega na samym zgłoszeniu zbioru do GIODO.

Do tej pory większości osób ochrona danych osobowych kojarzyła się z wnioskiem do GIODO. „Panie Wojtku, za ile Pan wypełni za mnie wniosek do GIODO?” – to pytanie, na które w dalszym ciągu często odpowiadam. Mówię wtedy, że samych tylko zgłoszeń nie robię, bo takie zgłoszenie samo w sobie jest bezwartościowe.

Dlaczego bezwartościowe?

Bo wniosek do GIODO to jedynie czynność techniczna. Zwieńczenie wszystkiego, co zrobione zostało w zakresie ochrony danych osobowych. Potwierdzenie tego wszystkiego i zadeklarowanie na formalnym wniosku.

Zastanawiałeś się kiedyś, czy musisz zgłosić swój newsletter do GIODO? Jeżeli tak, to konieczne sprawdź jeden z moich poprzednich artykułów: Czy newsletter trzeba zgłosić do GIODO? Jak to zrobić?

Jeżeli ograniczysz się wyłącznie do wniosku do GIODO, to tak naprawdę nie zrobiłeś nic. Dlatego z tak wielką radością przyjąłem informację, że kończymy z rejestracją zbiorów.

W tym miejscu przestrzegam przed innym hurraoptymistycznym wnioskiem. To, że od 25.05.2018 r. zniknie obowiązek zgłaszania zbiorów do GIODO, nie oznacza bynajmniej, że nie trzeba będzie przejmować się ochroną danych osobowych.

Wręcz przeciwnie – RODO kładzie nacisk na rzeczywistą ochronę danych osobowych, zamiast skupiać się na dokumentacjach, zgłoszeniach i innych świstkach, które jak to papier – przyjmą wszystko.

Co zatem trzeba zrobić, by przetwarzać dane osobowe w zgodzie z RODO? Najważniejsze obowiązki omówię w kolejnych akapitach.

RODO a wewnętrzna dokumentacja ochrony danych osobowych

Polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi. Mówi ci to coś? Do tej pory posiadanie takich dokumentów było obowiązkiem każdego administratora danych osobowych.

W skrócie, w takich dokumentach powinny zostać zawarte informacje o tym, jak postępuje się z danymi osobowymi w firmie. Gdzie dane są przetwarzane, w jaki sposób, jakie zabezpieczenia zostały wdrożone etc.

Efekt nałożenia bezwzględnego obowiązku posiadania takich dokumentów w obecnie obowiązującej ustawie o ochronie danych osobowych był taki, że przedsiębiorcy kopiowali wzory dostępne w Internecie, kierując się wspomnianą już zasadą, że papier przyjmie wszystko.

Zapominali, że dokumenty te mają sens tylko wtedy, gdy odpowiadają rzeczywistości.

Robota sama się nie zrobi

Krótko mówiąc, najpierw trzeba odwalić całą brudną robotę w zakresie wdrożenia odpowiednich procedur ochrony danych osobowych, by potem móc je opisać w dokumentacji.

RODO - praca popłaca
Ciężka praca popłaca.

W sytuacji, gdy dokumentacja sobie, a życie sobie, to taka dokumentacja i tak na nic nie przyda się w razie kontroli.

RODO w tym zakresie postępuje równie mądrze jak ze zgłaszaniem zbiorów. Od 25.05.2018 r. nie będzie już bezwzględnego obowiązku posiadania polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi.

Administrator danych osobowych będzie mógł samodzielnie zadecydować, czy takie dokumenty są potrzebne ze względu na skalę, cele, zakres i kontekst przetwarzania danych osobowych.

Obowiązki vs dobre praktyki

Mimo że brak bezwzględnego obowiązku posiadania dokumentacji ochrony danych osobowych uważam za dobry ruch, to mimo wszystko polecam posiadanie takiej dokumentacji jako dobrej praktyki świadczącej o należytym przygotowaniu się do ochrony danych osobowych.

Czy zaprzeczam zatem sam sobie? Nie. Brak bezwzględnego obowiązku jest dobrym ruchem, bo to kolejny znak, że najwyższa pora przestać postrzegać ochronę danych osobowych jako szereg upierdliwych formalnych obowiązków, a skupić się na rzeczywistych rozwiązaniach.

