Zgodnie z RODO, maksymalna kara nakładana na podmioty naruszające przepisy o ochronie danych osobowych, może wynieść do 20 mln euro, lub 4 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku. W praktyce nakładane kary nie są wymierzane w maksymalnej wysokości, choć trudno uznać je za symboliczne.

Ich wysokość zależy od wielu czynników, np. charakteru naruszenia, jego wagi czy czasu trwania. Istotne są także działania podjęte w celu zminimalizowania skutków naruszenia oraz współpraca z organem nadzorczym w toku postępowania.

Przykładowo, irlandzki organ nadzorczy nałożył na Meta Platforms Ireland Limited (Meta IE) – administratora Facebooka i Instagrama – kary pieniężne w wysokości odpowiednio 210 mln euro oraz 180 mln euro, za brak zgodności z prawem i przejrzystości przetwarzania danych osobowych do celów reklamy behawioralnej.

W oparciu o podobny stan faktyczny karę o wiele mniejszą, bo 5,5 mln euro, nałożono na WhatsApp IE, który wymusił na użytkownikach akceptację nowych warunków korzystania z aplikacji. W przypadku braku zgody użytkownicy utraciliby dostęp do aplikacji, w tym do treści swoich rozmów i zdjęć.

@@

Naruszanie przepisów RODO

Za oczywiste naruszenie przepisów RODO z pewnością uznaje się te sytuacje, w których dane osobowe użytkowników trafiły w niepowołane ręce, wskutek błędu (np. biuro rachunkowe wysłało formularze PIT, zawierające dane osobowe nie do tych osób, do których powinno), albo wskutek niewłaściwego zabezpieczenia od strony informatycznej, co skutkowało np. wyciekiem danych z bazy klientów.

Jeśli dochodzi do naruszenia ochrony danych osobowych, wówczas kluczowa jest analiza, czy dany incydent wymaga zgłoszenia do Urzędu Ochrony Danych Osobowych. Zgłoszeniu nie podlegają sytuacje, w których jest mało prawdopodobne, by incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. W pozostałych wypadkach administrator powinien poinformować organ nadzorczy bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.

Dokonanie zgłoszenia nie jest równoznaczne z nałożeniem kary przez organ nadzorczy. Natomiast brak dokonania prawidłowej oceny naruszenia czy zaniechanie zgłoszenia zwiększa prawdopodobieństwo nałożenia kary. Każdy przypadek powinien być jednak analizowany i oceniany indywidualnie.

Przykładowo 136 tys. zł kary nałożono na spółkę Enea, za brak zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, polegającego na wysłaniu wiadomości e-mail z niezabezpieczonym hasłem i niezaszyfrowanym załącznikiem, zawierającym dane osobowe kilkuset osób.

W innym przypadku UODO nałożył na P4 Sp. z o.o., operatora sieci Play, karę w wysokości 250 tys. zł, za niezawiadomienie organu nadzorczego o naruszeniu danych osobowych
w terminie 24 godzin od wykrycia naruszenia, tj. w terminie wymaganym przez przepisy Prawa telekomunikacyjnego.

Szybka informacja

Przypadek spółki P4 może być pouczający dla wielu firm. Sprawa dotyczyła przesłania kompletu dokumentów klienta na niewłaściwy adres e-mail, który sam klient błędnie podał w trakcie procesu zawierania umowy. I to ten sam klient zawiadomił spółkę, że podany przez niego adres e-mail jest błędny. Spółka nie dokonała zgłoszenia naruszenia do UODO i nie powiadomiła o nim klienta. Incydent został zgłoszony dopiero po wszczęciu postępowania przez UODO.

Tymczasem z przepisów Prawa telekomunikacyjnego wynika, że o naruszeniu danych osobowych należy zawiadomić UODO, nie później niż 24 godziny po wykryciu naruszenia danych osobowych. Na wymierzoną karę wpływ miało także to, że nie był to pierwszy taki przypadek w dotychczasowej działalności tej spółki.

UODO w uzasadnieniu swojej decyzji podkreślił, że operator sieci Play, jako administrator danych, dwukrotnie uzyskał informacje, które powinny pozwolić mu na wykrycie naruszenia. Po raz pierwszy, gdy klient sam poinformował, że adres e-mail wskazany w procesie podpisywania umowy jest nieprawidłowy. I po raz drugi, kiedy administrator otrzymał pismo od UODO, wzywające do złożenia wyjaśnień dotyczących naruszenia ochrony danych osobowych.

Organ nadzorczy wielokrotnie w decyzjach podkreślał, jak ważne jest przejrzyste informowanie przez administratorów danych osobowych, jaki jest cel przetwarzania danych osobowych, które gromadzą. Jedna ze skarg dotycząca WhatsApp związana była właśnie z tym że spółka w sposób niewystarczający poinformowała użytkowników, w jaki sposób następuje przekazanie ich danych do Facebooka, za co WhatsApp otrzymał karę w wysokości 225 mln euro.

