25 maja 2018 wejdzie w życie nowe Rozporządzenie Ogólne o Ochronie Danych Osobowych, które wprowadza znaczące zmiany w zakresie ich ochrony. Dotyczy to m.in. rozszerzenia zakresu podmiotów objętych obowiązkami w zakresie ochrony danych oraz ponosi wysokość kar pieniężnych do 20 mln euro lub 4% globalnego obrotu z poprzedniego roku obrotowego. Jak przygotować się do nadchodzących zmian?
Problem ochrony danych osobowych dotyczy nas wszystkich. Zdecydowana większość osób zapytana o to, czy ich dane osobowe powinny być chronione odpowiedziałaby bez wahania, że tak. W końcu nikt nie lubi być zalewany falą spamu w postaci reklam i niechcianych newsletterów oraz absorbowany telefonami od nieznanych osób, próbujących sprzedać produkty, którymi nie jesteśmy zainteresowani. Takie uciążliwe zachowania są powodem regularnych narzekań. Jednak mało kto zastanawia się nad tym, z czego one wynikają oraz czy są one zgodne z obowiązującym prawem.
Zaskakująco niski procent podmiotów – a mówimy tutaj zarówno osobach prywatnych, jak i przedsiębiorcach – zdaje sobie sprawę z praw i obowiązków w zakresie ochrony danych osobowych. Co więcej, wiele osób, w tym przedsiębiorców uważa, że regulacje dotyczące ochrony danych osobowych stanowią swego rodzaju wytyczne, które powinny być stosowane, jednak nieprzestrzeganie ich nie spowoduje negatywnych konsekwencji. Rzeczywiście, praktyka egzekwowania obowiązków wynikających z obecnie obowiązującej ustawy o ochronie danych osobowych pokazuje, że za ich nieprzestrzeganie rzadko nakładano sankcje, których dotkliwość mogłaby odstraszyć od różnego rodzaju (nie zawsze świadomych) naruszeń, począwszy od nieprzestrzegania obowiązków dotyczących czynności zbierania i retencji danych, a skończywszy na przekazywaniu ich innym podmiotom bez zgody osoby, której zebrane dane dotyczą.
Zgodnie ze sprawozdaniem z działalności Generalnego Inspektora Ochrony Danych Osobowych w roku 2015, w tym okresie GIODO przeprowadził łącznie 175 kontroli zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych, w związku z którymi wydano 57 decyzji.
Uspójnienie unijnych przepisów
Jednak należy przypuszczać, że taki stan nie będzie już trwał długo, a to za sprawą nowego rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie ochrony danych osobowych. Stoimy obecnie u progu nowej ery ochrony danych osobowych. W kwietniu 2016, po czterech latach prac – w tym ognistych dyskusji pomiędzy poszczególnymi grupami interesów – Parlament Europejski i Rada Unii Europejskiej przyjęły Rozporządzenie Ogólne o Ochronie Danych Osobowych (2016/679). Jest ono zwane w skrócie GDPR (General Data Protection Regulation) lub – w dość chwytliwej wersji polskiej – RODeO. Jest to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Skuteczna ochrona danych osobowych w świecie, w którym nieustanna wymiana informacji na portalach społecznościowych jest codziennością, usługi chmurowe – standardem, a zjawiska związane z Internetem rzeczy przestały być już jedynie „pieśnią przyszłości”, a stały się rzeczywistością, to prawdziwe wyzwanie, które powinniśmy podjąć dla własnego bezpieczeństwa. Dane osobowe przetwarzane są nieustannie w coraz większych ilościach. Jest to proces, którego z pewnością nie da się już cofnąć. Można jedynie próbować umieścić go w ramach, które będą dawały szansę na zapewnienie bezpieczeństwa takiego przetwarzania.