Dlatego też w RODO nie znajdziesz wymogów co do treści polityk związanych z ochroną danych osobowych, tak jak to jest na gruncie obecnie obowiązujących przepisów. Sam musisz podjąć decyzję, jak takie polityki mają wyglądać i jak bardzo szczegółowe informacje zawierać.

Taką decyzję musisz podjąć, kierując się podstawową zasadą, na jaką kładzie nacisk RODO – wdrożenie odpowiednich rozwiązań związanych z ochroną danych osobowych. Odpowiednich do skali, celów, charakteru, zakresu i kontekstu przetwarzania danych.

Krótko mówiąc, wszystko, co robisz w związku z ochroną danych osobowych nie ma być pustymi słowami zawartymi w jakichś tam politykach, ale rzeczywiście wdrożonymi środkami, które mają zapewnić, by dane osobowe były należycie chronione.

Rejestr czynności przetwarzania danych osobowych w RODO

Oprócz polityk związanych z przetwarzaniem danych osobowych, w RODO pojawia się takie pojęcie jak rejestr czynności przetwarzania danych osobowych. Po części odpowiada on wykazowi zbiorów danych osobowych, który jak dotąd najczęściej stanowił załącznik do polityki bezpieczeństwa.

Posiadanie takiego rejestru nie jest na gruncie RODO obowiązkowe dla wszystkich, ponieważ przedsiębiorcy zatrudniający mniej niż 250 osób nie muszą go mieć, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą lub obejmuje dane osobowe wrażliwe lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Podstawa prawna: art. 30 RODO.

Moje zdanie jest jednak takie, że nawet, gdy stwierdzisz, że nie musisz mieć takiego rejestru, to warto go przygotować.

Dlaczego warto?

Dlatego, że to pozwoli ci wyodrębnić wszystkie funkcjonujące u ciebie zbiory danych osobowych i dokonać dokładnej analizy, w jakim zakresie i w jakim celu przetwarzane są poszczególne dane.

Uważam, że każdy administrator danych osobowych powinien mieć wiedzę, jakie zbiory u niego funkcjonują. To trochę jak wiedza o saldzie konta firmowego.

Nie będę teraz rozwodził się na temat szczegółów związanych z identyfikacją zbiorów, bo to również temat na oddzielny artykuł. Podzielę się z tobą podstawową zasadą w tym zakresie. Mianowicie przyjmuje się, że jeden cel przetwarzania danych osobowych to jeden zbiór.

I tak dla przykładu, w sklepie internetowym możemy mieć następujące zbiory:

  • zbiór użytkowników,
  • zbiór zamówień,
  • zbiór faktur,
  • zbiór formularzy zwrotów i reklamacji,
  • zbiór marketingowy,
  • zbiór danych pracowników,
  • zbiór umów.

Moje doświadczenie w pracy z przedsiębiorcami pokazuje, że często nie zdają sobie sprawy z ilości zbiorów u nich funkcjonujących. Dlatego tym bardziej uważam, że przygotowanie rejestru czynności przetwarzania danych osobowych jest dobrą praktyka. To po prostu kolejny element pracy domowej do odrobienia z danych osobowych.

Środki ochrony danych osobowych wymagane przez RODO

Jeżeli interesowałeś się wcześniej ochroną danych osobowych, to wiesz, że aktualne przepisy przewidują katalog środków, jakie administrator musi wdrożyć w związku z przetwarzaniem danych osobowych.

Rozwiązanie niby dobre, bo pokazuje administratorowi, co ma zrobić. Problem polega na tym, że ten katalog środków nie uwzględnia różnych skali przetwarzania danych osobowych. Skutek? Te same środki musi wdrożyć jednoosobowy przedsiębiorca i gigantyczna korporacja.

Zmiana hasła co 30 dni w jednoosobowej firmie? Koniec z tego typu bezwzględnymi rygorami. RODO znowu wykazuje się mądrością i przewiduje, że o środkach bezpieczeństwa masz zadecydować samodzielnie, kierując się tym, by były to środki odpowiednie.

Owszem, wymaga to wysiłku i pomyślunku, ale dzięki temu twoje działania mają realny wpływ na bezpieczeństwo danych osobowych.

Podstawy prawne: art. 24 i 32 RODO

Wsparcie od RODO, czyli kodeksy postępowania i mechanizmy certyfikacji

Jeżeli przeczytałeś uważnie to, co napisałem powyżej, to możesz dojść do wniosku, że obecnie obowiązująca ustawa o ochronie danych osobowych jest łatwiejsza w stosowaniu niż RODO. Bo konkretnie pokazuje, co masz zrobić i w jaki sposób.