Od dawna organizacje pozarządowe, prawnicy, ale i użytkownicy, wskazują na problem gigantów technologicznych, takich jak Amazon, Meta, Google czy Microsoft, których biznesowy cel wiąże się nierozerwalnie z przekazywaniem danych, z uwagi na świadczenie kilku, powiązanych ze sobą usług.

@@

Prawidłowe pozyskiwanie danych

Zgoda na udostępnianie tych danych nie może być „wymuszana”, czy „ukryta”, a użytkownicy powinni podejmować świadome decyzje, o korzystaniu z danej platformy, po uprzednim precyzyjnym uzyskaniu informacji, kto jest administratorem ich danych osobowych, oraz w jakim celu administrator przetwarza ich dane osobowe i komu je udostępnia.

Jako przykład z polskiego podwórka można wskazać karę, jaką w listopadzie 2022 r. nałożył UODO na tzw. kancelarię odszkodowawczą. Kara wyniosła 45 tys. zł i została nałożona w związku z tym, że nastąpiło niezgodne z prawem pozyskanie i przetwarzanie danych osobowych osób poszkodowanych w wypadkach komunikacyjnych, w celu złożenia im oferty świadczenia usług.

W tym przypadku spółka pozyskiwała dane potencjalnych klientów – najczęściej poszkodowanych w wypadkach komunikacyjnych – z wiadomości medialnych publikowanych na portalach internetowych, w mediach społecznościowych, czy bezpośrednio z rozmów z sąsiadami tych osób.

Pozyskane w ten sposób informacje pozwalały na identyfikację miejsce zamieszkania, co wykorzystywano do nawiązania bezpośredniego kontaktu i złożenia oferty świadczenia pomocy prawnej. Zanim została złożona oferta potencjalnym klientom, pytano ich o zgodę, jednak jedynie ustnie, co dla UODO było niewystarczające, zwłaszcza że spółka nie prowadziła ewidencji takich zgód.

Dopóki mamy do czynienia z potencjalnym klientem, nie możemy przetwarzać danych, powołując się na niezbędność wykonania umowy, ponieważ nie jest ona jeszcze zawarta. W omawianym przypadku UODO podkreślił, że dane osobowe były pozyskiwane i przetwarzane przez spółkę, dla oceny stopnia opłacalności zawarcia umowy z potencjalnym klientem, oraz w celu nawiązania z nim ponownie kontaktu i ustalenia, czy w ogóle chce on zawrzeć umowę. Urząd po przeanalizowaniu sprawy stwierdził naruszenie zasad przetwarzania danych osobowych, wskazując przetwarzanie danych potencjalnych klientów bez podstawy prawnej.

Decyzje UODO

Najwyższa dotychczas kara w wysokości ponad 4,9 mln zł została nałożona przez polski organ nadzoru na Fortum Marketing and Sales Polska SA. Urząd podkreślił, że spółka nie egzekwowała od podmiotu przetwarzającego realizacji umów, nie stosowała się do własnej praktyki wdrażania zmian w środowisku IT, opartej o wewnętrzne regulacje, oraz nie weryfikowała podmiotu przetwarzającego w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi. Urząd ukarał również podmiot przetwarzający karą w wysokości 250 tys. zł.

Jednocześnie inna głośna decyzja UODO, nakładająca dotkliwą karę na sklep Morele.net, została w lutym 2023 r. uchylona przez Naczelny Sąd Administracyjny. Jak wynika z uzasadnienia wyroku, kluczowym dla nałożenia kary za naruszenie ochrony danych i ustalenia jej wymiaru, powinna być, nie tyle skala skutków naruszenia, ile niedochowanie wymaganych zabezpieczeń.

NSA podkreślił, że w skomplikowanych stanach faktycznych UODO może nie dysponować odpowiednią wiedzą i doświadczeniem pozwalającym na samodzielną ocenę, czy stosowane środki bezpieczeństwa były wystarczające – dlatego też w postępowaniu konieczne było sporządzenie opinii przez biegłego sądowego, co nie nastąpiło i uznane zostało za uchybienie wpływające na treść rozstrzygnięcia.

Co istotne, wskazano, że naruszenie ochrony danych osobowych, może mieć miejsce również przy zachowaniu najwyższego standardu stosowanych środków, a administrator nie może w takim przypadku być karany za nielegalne działanie osób trzecich (np. hakera). Takie zakończenie sprawy Morele.net być może mieć istotny wpływ na dalszą praktykę UODO w podobnych sprawach w przyszłości.

Dominika Chodkowska – adwokat z kancelarii Lawsome
Paulina Ostrowska – adwokat z kancelarii Lawsome

Ostatnie 10 lat w marketingu internetowym to ostre cięcie nożem z wytłoczonym na krawędzi ostrza napisem „bazy danych = mając dane, mamy wszystko”, jest to do tego stopnia prawdziwe twierdzenie, że w niektórych przypadkach zupełnie zastępuje jakoś przekazu reklamowego,
z którym firmy chcą dzielić się z potencjalnym klientem.