Celem GDPR jest wprowadzenie jednolitych dla wszystkich państw członkowskich Unii Europejskiej regulacji w zakresie ochrony danych osobowych. Zastępują one obecnie obowiązujące w tych krajach ustawy, w tym polską Ustawę o ochronie danych osobowych. Warto zatem zauważyć, że zdecydowano się zunifikować wymagania dot. ochrony danych osobowych na terenie UE – co do zasady, nie będzie już znaczących odrębności w zależności od zakresu regulacji krajowej (co nie oznacza, że nie będzie żadnych wyjątków).
Dostosowanie do świata nowych technologii
Zgodnie z założeniami nowa regulacja ma dostosować regulację z 1995 r. do potrzeb ery cyfrowej i dynamicznie globalizującego się świata nowych technologii. Ostatnie 20 lat przyniosło postęp technologiczny o niespotykanej dotąd skali i zasięgu. Trudno zatem się dziwić, że regulacja prawna, która konstruowana była w czasach, gdy internet dopiero się rozkręcał, już dawno straciła na aktualności i przestała spełniać swoją rolę. Skuteczna ochrona danych osobowych w świecie, w którym nieustanna wymiana informacji na portalach społecznościowych jest codziennością, usługi chmurowe – standardem, a zjawiska związane z Internetem rzeczy przestały być już jedynie „pieśnią przyszłości”, a stały się rzeczywistością, to prawdziwe wyzwanie, które powinniśmy podjąć dla własnego bezpieczeństwa. Dane osobowe przetwarzane są nieustannie w coraz większych ilościach. Jest to proces, którego z pewnością nie da się już cofnąć. Można jedynie próbować umieścić go w ramach, które będą dawały szansę na zapewnienie bezpieczeństwa takiego przetwarzania.
GDPR stanowi zatem długo oczekiwaną odpowiedź na problemy przynoszone przez obecną rzeczywistość. Jak każda zmiana, tak i ta rodzi wiele obaw i wątpliwości. Warto zatem zastanowić się nad tym, które kwestie są najistotniejsze z punktu widzenia przedsiębiorców oraz jak powinni się oni przygotować do dostosowania swojego biznesu do wymogów nowego rozporządzenia.
Kogo i czego dotyczą nadchodzące zmiany?
Zmiany wprowadzone przez GDPR dotyczą zarówno osób fizycznych, których uprawnienia w zakresie ochrony danych osobowych znacząco wzrosną, jak i przedsiębiorców. Jedną z najistotniejszych kwestii jest modyfikacja zakresu obowiązków i odpowiedzialności pomiotów przetwarzających dane osobowe. Jednostkami objętymi nową regulacją będą wszystkie podmioty przetwarzające dane osobowe niezależnie od tego, czy są one administratorami danych osobowych, czy przetwarzają je na zlecenie administratora, np. dostawcy usług outsourcingowych czy cloudowych.
Ustawodawca poszedł jeszcze dalej i rozciągnął zakres terytorialny obowiązywania rozporządzenia, które obejmie również podmioty spoza Unii Europejskiej, o ile przetwarzanie danych będzie związane z oferowaniem towarów lub usług, lub z monitorowaniem zachowania osób fizycznych z krajów unijnych. Należy zatem zauważyć, że kraj siedziby administratora przestaje mieć kluczowe znaczenie dla objęcia danego pomiotu zasięgiem GDPR.
Zaskakująco niski procent podmiotów – a mówimy tutaj zarówno osobach prywatnych, jak i przedsiębiorcach – zdaje sobie sprawę z praw i obowiązków w zakresie ochrony danych osobowych. Co więcej, wiele osób, w tym przedsiębiorców uważa, że regulacje dotyczące ochrony danych osobowych stanowią swego rodzaju wytyczne, które powinny być stosowane, jednak nieprzestrzeganie ich nie spowoduje negatywnych konsekwencji. Rzeczywiście, praktyka egzekwowania obowiązków wynikających z obecnie obowiązującej ustawy o ochronie danych osobowych pokazuje, że za ich nieprzestrzeganie rzadko nakładano sankcje.
