Kontakt
Jarosław Kamiński

Adwokat
Senior Associate
Phone: +48 22 244 00 27
E-Mail

Tylko do maja 2018 roku przedsiębiorcy mają czas na dostosowanie swojej firmy do nowych unijnych przepisów w zakresie ochrony i przetwarzania danych osobowych. Warto już teraz zacząć wdrażać odpowiednie rozwiązania organizacyjne i techniczne oraz szkolenie pracowników, aby stosowanie nowych przepisów przebiegało bez problemów. 

Rozporządzenie Parlamentu Europejskiego i Rady (UE) o ochronie danych (RODO) zacznie obowiązywać od 25. maja 2018 roku. RODO wprowadza zupełnie nowe podejście do ochrony i przetwarzania danych osobowych. Pojawi się przede wszystkim obowiązek samooceny przez administratora danych skutków przetwarzania dla ochrony danych i ewentualnego ryzyka z tym związanego (ang.: risk-based approach). Analiza ryzyka obejmuje weryfikację przetwarzanych danych, ocenę zagrożeń związanych z przetwarzaniem konkretnych danych osobowych oraz planowane środki, zabezpieczenia i mechanizmy, które zostaną zastosowane w celu zminimalizowania zagrożeń.

Ocenę skutków dla ochrony danych trzeba będzie przeprowadzić przed rozpoczęciem ich przetwarzania. Będzie ona obowiązkowa w przypadkach, gdy charakter, zakres, kontekst i cele danego rodzaju przetwarzania z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a także gdy decyzją organu nadzoru dany rodzaj operacji przetwarzania podlega obowiązkowej ocenie.

Profilowanie danych osobowych osób fizycznych

Rozporządzenie reguluje zasady profilowania. W przepisach pojawia się definicja tego pojęcia. W myśl przepisów profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Profilowanie będzie legalne, gdy:

  • wyraźnie dopuszcza to prawo,
  • jest niezbędne do zawarcia i wykonania umowy między osobą, której dane dotyczą, a administratorem danych,
  • osoba, której dane dotyczą wyraziła zgodę na profilowanie.

Prawo do bycia zapomnianym - administrator musi usunąć dane osobowe

Nowe przepisy zwiększają uprawnienia osób, których dane dotyczą. Będą one miały nie tylko prawo dostępu do informacji (wglądu w dane), sprostowania danych, ograniczenia przetwarzania, ale także prawo do usunięcia danych (tj. „prawo do bycia zapomnianym”). Dana osoba będzie mogła żądać od administratora niezwłocznego usunięcia dotyczących jej danych. Co więcej, w przypadku upublicznienia danych, to na administratorze, do którego wpłynęło żądanie do usunięcia danych będzie ciążył obowiązek podjęcia dalszych działań związanych z poinformowaniem innych administratorów przetwarzających dane tej osoby, o tym, że osoba której dane dotyczą, żąda usunięcia przez dalszych administratorów wszelkich łączy do jej danych, ich kopii lub ich replikacji.

Dana osoba będzie mogła też zwrócić się z żądaniem, by jej dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe (tzw. prawo do przeniesienia danych). Chodzi na przykład o sytuację, gdy klient zmienia operatora sieci komórkowej i chce, aby dotychczasowy operator przesłał dane nowemu operatorowi.

RODO będzie wymagać od przedsiębiorców podjęcia szeregu działań i wdrożenia nowych procedur zarówno prawnych, jak i informatycznych, m.in:

  • weryfikacji przesłanek i podstaw przetwarzania danych osobowych,
  • weryfikacji konieczności i zasadności powołania inspektora ochrony danych,
  • analizy i weryfikacji dokumentacji kadrowej i zasad procesu rekrutacji,
  • przeprowadzenia szkoleń dla pracowników,
  • weryfikacji umów powierzenia przetwarzania danych osobowych oraz klauzul informacyjnych i klauzul zgody na przetwarzanie danych na gruncie RODO,
  • opracowania dokumentacji związanej z ochroną danych na gruncie RODO (np. analiza ryzyka) oraz systematycznej (np. raz na kwartał/pół roku) jej weryfikacji.

W kontekście systemów IT szczególne znaczenie będzie miała dogłębna analiza ryzyka związana z ewentualnymi incydentami upublicznienia lub utraty danych. Trzeba je będzie ocenić na podstawie aktualnego stanu wiedzy technicznej i znajomości realnych zagrożeń. Wzorcowo wdrożony proces analizy zagrożeń powinien uwzględniać także stałe monitorowanie informacji o wykrytych lukach w bezpieczeństwie systemów i aplikacji oraz umożliwiać szybką reakcję na pojawiające się zagrożenia o wysokim stopniu ryzyka dla bezpieczeństwa danych.