Dlaczego? Nie ważne bowiem, że nie kupisz u nas butów, nie zapiszesz się na jazdę próbną naszym samochodem – wykonasz zapewne szereg innych kroków zakupowych
w sieci, a my mając Twoje dane możemy na tym zyskać.
W praktyce dzisiaj nie zarabia się już tylko na sprzedaży własnych usług czy produktów, ale w coraz szerszej perspektywie również na komplementarnych ofertach, których firma nie jest właścicielem. Witaj w świecie nieskończonej prowizji za Twoje zakupy w Internecie, które może śledzić tylko jedna firma – ta, której dzisiaj udostępniasz własne dane (często również nieświadomie).

Nowe, ale czy lepsze

Aż nadchodzi RODO, które ma przynieść rewolucję w zapewnieniu skutecznych praw użytkownikom, stworzyć reguły w przetwarzaniu i powierzaniu danych, w ich ochronie, które przewracają się po twardych dyskach wszystkich komputerów świata, również Twojego i mojego.
Uważam, że dla Polski (ale i innych krajów EU) RODO miało stać się starszą (silniejszą) siostrą dla Ustawy o Ochronie Danych Osobowych z 1997 r., gdyż o pomstę do nieba o tym co wyprawiało GIODO wołały wszelkie głosy na rynku – głuche i niesłyszalne prawie nigdzie głosy użytkowników Internetu. GIODO nie miało żadnych możliwości działania, weryfikowania, dbania o prawa użytkowników Internetu, choćby dlatego, że nie miało odpowiednio wysokich budżetów na działania oraz narzędzi służących do wymierzania sprawiedliwości.

Czy któryś z przedsiębiorców wystraszył się otrzymując list wzywający do uzupełnienia braków w procesie przetwarzania danych osobowych? Czy jakaś firma otrzymał znaczną karę za nieprawidłowości w realizacji ustawowych zadań wobec użytkownika znajdującego się w bazie danych? Czy wreszcie któryś z klientów – który był przez pseudo-firmy atakowane mailingiem, telefonami z numerów zastrzeżonych, informacjami o rzekomym nieprzekazywaniu jego danych dalej – otrzymał za takie działania satysfakcjonujące odszkodowanie?

@@

GIODO umożliwiało wielu firmom korzystanie z dobroci jakie dawała ustawowa możliwość powierzenia przetwarzania danych osobowych, jednak o ile jeden z warunków „takiej czynności” był w istocie dopełniany (sporządzono umowę / określano zasady / bezpiecznie dane udostępniano i tworzona była procedura określająca dostęp i zabezpieczenia), to drugi warunek, obowiązkowy wobec użytkowników w takiej przekazywanej do przetwarzania bazie się znajdujących, tj. obowiązek informacyjny, był prawie zawsze pomijany.

Absurdy w świetle prawa

Spam królował przez wiele lat, a GIODO było wobec wszelkiego typu spamu bezsilne, dobitnym przykładem niech będzie formalny proces składania skargi na nieprawidłowości związane z przetwarzaniem danych. Aby zgłosić skargę na firmę przetwarzającą Twoje dane (bez wymaganych zgód oraz bez podawania na żądanie źródła pozyskania Twoich danych – mogły zostać bowiem skradzione lub nielegalnie sprzedane), można było pójść do siedziby GIODO i sporządzić w obecności urzędnika skargę w formie pisemnej, podając wszelkie okoliczności. Urzędnik musiał zapytać:
„Proszę powiedzieć, czy firma X przetwarza Pan(i)a dane?”;
„Już nie przetwarza, gdyż zgodnie z moim żądaniem zaprzestano przetwarzania i usunięto moje dane z ich bazy”;
„W takim razie nie możemy przyjąć skargi – skargę można bowiem złożyć na firmę, która Pan(i)a dane przetwarza – skoro już nie są te dane przetwarzane, to nie ma podstaw do złożenia skargi w tym zakresie”.
I myślisz sobie – brawo Wy, czyli GIODO, Ustawa, rzeczywiste prawa klienta/użytkownika. Światełko w tunelu pojawiło się gdy lokomotywa RODO zaczynała krzyczeć przeraźliwym dźwiękiem tak: „Kary nawet do kilkudziesięciu milionów euro!!!”. Ale czy RODO wniosło odpowiedni poziom bezpieczeństwa danych, na których bezpieczeństwie nam zależy? To dyskusyjny temat, który będzie kontynuowany szczególnie w pierwszych latach nowych przepisów, które dopiero zaczną tworzyć nowy ład i porządek – ale do tego ładu jeszcze daleko.

Wyrażam zgodę, czy raczej nie

„Wyrażam zgodę na przetwarzanie moich danych osobowych przez firmę X, a jednocześnie zgodę na otrzymywanie informacji handlowych drogą elektroniczną WY£¡CZNIE od firmy X”, zaznaczając taki checkbox, użytkownicy nie chcieli zaznaczać kolejnego, który mówił „o przetwarzaniu danych przez innych partnerów firmy” – dla wielu firm taki zapis oznaczał spore trudności w monetyzowaniu takiej bazy danych z użyciem innych niż dana firma ofert reklamowych.