RODO natomiast nie daje konkretnych instrukcji postępowania, ale wskazuje na cele, jakie mają ci przyświecać w samodzielnej pracy nad tym, by ochrona danych osobowych w twojej firmie rzeczywiście funkcjonowała.

Ja takie rozwiązanie oceniam pozytywnie. To jest trochę tak jak z odrabianiem lekcji w dzieciństwie. Gdy tata za bardzo pomoże ci przy zadaniu z matmy, to potem nie rozwiążesz go samodzielnie na lekcji. Gdy tata da ci jedynie wskazówki, a potem zostawi samego, to wprawdzie rozwiązanie zajmie ci więcej czasu, ale przyswoisz temat lepiej.

RODO - samodzielność
Czasem warto posiedzieć dłużej nad pracą domową

RODO mówi – nie bój się samotności

Jednocześnie nie musisz obawiać się, że z ochroną danych osobowych zostaniesz sam i wszelkie decyzje będziesz musiał podejmować samodzielnie, ryzykując w razie niepowodzenia gigantyczną karą pieniężną.

Po pierwsze, na rynku jest wiele podmiotów, które profesjonalnie zajmują się ochroną danych osobowych i są w stanie poprowadzić cię za rękę przez proces wdrożenia. Jeżeli chcesz pogadać o tym, jak ja ci mogę pomóc, wyślij wiadomości na adres e-mail wojciech.wawrzak@prakreacja.pl.

Po drugie, RODO wprowadza kodeksy postępowania i mechanizmy certyfikacji. Kodeksy będą takimi zbiorami dobrych praktyk dla poszczególnych branż. Np. jeżeli pojawi się kodeks dobrego postępowania z danymi osobowymi przez branżę e-commerce, to prowadząc sklep internetowy będziesz mógł z łatwością dotrzeć w takim kodeksie do informacji, co i jak powinieneś wdrożyć, by postępować właściwie z ochroną danych osobowych.

Co więcej, będziesz mógł również uzyskać certyfikat od uprawnionej organizacji, że odpowiednio postępujesz z danymi osobowymi. Nie wchodzę tutaj w szczegóły, jak zresztą w całym artykule, bo musiałbym stworzyć powieść, a nie artykuł.

Sygnalizuję ci natomiast, że nie zostaniesz całkowicie sam na polu bitwy. Kodeksy postępowania oraz mechanizmy certyfikacji mają ci pomóc i ja sam pokładam duże nadzieje, że te rozwiązania sprawdzą się dobrze w praktyce.

Wprawdzie nie od razu od 25.05.2018 r., bo pewnie trzeba będzie trochę poczekać aż wszystko okrzepnie, ale prędzej czy później będziesz miał dostęp do coraz większej ilości materiałów, które pomogą ci ogarnąć ochronę danych osobowych w twojej firmie.

Podstawy prawne: art. 40 – 43 RODO.

RODO może wymagać oceny skutków przetwarzania

Napisałem na początku tego artykułu, że ochrona danych osobowych na gruncie RODO jest odformalizowana. Lubię to powtarzać, bo podoba mi się, że rozporządzenie skupia się na adekwatności działań podejmowanych przez administratora danych osobowych.

Jasne, może okazać się, że w twoim konkretnym przypadku RODO będzie pociągać za sobą tyle samo, a może nawet więcej obowiązków niż na gruncie obowiązującej do 25.05.2018 r. ustawy o ochronie danych osobowych. Nawet jeśli, to przynajmniej decyzję o wdrożeniu tych środków podejmiesz świadomie, a nie na podstawie bezwzględnych obowiązków i ślepych instrukcji.

Zwróciłeś uwagę, że napisałem powyżej, że możesz mieć więcej obowiązków? To nie przypadek. Może się bowiem okazać, że oprócz stosownych polityk i rejestru czynności przetwarzania danych osobowych, będziesz musiał przygotować jeszcze inne dokumenty. Takim dodatkowym dokumentem może być ocena skutków przetwarzania danych osobowych.

Piszę o dokumencie, ale tak naprawdę ten dokument to tylko wynik oceny, którą przeprowadzisz. Ponownie bowiem przypomnę – w ochronie danych osobowych nie chodzi o piękne dokumenty wypełnione mądrymi słowami, ale o rzeczywiście podjęte działania.