Poniżej znajduje się lista wybranych zagadnień, na które powinny zwrócić uwagę pomioty przetwarzające dane osobowe w ramach działalności gospodarczej:
- 1. Obowiązkowe wyznaczenie Inspektora Ochrony Danych przez podmioty publiczne i przedsiębiorców, których główna działalność polega na przetwarzaniu danych osobowych.
- 2. Wprowadzenie koncepcji Privacy by design oraz Privacy by default, oznaczających konieczność wprowadzania rozwiązań technicznych i organizacyjnych, które uwzględniałyby mechanizmy ochrony prywatności już na etapie projektowania systemów oraz procesów przetwarzania danych osobowych.
- 3. Obowiązek zgłaszania organowi nadzorczemu istotnych naruszeń ochrony danych osobowych w terminie 72 godzin od stwierdzenia naruszenia oraz nowy obowiązek poinformowania o tych naruszeniach podmiotów danych, czyli najczęściej własnych klientów.
- 4. Zmiana zakresu obowiązków i odpowiedzialności podmiotów przetwarzających dane osobowe na zlecenie administratora, jak np. dostawców usług chmurowych czy outsourcingowych, którzy od tej pory będą ponosić odpowiedzialność w zakresie przetwarzania danych osobowych, zatem sankcje pieniężne będą mogły być nakładane bezpośrednio na nich, a nie tylko na klientów dostawców takich usług będących administratorami danych;
- 5. Doprecyzowanie wymogu skutecznego wyrażenia zgody na przetwarzanie danych osobowych, co jest istotne w szczególności dla podmiotów prowadzących szeroką działalność marketingową.
- 6. Likwidacja obowiązku rejestracji zbioru danych, który zastąpiono nowymi obowiązkami w zakresie dokumentowania przetwarzania danych osobowych oraz oceny ryzyka związanego z tym przetwarzaniem (Impact Assessment).
- 7. Nowe mechanizmy w zakresie transferu danych osobowych do państw trzecich, czyli państw spoza EOG).
- 8. Bardzo wysokie kary pieniężne – do 20 mln euro lub do 4% całkowitego rocznego globalnego obrotu przedsiębiorstwa z poprzedniego roku obrotowego za niezgodne z GDPR przetwarzanie danych osobowych.
Co warto zrobić już teraz?
Do pełnego obowiązywania nowego rozporządzenia pozostały niecałe dwa lata, zatem aby uniknąć niepożądanych konsekwencji w przyszłości zalecane jest podjęcie odpowiednich działań dostosowawczych już teraz.
Przede wszystkim każdy przedsiębiorca powinien zastanowić się, jak dotychczas zbierane, przechowywane, przetwarzane i wykorzystywane były przez niego dane osobowe. Wbrew pozorom nie każdy podmiot zdaje sobie sprawę, że przetwarza dane osobowe, jaki jest cel i miejsce tego przetwarzania oraz co dzieje się z danymi po tym, jak zostaną przez niego zebrane, a taką wiedzę w świetle prawa mieć powinien. W tym celu należy między innymi przeanalizować zawierane dotychczas umowy powierzenia przetwarzania danych osobowych oraz procedurę udzielania zgód na takie przetwarzanie, a także miejsce przetwarzania zbieranych danych, czas oraz sposób ich przechowywania. Należy wziąć również pod uwagę, że postanowienia dotykające kwestii z zakresu ochrony danych osobowych mogą znajdować się poza samą umową przetwarzania danych osobowych, zatem należałoby dokonać przeglądu zawartych umów, które mogą obowiązywać także po 25 maja 2018 w celu weryfikacji ich dostosowania do wymagań GDPR.
Celem regulacji unijnej GDPR jest wprowadzenie jednolitych dla wszystkich państw członkowskich Unii Europejskiej regulacji w zakresie ochrony danych osobowych. Zastępują one obecnie obowiązujące w tych krajach ustawy, w tym polską Ustawę o ochronie danych osobowych. Warto zatem zauważyć, że zdecydowano się zunifikować wymagania dot. ochrony danych osobowych na terenie UE – co do zasady, nie będzie już znaczących odrębności w zależności od zakresu regulacji krajowej (co nie oznacza, że nie będzie żadnych wyjątków).