Ale czy dobrze czytamy zgodę? Jeżeli produkuję wiertarki, mając zgodę od klienta na otrzymywanie oferty tylko od mojej firmy, to mogę wysłać takiemu klientowi dowolną ofertę reklamową od jakiejkolwiek innej firmy – bo to ciągle będzie oferta „wyłącznie ode mnie” nie ważne, że jest to oferta innej firmy. Proste, prawda? W taki sposób można ominąć każdą zgodę na otrzymywanie ofert handlowych „tylko od jednej firmy”, gdyż oferta nie musi dotyczyć oferty Twojej firmy, musi pochodzić od Ciebie – a to już jest nieścisłość i gigantyczne pole do manewru.

Czubek góry lodowej

O ile mówię o danych w postaci numer telefonu, e-mail, adresu fizycznego, to dopiero początek danych. Magiczny wymiar na cookie (czyli kaloryczne, danych pełne ciastko), prosty kod składający się z kilku znaków, zapisywany w naszych przeglądarkach.
Tutaj nikt o zgody nie pyta, gdyż świadomość rynku (użytkowników Internetu) jest na tyle mała, że nie dbają oni o wyświetlane im „niby to incydentalnie oraz przypadkowo” reklamy na stronach internetowych. W przypadku Twoich cookies liczba zaufanych partnerów, którym Twoje dane zostaną powierzone, to liczone w setkach (tysiącach) przedsiębiorstw oraz technologie, które będą Twoje ciastko wyciskać jak cytrynę. Nie wierzysz?

Sprawdź na dowolnym z horyzontalnych portali internetowych politykę prywatności i zakładkę „zaufani partnerzy” – Twoje dane mogą być wszędzie, bo każdy z zaufanych partnerów ma kolejnych X-set zaufanych partnerów, i tak dalej… Zatrzymywanie danych behawioralnych, adresów IP, cookies, maili czy dowolnej ilości leadów w bezpiecznym miejscu, w jednym kraju, w „bazie naszej firmy”, czy to jest możliwe?

To teoria, napisana właśnie po, aby procedurom stało się zadość, gdyż ustawowo tego od firm wymagają. Panowanie nad rzeczywistym bezpieczeństwem danych ma wymiar iluzoryczny, a już na pewno mocno dyskusyjny. Nie będzie skuteczności RODO bez świadomości użytkowników. Tylko czy komukolwiek zależy na tym, aby edukować użytkownika w inny sposób niż doprowadzenie jego procesu ścieżki zakupowej do przycisku „teraz zapłać”? Wierzę, że RODO będzie kiedyś edukować oraz chronić rynek, a nie tylko wyznaczać standardy, jak wcześniej w erze GIODO.

Autor posiada ponad 10 letnie doświadczenie na każdym szczeblu rozwoju działalności, w budowie strategii sprzedaży oraz digital marketingu dla b2b i b2c. Pomaga przedsiębiorstwom budowie strategii reklamowych od postaw (zarządzanie operacyjne, zespołami, procesami), doradza w procesie realizacji strategii działań reklamowych w Polsce oraz globalnie w zakresie online marketingu. Właściciel firmy www.one56.media

 

Marta (psychoterapeutka): „Rodo mnie nie dotyczy. Prowadzę jednoosobową działalność. Przyjmuję pacjentów, ale jakie ja dane przetwarzam?”
Kasia (trenerka, copywriterka): „Przecież i tak najpierw skontrolują duże firmy, instytucje państwowe. Kto dotrze do takich malutkich firm jak moja?”
£ukasz (neurolog): „Pytałem znajomych, co robią w związku z RODO. Większość kolegów po fachu nic nie zmieniła w swoich praktykach. Więc dlaczego ja miałbym coś robić?”
A Ty? Co czujesz, myśląc o RODO? Boisz się? Ukrywasz swoją niewiedzę jak najpilniej strzeżoną tajemnicę? Udajesz, że RODO cię nie dotyczy? Ignorujesz je i dalej prowadzisz swój biznes? Czy na ostatnią chwilę znalazłeś rozwiązania, które można wdrożyć ad hoc i zapomnieć?

RODO jest jak Yeti

Nie o to w RODO chodzi… To nie jest przykry obowiązek, martwy przepis, którym musisz wypełnić segregatory. RODO to proces, zmiana świadomości. Hasło RODO pojawia się niemal w każdym przekazie informacyjnym, publikacjach, rozmowach przy kasie. Wielu o RODO mówi, co wie, ale niewielu wie, co mówi. RODO jest jak Yeti – każdy o nim słyszał, wszyscy się go boją, ale zaręczam, że większość nie spotkała się z nim twarzą w twarz. O czytaniu czy analizie przepisów nie wspomnę.

Zastanawiasz się zapewne, czy jest się czego obawiać? Dlaczego wciąż straszą nas karami? Umówmy się: ludzie po prostu boją się kar. Kar finansowych zwłaszcza. Stąd wdrażanie RODO bez podstawowej wiedzy o ochronie danych. Stąd zakup pakietu RODO za kilkaset złotych, zakup szafki zgodnej z RODO czy niszczarki – także zgodnej z RODO. Myślisz, że to działa? Otóż nie. Okazuje się, że złoty środek nie istnieje. Każdy podmiot jest inny, na różne sposoby i na inną skalę przetwarza dane.