Kiedy będziesz musiał podjąć realne działanie w postaci przeprowadzenia oceny skutków przetwarzania danych osobowych? RODO mówi tutaj ogólnie, że wtedy, gdy „dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. Wymienia również przykładowe sytuacje objęte taką koniecznością. Wszystko znajdziesz w art. 35 RODO.

Krajowe wykazy jako pomoc

Dodatkowo, RODO przewiduje przygotowanie przez krajowy organ nadzorczy wykazu rodzajów operacji, które będą wymagać dokonania oceny. To fajne rozwiązanie, bo jest szereg sytuacji, gdy można mieć wątpliwości, czy ocena będzie konieczna.

Dotyczy to np. systemów on-line, do których użytkownicy wprowadzają swoje dane osobowe, takich jak choćby systemy CRM, a nie są to przy tym dane wrażliwe. Wątpliwości, czy takie przetwarzanie będzie powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, mogą zostać rozwiane przez wykaz wydany przez organ nadzorczy.

Pewnie nie jeden podmiot będzie niezadowolny z takiego wykazu, jeżeli wbrew swojej interpretacji zostanie objęty oceną skutków przetwarzania danych osobowych, ale uważam, że na plus należy ocenić takie rozwiązanie. Daje ono pewność właściwego postępowania.

Ocena a potem konsultacje

W tym miejscu znowu muszę wrócić do tego, na co RODO kładzie nacisk, czyli na podejmowanie przez administratora realnych działań w celu ochrony danych osobowych. Dlaczego ponownie o tym wspominam? Bo ocena skutków przetwarzania danych nie ma służyć wyłącznie przygotowaniu kolejnego dokumentu, ale przede wszystkim zdiagnozowaniu rzeczywistego ryzyka związanego z przetwarzaniem danych.

Na samej diagnozie też się jednak nie kończy. Jeżeli dokonana ocena wykaże istnienie wysokiego ryzyka, to twoim kolejnym krokiem musi być konsultacja z organem nadzorczym. Po co? Po to, by wspólnie z tym organem ustalić, co masz zrobić, by efektywnie chronić dane i zminimalizować ryzyko, które dokonana ocena uznała za wysokie.

To wszystko brzmi dość zawile, prawda? Cóż, o samej tylko ocenie przetwarzania można byłoby napisać oddzielny artykuł. Ja w dzisiejszym tekście postawiłem sobie za zadanie pokazać ci wszystkie najważniejsze zmiany, ale bez wdawania się w szczegóły.

Chcę, byś miał ogólny ogląd sytuacji, a dopiero ewentualnie potem drążył temat dalej. Spokojnie, stworzę ci na blogu jeszcze nie jedną okazję do pogłębionych analiz w temacie RODO.

Podstawy prawne: art. 35 – 36 RODO.

RODO i obowiązek informacyjny

Wiesz już, że RODO odchodzi od formalizmu przy ochronie danych osobowych na rzecz rzeczywistych działań podejmowanych przez administratora.

Takie rozwiązanie nie jest przypadkowe. Zasadniczym celem RODO jest bowiem wzmocnienie ochrony danych osobowych w interesie osób, których dane są przetwarzane. Krótko mówiąc, chodzi o to, by zapewnić odpowiednie standardy prywatności i poufności.

RODO - prywatność
Prywatność fajna sprawa, taka chatka ją gwarantuje.

Temu celowi służą nie tylko obowiązki „wewnętrzne” administratora danych osobowych polegające na wdrożeniu odpowiednich środków ochrony, procedur postępowania i polityk. RODO przewiduje również obowiązki administratora skierowane do zewnątrz, czyli tzw. obowiązki informacyjne.

Obowiązek informacyjny ciążący na administratorze danych osobowych polega na konieczności przekazania użytkownikowi określonych informacji związanych z przetwarzaniem jego danych osobowych.

RODO wprowadza tutaj w stosunku do aktualnie obowiązującej ustawy o ochronie danych osobowych obowiązek informacyjny w zakresie rozszerzonym. Rozszerzonym, bo jako administrator będziesz musiał przekazać użytkownikowi od 25.05.2018 r. więcej informacji niż obecnie.

Pełen zakres informacji, jakie musisz przekazać użytkownikowi znajdziesz w art. 13 RODO.