Wyzwaniem staje się zatem również wdrożenie takich środków technicznych i organizacyjnych (formalnych), które w najlepszy możliwy sposób będą chronić dane osobowe przed incydentami związanymi z ich bezpieczeństwem. Dobór tych środków spocznie w całości na przedsiębiorcach. Co więcej, dużą zmianą dla przedsiębiorców może być wprowadzenie obowiązku monitorowania incydentów związanych z bezpieczeństwem przetwarzanych danych.

Administrator będzie miał jedynie 72 godziny na zgłoszenie organowi nadzorczemu wykrytego „wycieku” danych, włączając w to czas potrzebny na konieczną analizę skali problemu, określenie liczby i rodzaju danych, które „wyciekły”. Jeżeli zaś problem mógłby skutkować „wysokim ryzykiem naruszenia praw lub wolności osób fizycznych", to administrator będzie miał obowiązek poinformowania o zagrożeniu także poszczególnych osób, których to dotyczy. Co więcej, konieczne będzie także podniesienie poziomu świadomości zagrożeń wśród pracowników tak, aby ewentualny incydent został rozpoznany i niezwłocznie zgłoszony administratorowi.

Odpowiedzialność i kary za nieprzestrzeganie przepisów RODO

Za naruszenie przepisów RODO zostały przewidziane sankcje o charakterze cywilnoprawnym i administracyjnym. Odpowiedzialność cywilnoprawna będzie dotyczyła każdej osoby, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO. Będzie miała ona prawo uzyskać odszkodowanie za poniesioną szkodę od administratora lub podmiotu przetwarzającego. W przypadku przetwarzania danych przez więcej niż jednego administratora lub podmiotu przetwarzającego – odpowiedzialność będzie solidarna. Podmiotowi, który zapłacił całe odszkodowanie przysługiwać będzie prawo żądania od pozostałych administratorów lub podmiotów przetwarzających uczestniczących w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.

Z kolei odpowiedzialność administracyjna ma się sprowadzać do kar pieniężnych nakładanych przez organ nadzorczy.

Nieprzestrzeganie przepisów RODO - co wpłynie na karę

Przy nakładaniu kar i określaniu ich wysokości organ weźmie pod uwagę, m.in.:

  • charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą oraz rozmiaru poniesionej przez nie szkody,
  • umyślny lub nieumyślny charakter naruszenia,
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych,
  • wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
  • stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji  oraz
  • wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięcie straty.

Wysokość kary została uzależniona od rodzaju naruszenia i wynosić będzie nawet do 20 mln euro, a w przypadku przedsiębiorstwa – do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Kogo dotyczy RODO

Obowiązek przetwarzania danych osobowych zgodnie z nowymi przepisami będzie spoczywać na:

  • administratorach danych mających siedzibę na terenie UE, niezależnie od tego, czy przetwarzanie ma miejsce w UE,
  • administratorach danych niemających siedziby na terenie UE, którzy przetwarzają dane osób przebywających w UE, jeżeli:
    • ma to związek z oferowaniem produktów lub usług osobom przebywającym w UE, bez względu na fakt odpłatności lub jej braku,
    • monitorowane jest zachowanie osób przebywających w UE, o ile ich zachowanie ma miejsce na terenie UE (np. przeglądarki internetowe, Google),
  • administratorach danych niemających siedziby na terenie UE, ale posiadających jednostkę organizacyjną w miejscu, gdzie na podstawie prawa międzynarodowego ma zastosowanie prawo kraju członkowskiego UE.

W przypadku gdyby byli Państwo zainteresowani naszą pomocą w przeanalizowaniu praktyk stosowanych w Państwa przedsiębiorstwie oraz dokumentacji dotyczącej ochrony danych osobowych pod kątem ich zgodności z obecnymi, a także nadchodzącymi regulacjami, służymy wsparciem i doradztwem prawnym. Nasi adwokaci jak i radcowie prawni oferują doradztwo prawne także w innych dziedzinach. Są dostępni dla Państwa w biurach Rödl & Partner: Gdańsk, Gliwice, Kraków, Poznań, Warszawa, Wrocław.

13.07.2017