@@

Innych dokumentów potrzebujesz, jeśli tak jak Marta, prowadzisz gabinet terapeutyczny, innych, kiedy, podobnie jak Kasia – trenerka i copywriterka – wysyłasz newsletter. Wdrożysz znacznie więcej procedur, jeśli tak jak £ukasz, jesteś właścicielem gabinetu lekarskiego niż właściciel warsztatu samochodowego. Dlaczego? Ponieważ pracujesz na innych danych, z różną częstotliwością, prowadzisz inne procesy, masz inne cele przetwarzania danych.
Zacznijmy od początku. RODO to nie rozporządzenie o ochronie danych osobowych, lecz rozporządzenie o ochronie osób fizycznych w związku z przetwarzaniem danych. Nie chodzi zatem o to, by chronić i zamykać segregatory, teczki, dyski, lecz chronić osoby przed skutkami utraty danych, udostępnienia, wycieku lub kradzieży.

W drogę

Przede wszystkim zastanów się, jakie dane przetwarzasz (definicję danych znajdziesz w rozporządzeniu RODO art. 4 pkt. 1). Pogrupuj kategorie osób, których dane przetwarzasz (czym jest przetwarzanie danych – RODO art. 4 pkt. 2) i przemyśl, czy i komu je udostępniasz.
Mówiąc po ludzku: odpowiedz sobie na pytanie, co Ci jest potrzebne aby prowadzić swój biznes? Wysyłasz newsletter (jak Kasia) – zapewne zbierasz imię i adres e-mail. Jesteś terapeutką (jak Marta) – prosisz klientów o podanie imienia i numeru telefonu. Prowadzisz sprzedaż w Internecie – na pewno potrzebujesz danych do wystawienia faktury lub rachunku. Zatrudniasz pracowników – Rozporządzenie MPiPS z 1996r. oraz Kodeks Pracy (art. 298) określa, jakie dane zbierasz i jak prowadzisz akta osobowe pracownika (dane pracowników przekazujesz np. do ZUS, Urzędu Skarbowego).

Pomyśl teraz, jak przetwarzasz dane. Przetwarzanie to inaczej czynności, jakie wykonujesz na danych. Każdy, kto dane gromadzi, przetwarza je. Samo posiadanie danych, gromadzenie, przeglądanie, a nawet archiwizacja czy usuwanie to jest już przetwarzanie.
Podsumowanie: Określ, jakie dane pobierasz, do jakich czynności są Ci potrzebne, gdzie je przekazujesz.

Zapnij pasy

Gdy już posiadasz informacje o tym, jakie dane przetwarzasz, czas na kolejny krok – zastanów się, jak dbasz o bezpieczeństwo danych i osób, których dane dotyczą. I znów, dla różnych danych konsekwencje będą bardziej lub mniej dotkliwe. Ma to związek z wrażliwością danych (dane wrażliwe to np. dane o stanie zdrowia, seksualności, pochodzeniu rasowym), jak i możliwością późniejszego wykorzystania. Twoje zabezpieczenia – zarówno fizyczne (np. szafa zamykana na klucz) jak i informatyczne (np. przesyłanie zaszyfrowanych plików), mają chronić osoby, których dane przetwarzasz.

Rozważ różne hipotetyczne sytuacje. Na przykład, co się stanie, jeśli nie wykorzystasz pola UDW w wiadomościach mailowych i poprzez przesyłanie udostępnisz dane (e-mail, imię i nazwisko) innych odbiorców? Co grozi tobie – osobie, która ujawniła (nieumyślnie) dane, a co osobom, których dane ujawniłeś? Szkodliwość takiego działania jest raczej znikoma, co nie znaczy, że nie pociąga za sobą konsekwencji. Mogę przytoczyć przynajmniej kilka podobnych incydentów, które skutkowały obciążeniem finansowym w ramach rekompensaty czy zadośćuczynienia.
Inaczej sytuacja wygląda w gabinecie lekarskim. Jeśli (tak jak £ukasz) prowadzisz elektroniczne karty leczenia, ale nie wykonywałeś kopii zapasowych, a twój komputer ulegnie zniszczeniu lub kradzieży, jakie konsekwencje poniesiesz?

I jakie konsekwencje dotkną twoich pacjentów? Ja widzę przynajmniej dwa poważne zagrożenia. Pierwsze to zagrożenie dla zdrowia i kontynuacji leczenia twoich pacjentów. Drugie to podważenie twojej reputacji, wiarygodności i zaufania, którym obdarzyli cię pacjenci. Pytanie, jak w tej sytuacji odbudujesz swój wizerunek? I czy nie stracisz pacjentów?