Monitoring wizyjny a RODO

Obowiązek informacyjny jest szczególnie istotny w kontekście monitoringu wizyjnego. Na temat tego zagadnienia przygotowałem odrębny materiał. Możesz zapoznać się z nim tutaj: Monitoring wizyjny zgodny z RODO – jak to zrobić?. Nieodpłatnym dodatkiem do artykułu jest wzór dokumentu z obowiązkiem informacyjnym.

W jaki sposób realizować obowiązek informacyjny?

Podstawowe pytanie, to w jaki sposób taki obowiązek informacyjny trzeba zrealizować. RODO przewiduje, że informacje mają być podane użytkownikowi podczas pozyskiwania danych osobowych.

Interpretacja tego wymogu może uczynić problemy w przypadku zbierania danych za pomocą formularzy dostępnych na stronach internetowych. Wydaje się bowiem, że wymóg zrealizowania obowiązku informacyjnego „podczas pozyskiwania danych osobowych” powoduje konieczność dodania stosownych klauzul informacyjnych bezpośrednio w treści formularza, a sama dostępność polityki prywatności podlinkowanej w stopce strony nie będzie wystarczająca.

Biorąc pod uwagę, że klauzula informacyjna na gruncie RODO może być naprawdę obszerna, powstaje nam konflikt między UX (User Experience) a wymogami prawa. W związku z tym, w niektórych przypadkach zasadne będzie poszukanie rozwiązań kompromisowych, jak np. rozwijalne treści klauzul, otwieralne okna po kliknięciu w przycisk symbolizujący dodatkowe informacje, czy wyraźne odsyłania do polityki prywatności w konkretnym zakresie.

Bardzo trudno wskazać jedno uniwersalne rozwiązanie, ponieważ wszystko będzie zależeć od konkretnych okoliczności, w tym zakresu informacji do przekazania, układu strony internetowej, czy po prostu uwarunkowań technicznych związanych ze stosowanymi technologiami.

Prakreacja.pl
Jeżeli chcesz porozmawiać o twojej indywidualnej sytuacji i wypracować dedykowane tobie rozwiązania, wyślij wiadomość na adres wojciech.wawrzak@prakreacja.pl

RODO a powierzenie przetwarzania danych osobowych

Nie ma dzisiaj chyba przedsiębiorcy, który nie powierzałby przetwarzania danych osobowych podmiotom trzecim.

Korzystasz z zewnętrznego biura rachunkowego? Jeżeli tak, to powierzasz mu przetwarzanie danych osobowych w takim zakresie, w jakim biuro ma wgląd do danych twoich klientów lub pracowników. Najczęściej chodzi po prostu o zbiór faktur oraz dokumentację pracowniczą.

Prowadzisz sklep internetowy i korzystasz z systemu do zarządzania zainstalowanym na serwerze zapewnianym przez zewnętrznego hostingodawcę? Jeżeli tak, to powierzasz hostingodawcy dane osobowe w zakresie przechowywania ich na serwerze. Przecież wszystkie zamówienia przechowywane są w bazie właśnie na tym serwerze.

Wysyłasz mailing z wykorzystaniem zewnętrznego systemu, np. MailChimp, ConvertKit, FreshMail? Chyba nie zaskoczę cię, mówiąc, że powierzasz dane osobowe swoich subskrybentów dostawcy systemu mailingowego. Jak to możliwe? Ano tak, że wszystkie dane zapisane w systemie przechowywane są na serwerze po stronie dostawcy systemu.

Takich przykładów jak powyżej można znaleźć dużo więcej. System do fakturowania, system CRM, firma kurierska, zewnętrzny podmiot odpowiedzialny za bezpieczeństwo i kopie zapasowe.

Chcesz poczytać więcej o powierzeniu przetwarzania danych osobowych? Sprawdź mój artykuł na ten temat: Umowa powierzenia przetwarzania danych osobowych – kiedy potrzebna?

RODO dopuszcza elektroniczną umowę

Na gruncie obowiązującej do 25.05.2018 r. ustawy o ochronie danych osobowych, powierzenie danych wymaga zawarcia umowy na piśmie. Na piśmie, czyli z własnoręcznymi podpisami obu stron. Nie wystarczy skan czy zdjęcie podpisanej umowy. Konieczny jest egzemplarz z własnoręcznym podpisem.

Ten upierdliwy obowiązek pisemności sprawia, że nawet z podmiotami, które świadczą usługi całkowicie on-line trzeba zawierać umowę, wymieniając jej podpisane egzemplarze pocztą tradycyjną.