W kolejnym kroku należałoby przeanalizować, czy dotychczasowe działania spełniają wymagania nowego rozporządzenia oraz – przy okazji – wymagania obecnie funkcjonującej ustawy. Istnieje szansa, że jeśli przedsiębiorca do tej pory przestrzegał regulacji dotyczących ochrony danych osobowych, będzie musiał on dokonać pewnych zmian w dotychczasowej polityce, jednak nie będą to zmiany rewolucyjne. Jeśli natomiast kwestię ochrony danych osobowych dotychczas zaniedbywano, czeka nas sporo pracy w celu dostosowania się do wymagań GDPR, którego celem jest zwiększenie skuteczności ochrony, za czym idą dodatkowe obowiązki dla podmiotu przetwarzającego dane.
Kolejnym krokiem powinno być zaprojektowanie planu działań mającego na celu przełożenie ustaleń poczynionych w czasie powyższego audytu na realne zmiany w polityce ochrony danych osobowych stosowanej w danym przedsiębiorstwie. Działania te – w zależności od postawionej diagnozy – obejmować mogą zarówno działania dotyczące procesów oraz umów już istniejących, jak np. renegocjacje umów w celu ich dostosowania do zaktualizowanych wymagań prawnych, jak i działania przyszłościowe, takie jak wdrożenie koncepcji Privacy by design oraz Privacy by default do procesów projektowania oraz wdrażania rozwiązań technologicznych lub modeli biznesowych.
Dwa lata – tyle czasu ustawodawca pozostawił przedsiębiorcom na przygotowanie się do nowych regulacji i nie jest to czas długi, biorąc pod uwagę skalę wprowadzonych zmian. Należy podkreślić, że w przypadku GDPR nie chodzi jedynie o zmianę zakresu obowiązków związanych z przetwarzaniem danych osobowych, a o zmianę całościowego podejścia do ochrony tych danych.
W świetle wydarzeń, które miały miejsce w ostatnich latach – afery wokół PRISM, perturbacji związanych z końcem programu Safe Harbour oraz niezliczonej ilości cyberataków, których celem było i jest wykradzenie danych, w tym danych osobowych – wzmocnienie standardów ochrony danych wydaje się być sprawą najwyższej wagi. Organizacje będą musiały przyzwyczaić się do wysokiego poziomu transparentności w zakresie wszystkich kwestii dot. przetwarzania danych osobowych oraz do przestrzegania wielu obowiązków z tym przetwarzaniem związanych, w tym do obowiązku informacyjnego względem osób, których te dane dotyczą.
W świetle wydarzeń, które miały miejsce w ostatnich latach – afery wokół PRISM, perturbacji związanych z końcem programu Safe Harbour oraz niezliczonej ilości cyberataków, których celem było i jest wykradzenie danych, w tym danych osobowych – wzmocnienie standardów ochrony danych wydaje się być sprawą najwyższej wagi. Organizacje będą musiały przyzwyczaić się do wysokiego poziomu transparentności w zakresie wszystkich kwestii dot. przetwarzania danych osobowych oraz do przestrzegania wielu obowiązków z tym przetwarzaniem związanych, w tym do obowiązku informacyjnego względem osób, których te dane dotyczą.
Zmiany związane z GDPR dotkną wszystkie organizacje biznesowe przetwarzające dane osobowe (czyli znaczącą większość firm) bez względu na zakres i profil działalności gospodarczej. Czas zatem na wielkie porządki, które – miejmy nadzieję – wprowadzą elementarny ład do znienawidzonej krainy ochrony danych osobowych, do której mało który przedsiębiorca zapuszcza się z własnej, nieprzymuszonej woli.
Karolina Alama jest prawnikiem w kancelarii Maruta Wachta.