Pobaw się w nieprawdopodobne scenariusze, aby uświadomić sobie skutki swoich (często nieświadomych) działań, aby znaleźć możliwie najlepszy system zabezpieczeń dla danych. W jednym przypadku będzie to szuflada zamykana na malutki kluczyk, w innym cały szereg informatycznych zabezpieczeń, szyfrowane pliki, hasła z określoną ilością znaków itd.
Podsumowanie: Znajdź optymalne zabezpieczenie dla danych, które przetwarzasz.

Patrz na znaki

Potrafisz wskazać, jakie dane przetwarzasz, znasz cele, konsekwencje i ewentualne zabezpieczenia. Rozważ teraz, jakie kroki musisz podjąć, aby przetwarzanie danych w twojej firmie było zgodne z Rozporządzeniem RODO (art. 6 ust. 1 lit a-f RODO). Zazwyczaj będzie to klauzula informacyjna, zgoda na przetwarzanie danych, polityka prywatności, regulamin, umowa. Oczywiście formy te będą zależały od tego, jaką działalność prowadzisz, jakie dane przetwarzasz i na podstawie jakiej przesłanki.

Marta i £ukasz powinni umieścić klauzulę informacyjną dla swoich pacjentów. Kasia powinna pobrać zgody na przetwarzanie adresu e-mail w celu wysłania newslettera i zamieścić klauzulę informacyjną na stronie internetowej (dla sprzedaży produktów online). Wzór klauzuli znajdziesz w Internecie, dopasuj ją dla swojego biznesu, biorąc pod uwagę podstawę i cele przetwarzania danych. Dla £ukasza celem będzie udzielanie świadczeń opieki zdrowotnej, dla Kasi może to być wykonanie umowy, sprzedaż produktów, dla Marty celem jest udzielanie porad terapeutycznych.
Podsumowanie: przetwarzasz dane zgodnie z prawem, jeśli jest spełniony przynajmniej jeden z warunków wskazanych w art. 6 ust. 1 lit a-f RODO.

Stwórz własną mapę

Zbierz te informacje i spróbuj sporządzić dokumentację RODO dla Twojej firmy. Mówiąc wprost – opracuj dokument, instrukcję o tym, jakie dane zbierasz, jakim procesom podlegają dane, jak je zabezpieczasz i jak spełniasz obowiązek informacyjny. W tym dokumencie muszą znaleźć się takie elementy jak: polityka bezpieczeństwa (ogólne informacje), wzory klauzul informacyjnych, wykaz pomieszczeń wraz z zabezpieczeniami, gdzie przetwarzasz dane, informacja o nadawaniu uprawnień (np. upoważnienia dla pracowników). Twoja dokumentacja nie musi być specjalnie rozbudowana, najważniejsze, żebyś opisał powyższe kroki w kilku zdaniach i był świadomy tego, co faktycznie przedsięwziąłeś w związku z RODO.
Wspólnie prześledziliśmy biznes Kasi, Marty i £ukasza. Nadal uważasz, że jest się czego obawiać? A może stwierdzasz, że nie taki diabeł straszny i… podejmiesz próbę?

Autorka jest praktykującym inspektorem ochrony danych w jednostkach publicznych, trenerem, doradcą w zakresie wdrożenia RODO. Wspiera przedsiębiorców, organizacje pozarządowe i instytucje publiczne w dostosowaniu działalności do wymogów ochrony danych.
Przekonuje, że nie trzeba bać się RODO

 

Prostym przykładem codziennej czynności, która w obliczu RODO staje się problemem jest robienie uczniom zdjęć klasowych i umieszczanie nagrań z wydarzeń w Internecie. Wymaga ono wyrażenia na to uprzedniej zgody. Może być ona wycofana w każdej chwili, więc nagle szkoła będzie zmuszona do odnalezienia wszystkich zdjęć z uczniem i wycięcia jego wizerunku.
Podobnie w przypadku firm, które umieszczają zdjęcia z konkursów i wydarzeń w mediach społecznościowych. W rozwiązaniu problemu może pomóc wykorzystanie przepisów prawa autorskiego, zgodnie z którymi nie trzeba zbierać zgód na rozpowszechnianie wizerunku osoby stanowiącej jedynie szczegół całości (np. publiczna impreza).

Trudniej jest uzyskać informacje o bliskich osobach

Dziecko ulega wypadkowi, trafia do szpitala. Jego opiekunowie nie mogą się jednak dowiedzieć, w jakiej placówce przebywa, ponieważ dyżurny nie ma pewności, czy kontaktują się rodzice, czy może ktoś nieupoważniony. Aby rozwiązać problem warto uświadomić sobie, że zgodnie z RODO podstawą udostępnienia informacji na rzecz osób bliskich będzie uzasadniony interes osoby, której dane dotyczą.

Tożsamość weryfikujemy po to, aby pozbyć się wątpliwości z kim mamy do czynienia. Najlepiej, gdy pracodawca lub dyrektor szkoły prowadzi listę osób do kontaktu w nagłych przypadkach. W przypadku braku takiej listy, można wprowadzić procedurę zadawania dodatkowych pytań (np.
o ubiór osoby w dniu wypadku, datę urodzenia, miejsce zamieszkania, PESEL, historię relacji). Wymóg osobistego stawiennictwa i wylegitymowania się dowodem osobistym powinien być ostatecznością.