RODO wprowadza tutaj ułatwienie. Od 25.05.2018 r. umowę powierzenia przetwarzania danych osobowych będzie można zawrzeć elektronicznie. Co to oznacza? Że będzie możliwe zawarcie takiej umowy również poprzez zaakceptowanie regulaminu, w którym znajdują się stosowne postanowienia dotyczące powierzenia przetwarzania danych osobowych.

Znacznie ułatwi to korzystanie z usług podmiotów trzecich, które chcąc czy nie chcąc przechowują dane osobowe, których jesteś administratorem.

Jak powierzać, to tylko w dobre ręce

Jednocześnie RODO przewiduje, że możesz powierzać przetwarzanie danych osobowych tylko takim podmiotom, które gwarantują odpowiedni poziom bezpieczeństwa i ochrony danych osobowych. Odpowiedni, czyli taki, jaki wynika z RODO.

Podstawa prawna: art. 28 RODO

Tutaj pojawia się podstawowe pytanie, w jaki sposób zweryfikować, czy dany podmiot taką gwarancję daje. Wszyscy profesjonalni usługodawcy publikują na swoich stronach informacje o prywatności. Opisują w nich m.in. swoje podejście do ochrony danych osobowych.

Gdy prześledzisz te dokumenty, znajdziesz w nich odpowiednie postanowienia dotyczące kompatybilności wdrożonych rozwiązań z przepisami europejskimi.

Wiarygodność vs szara strefa

Oczywiście w tym miejscu trzeba poczynić praktyczną uwagę dotyczącą wiarygodności takich oświadczeń. A może nawet nie tyle wiarygodności, co możliwości ich weryfikacji.

Nie oszukujmy się. Korzystając z narzędzi Google, Facebooka czy innych gigantów Internetu, nie masz realnej możliwości kontroli tego, co dzieje się z danymi osobowymi przetwarzanymi w ramach narzędzi internetowych.

Dlatego do tej pory stanowisko polskiego GIODO w sprawie rozwiązań chmurowych było takie, że trzeba dobierać je bardzo ostrożnie, dążąc do zapewnienia sobie realnych możliwości kontroli stosowanych przez dostawców takich rozwiązań środków ochrony danych osobowych.

RODO - chmury
W chmurach dane fruwają swobodnie.

Biorąc pod uwagę, że to ty, jako administrator danych osobowych, ponosisz odpowiedzialność za wybór podmiotu, któremu powierzasz przetwarzanie danych osobowych, ostrożność zalecana jest również na gruncie RODO. Nie oszukujmy się jednak, że szczególnie we współczesnych działań marketingowych, trudno jest nie korzystać z zagranicznych rozwiązań chmurowych.

Wydaje się zatem, że korzystanie z takich narzędzi jak zewnętrzne systemy mailingowe, narzędzia Google, reklamy na Facebooku czy chmury do przechowywania plików typu Dropbox, będzie nadal rodzajem szarej strefy w ochronie danych osobowych, bo ta ochrona będzie w tym przypadku bazowała wyłącznie na zapewnieniach i oświadczeniach dostawców systemów, których to prawdziwości zapewnień i oświadczań żaden administrator danych osobowych nie będzie w stanie realnie sprawdzić.

Inspektor danych osobowych na gruncie RODO

Słyszałeś pewnie, że jeżeli powołasz administratora bezpieczeństwa informacji (ABI), to nie musisz zgłaszać zbiorów do GIODO, a zgłaszasz jedynie ABI-ego. To informacja aktualna na gruncie obowiązującej do 25.05.2018 r. ustawy o ochronie danych osobowych.

Od 25.05.2018 r., kiedy to rozpoczyna być stosowane RODO, administrator bezpieczeństwa informacji zostanie zastąpiony inspektorem ochrony danych osobowych (IODO). I choć zniknie obowiązek zgłaszania zbiorów do GIODO (o czym pisałem wcześniej), to rola inspektora ochrony danych osobowych będzie istotna.

W RODO znajdziesz szczegółowe wyliczenie jego obowiązków. Ja skrótowo powiem ci, że IODO będzie taką osobą, której zadaniem będzie zadbać o ochronę danych osobowych w firmie i odciążyć w tym zakresie administratora danych osobowych.

Innymi słowy, IODO ma zapewnić w firmie przestrzeganie przepisów o ochronie danych osobowych w taki sposób, by administrator danych osobowych nie musiał się o to martwić i był spokojny, że wszystko jest w porządku.

Obowiązek czy możliwość?

Na gruncie polskiej ustawy ochronie danych osobowych powołanie ABI-ego jest dobrowolne. Nie musisz powoływać ABI-ego, jeżeli nie chcesz, ale wtedy musisz zgłosić zbiory do GIODO.

W RODO powołanie IODO nie jest powiązane z obowiązkiem zgłaszania zbiorów, bo przecież takiego obowiązku w ogóle nie ma. Nowością jest to, że w niektórych sytuacjach IODO musi zostać powołany.

Uzasadnienie jest takie, że przy niektórych rodzaj przetwarzania danych osobowych, ryzyko z tym związane jest na tyle duże, że administrator danych osobowych musi być wyposażony w dodatkową osobę, która będzie odpowiedzialna za przestrzeganie danych osobowych w firmie.

Podstawy prawne: art. 37 – 39 RODO.

Zgłaszanie naruszeń do organu nadzorczego – nowość w RODO

Nowością w RODO jest twój, jako administratora danych osobowych, obowiązek zawiadamiania organu nadzorczego i samego użytkownika o tym, że w twojej firmie doszło do jakiegoś incydentu ochrony danych osobowych, np. włamania do systemu, w którym przechowywane są dane.

Z czym taki obowiązek się wiąże? Z koniecznością wypracowania odpowiedniej procedury monitorowania, ewidencjonowania i zgłaszania naruszeń.

Tutaj znowu ujawnia się praktyczny charakter RODO. Nie tylko masz wdrożyć odpowiednie środki ochrony, przygotować stosowne dokumenty, ale również czuwać, by nic złego się nie zadziało. Krótko mówiąc, nie wolno ci osiadać na laurach po wdrożeniu ochrony danych osobowych, ale cały czas być w gotowości podjęcia stosownych działań, gdyby doszło do jakiegoś naruszenia.

Nie jest jednak też tak, byś musiał zgłaszać każde naruszenie. RODO wprowadza tutaj pewne kryterium, z pomocą którego możesz ustalić, czy zgłaszać, czy nie. Chodzi o ocenę prawdopodobieństwa naruszenia praw lub wolności osób, które dane przetwarzasz.

Oczywiście to znowu kwestia twojej oceny, a więc odpowiedzialność przerzucona jest na ciebie w podjęciu decyzji o zgłoszeniu, ale posługiwanie się takimi przesłankami ocennymi jest niezbędne, by zachować niezbędną elastyczność.

Podstawy prawne: art. 33 i 34 RODO.

Profilowanie – wyzwanie na gruncie RODO

Na sam koniec tego artykułu zostawiłem temat profilowania. Tekst przybrał olbrzymie rozmiary, więc ponownie nie będę mierzył się ze szczegółami, ale wprowadzę cię w problem, byś w ogóle wiedział o jego istnieniu.

Zatem na czym polega problem? Na tym, że RODO uznaje profilowanie za jedną z czynności przetwarzania danych osobowych. Co to oznacza? Żeby odpowiedzieć na to pytanie, musimy wrócić na chwilę do podstaw ochrony danych osobowych.

Pamiętasz, kiedy możesz przetwarzać dane osobowe? Gdy masz ku temu odpowiednią podstawę, taką jak np. realizacja umowy, zgoda, wypełnienie prawnego obowiązku, czy jakiś twój usprawiedliwiony cel.

Skoro profilowanie jest przetwarzaniem danych osobowych, to by móc profilować, musisz mieć jakąś podstawę pozwalającą ci na to. W zależności od tego, w jakim celu profilujesz, podstawa może być różna. Ja najczęściej stykam się z problemem profilowania na potrzeby marketingu i tutaj najbezpieczniejszą podstawą jest zgoda.

RODO - marketing
Branżę marketingową czeka sporo prawnych wyzwań.

Czy widzisz już na czym może polegać problem z profilowaniem? Jeżeli nie, to wyobraź sobie sytuację, w której właściciel sklepu internetowego chce budować profile użytkowników w celu precyzyjnego targetowania reklam. Jeżeli takie profile zawierają dane osobowe, działanie takie wymaga zgody użytkownika. Jak odebrać zgodę? Przez checkbox.

Kolejne upierdliwe checkboxy?