Aby usunąć dane, należy najpierw je podać

Złożenie przez stronę internetową żądania usunięcia informacji wymaga niekiedy przesłania kopii dowodu osobistego w celu weryfikacji. Rozwiązanie, podobnie jak powyżej przychodzi, gdy pozbędziemy się wątpliwości co do tożsamości osoby, która składa żądanie. Gdy żądanie pochodzi z tego samego adresu mailowego, jaki został wcześniej zweryfikowany – zwykle tych wątpliwości nie ma. Wymóg przesłania innych danych niż te, które do tej pory posiada administrator jest absurdalne. Nie będzie on mógł ich bowiem z niczym porównać, aby zweryfikować tożsamość.

@@

Surfowanie po Internecie przerywane pytaniami o zgody, które nic nie zmieniają, a często nawet się nie zapisują. Rozwiązanie problemu często jest prostsze niż nam się wydaje. Zgodnie z prawem telekomunikacyjnym zgodę na wykorzystanie plików cookie można wyrazić lub wycofać poprzez ustawienia przeglądarki. Obowiązek informacyjny można zaś spełnić poprzez widoczny link do polityki prywatności – wszystko bez wyskakujących okien, które trzeba tylko zamykać.

Większość przedsiębiorców musi żyć z ryzykiem kary

Każdy musi dokonać analizy ryzyka i np. prowadzić rejestr incydentów. Za niespełnienie tego obowiązku grozi kara do 10 mln euro lub 2 proc. obrotu. Ze niespełnienie obowiązku informacyjnego wobec każdego, kogo dane pozyskujemy grozi kara do 20 mln euro lub 4 proc. obrotu. Jest to prawdopodobnie najczęściej łamany przepis w porównaniu do wysokości kary, jaką można otrzymać za naruszenie. Aby jednak zmniejszyć jej ryzyko, warto wykorzystać wzory klauzul informacyjnych, czy wzór rejestru incydentów. Można łatwo znaleźć je w Internecie. Na rynku coraz częściej pojawiają się także oferty aplikacji dostarczających narzędzia do wdrożenia RODO.

Duże firmy mogą przeprowadzać inspekcje u wielu innych przedsiębiorców

Firmy ubezpieczeniowe, banki i podmioty dostarczające karnety sportowe, zyskują wielkie uprawnienia kontrolne u pracodawców, którzy oferują swoim pracownikom ich usługi. Zgodnie z dominującą w Polsce interpretacją, pracodawca, zgłaszając swoich pracowników do dodatkowych usług (karnety sportowe, pakiety zdrowotne) przetwarza dane w imieniu tych firm. W związku z czym jest podmiotem przetwarzającym. Zgodnie z RODO, każda umowa powierzenia przetwarzania musi umożliwiać administratorowi (a więc firmie ubezpieczeniowej, bankowi czy podmiotowi dostarczającemu karnety), przeprowadzanie inspekcji u podmiotu przetwarzającego. Firmy te mogą więc przeprowadzać inspekcje u wszystkich pracodawców, z którymi mają podpisane takie umowy.

Autor jest ekspertem ds. ochrony danych w ODO 24

Zazwyczaj obowiązek posługiwania odpowiednimi oznaczeniami wynika z wewnętrznego regulaminu organizacji i względów bezpieczeństwa. Dzięki identyfikatorom osoby niepowołane nie mogą dostać się do danej firmy ani podszywać się pod jej pracownika. Ujawniają one jednak informacje dotyczące zatrudnionych, które pracodawca ma obowiązek szczególnie chronić.
Według informacji podanych przez UODO, do końca czerwca wpłynęło 756 skarg w związku z wprowadzeniem nowych przepisów o ochronie danych osobowych oraz ponad 600 pytań w sprawie ich stosowania.

Od momentu, kiedy obligatoryjne stało się stosowanie unijnego rozporządzenia, czyli RODO, wiele firm ma wątpliwości, czy zamieszczenie danych na identyfikatorach jest zgodne z prawem. Często poza „standardowymi” plakietkami chodzi również o tabliczki z imieniem i nazwiskiem pracowników na drzwiach wejściowych do ich gabinetów. Co do zasady, gdy dany podmiot przetwarza dane osobowe swoich pracowników, niewymienione w Kodeksie pracy czy też w dalszych przepisach odrębnych, wówczas należy powołać się na jedną z podstaw przetwarzania danych wskazaną w RODO.

Najważniejsze jest, aby przed podjęciem decyzji o stosowaniu identyfikatorów w organizacji zweryfikowano na samym początku wewnętrzne regulaminy pracy i dostosowano je pod względem zgodności z nowymi przepisami dotyczącymi ochrony danych osobowych. Firmy mogą przetwarzać informacje w postaci wizerunku pracowników powołując się na przesłankę przetwarzania danych, jaką jest prawnie uzasadniony interes, realizowany przez administratora danych. Istnieje zatem możliwość umieszczania zdjęć pracowników na identyfikatorach, w sytuacji, gdy obowiązek ich posiadania będzie wynikać z wewnętrznych regulacji, występujących u danego przedsiębiorcy i będzie związany z prawnie uzasadnionym interesem realizowanym przez daną organizację.