Czy to zatem oznacza, że nawet targetowanie reklam będzie wymagało uprzedniej zgody checkboxowej? Nie odpowiem ci na to pytanie w tym artykule, zostawiając sobie ten temat na przyszłość. Powiem ci natomiast, że temat jest złożony i pojawiają się różne głosy w tym zakresie – rygorystyczne, jak i bardziej liberalne. Temat jest tym bardziej ciekawy, gdy połączy się go z pracami nad europejską dyrektywą dotyczącą m.in. plików cookies.

Jedno jest pewne – nawet jeżeli wypracowane zostanie stabilne rozwiązanie lub chociaż interpretacja, że profilowanie marketingowe nie wymaga oddzielnej zgody, to i tak obowiązkowe będzie szczegółowe informowanie użytkownika o tym profilowaniu, jego zakresie i celach. Ponadto, użytkownik będzie mieć prawo żądać, byś przestał go profilować.

Dowiedz się więcej

Więcej o plikach cookies, śledzeniu i profilowaniu przeczytasz w kompletnym poradniku prawnym na temat ciasteczek: Pliki cookies, śledzenie i profilowanie w Internecie – poradnik prawny.

No i znowu pojawi się pytanie, o którym wspominałem przy okazji tłumaczenia wcześniej obowiązku informacyjnego, w jaki sposób dostarczać użytkownikom wymaganych informacji. Klauzula, popup, odesłanie do polityki prywatności, infografiki na stronie – sposobów do przedyskutowania jest dużo.

Słowo klucz jest  jedno – transparentność. Użytkownik nie ma się domyślać i kombinować. Masz mu pokazać w prosty i przyjazny sposób informację o profilowaniu, jak również pozostałe informacje w ramach obowiązku informacyjnego.

Privacy by design i privacy by default – zasady RODO

Tak, wiem – w poprzednim bloku pisałem, że profilowanie to już tak na koniec artykułu. Pomyślałem sobie jednak, że muszę wspomnieć o tych dwóch magicznych anglojęzycznych terminach. Choćby po to, by nie spotkać się z zarzutem, że rozpisałem się, ale o tak kluczowych kwestiach zapomniałem.

O co zatem chodzi? O to, o czym już pisałem wielokrotnie w tym artykule, czyli o podstawowe cele i wartości stojące za RODO. Pamiętasz, co mam na myśli? Tak, adekwatność. Tak, proporcjonalność. Tak, rzeczywiste i realne działania. No a to wszystko ma służyć ochronie prywatności użytkowników.

No właśnie, prywatność. Jako metoda i pewne domyślność w projektowaniu. Chodzi o to, by każdy, kto projektuje jakieś narzędzia lub procesy związane z przetwarzaniem danych osobowych, poszanowanie prywatności uwzględniał już na etapie założeń. Czyli robimy wszystko tak, by tę prywatność chronić w jak największym stopniu.

Prywatność jako coś domyślnego? Tutaj chodzi o to, że na wstępie powinniśmy zbierać jak najmniej danych, jak najmniej ingerować w prywatność i dopiero potem użytkownik może pozwolić nam na więcej. Czyli na starcie zakładamy jak najmniej inwazyjne metody, a wszystkie inne traktujemy jako ostateczną ostateczność.

Poradnik RODO – podsumowanie

Podjąłem się w tym artykule próby przedstawienia najważniejszych tematów związanych z RODO w jednym miejscu. Wiesz, biorąc pod uwagę, że o RODO powstają całe książki, zadanie nie było łatwe.

Podjąłem jednak wyzwanie, bo dla mnie największym problemem przy analizowaniu zagadnień, na których się nie znam, jest rozproszenie źródeł i konieczność skakania po całym Internecie.

Wyszedłem z założenia, że możesz mieć ten sam problem z RODO. Mam nadzieję, że ten materiał odejmuje trochę nerwów i ogarnia chaos. Na wszelkie twoje uwagi, pytania lub wątpliwości z przyjemnością odpowiem w komentarzu lub na mailu pod adresem wojciech.wawrzak@prakreacja.pl.

Pakiet dokumentów

Jeżeli chcesz wdrożyć w swojej działalności, być może przyda ci się pakiet RODO.

Bonus: praktyczne opracowanie

Dodatkiem do tego artykułu jest opracowanie o najczęściej występujących naruszeniach ochrony danych osobowych.

Dodatek dostępny jest dla subskrybentów newslettera.

Prakreacja.pl

Niestety, ale wybrałeś/aś brak obsługi systemu komentarzy Disqus w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu komentarze.