@@

Należy podkreślić, że w art. 221 Kodeksu pracy, wskazuje się na kategorie danych osobowych, których żądać może pracodawca od osoby już zatrudnionej, bez konieczności odebrania w tym zakresie zgody pracownika na ich przetwarzanie. Tym niemniej, w przywołanym katalogu brakuje wzmianki o rodzaju danych, do którego można by zakwalifikować wizerunek. Praktyka w tym zakresie jest różna.

W zależności od sytuacji, podstawą przetwarzania danych w formie wizerunku pracownika będzie jego zgoda, udzielona zgodnie z przepisami ustawy o prawie autorskim i prawach pokrewnych bądź spełnienie przesłanki przewarzania danych, wymienionej w art. 6 ust. 1 lit. f RODO, mówiącej o uzasadnionym interesie realizowanym przez administratora danych. Może on polegać mi.in na zapewnieniu bezpieczeństwa w funkcjonowaniu organizacji, w tym prowadzeniu komunikacji wewnątrz jej struktury. Zaleca się jednak właściwe uregulowanie tego celu przetwarzania wizerunku pracownika, np. w regulaminie pracy czy w postanowieniach układów zbiorowych. Natomiast w sytuacji, gdy pracodawca dąży do rozpowszechniania wizerunku pracowników poprzez ich upublicznienie w internecie, wymagane jest odebranie odpowiedniej zgody na wykorzystanie i rozpowszechnianie wizerunku na gruncie przepisów prawa autorskiego. Wyrażane jest nadto stanowisko, iż zgoda na wykorzystywanie wizerunku pracownika powinna być odbierana również wówczas, gdy wizerunek jest umieszczany na identyfikatorze. Wynika to z faktu, iż tego rodzaju dane mogą trafić także do systemu informatycznego, dostępnego chociażby dla pracowników ochrony prowadzących ewidencję wejść i wyjść z terenu zakładu pracy.
Warto pamiętać, że ochrona naszych danych osobowych jest bardzo istotna. Według Raportu o dokumentach InfoDOK przygotowanego przez Związek Banków Polskich, tylko w II kwartale 2018 r. próbowano wyłudzić aż 1 043 kredytów na łączną kwotę 90,1 milionów złotych.

Autorka jestspecjalistką ds. ochrony danych, ODO 24.

Bazując na doświadczeniach zdobytych podczas pomagania przedsiębiorcom we wdrażaniu nowych zasad ochrony danych osobowych w ostatnim czasie, a także w oparciu o własne obserwacje z życia codziennego i doniesienia medialne, można wskazać kilka zagadnień, które sprawiają przedsiębiorcom najwięcej trudności w zakresie ochrony danych osobowych. Oto najczęstsze błędy:

Pobieranie zgód na przetwarzanie danych osobowych w sytuacjach, gdy istnieją inne podstawy do przetwarzania

Moja teza jest następująca: prawidłowo rozumiane RODO doprowadzi do zmierzchu zgód. Jeśli dokładnie przeanalizujemy podstawy do przetwarzania danych osobowych w RODO to dojdziemy do wniosku, że w przeważającej liczbie przypadków zgody są po prostu zbędne. Nie jestem w stanie zrozumieć, dlaczego tak popularne są zgody na przetwarzanie danych osobowych np. w celach marketingowych. Być może to efekt poprzedniej ustawy o ochronie danych osobowych z 1997 r., która jak się wydaje nauczyła nas tylko jednego – że ochrona danych osobowych oznacza pobieranie zgód. To absurd, ponieważ w większości sytuacji dobrowolność udzielenia zgody jest tak naprawdę bardzo wątpliwa. Dochodzi również do sytuacji, kiedy zgody są niedopuszczalne, choćby wtedy, gdy przetwarzanie danych osobowych jest wymagane przez przepis prawa. Wciąż spotykam się z kwestionariuszami dla pracowników, w których pracownik wyraża zgodę na przetwarzanie swoich danych w celu rozliczeń w urzędzie skarbowym czy w ZUS. Takie wprowadzanie w błąd osoby, której dane są przetwarzane, również stanowi naruszenie zasad ochrony.

Wysyp inspektorów ochrony danych osobowych

Inspektor ochrony danych. Ten tytuł nie tylko ładnie brzmi, ale też kusi. Inspektor najczęściej kojarzy się z kimś ważnym, obdarzonym wieloma kompetencjami w zakresie kontroli czy nadzoru. Jednak Inspektor ochrony danych posiada konkretne obowiązki oraz specjalny tryb wyznaczania, opisane szczegółowo w przepisach, o czym bardzo często się zapomina. Inspektor ochrony danych to nie to samo co pracownik zajmujący się ochroną danych osobowych w przedsiębiorstwie. W mojej ocenie podmioty prywatne rzadko będą zobowiązane do powołania takiego Inspektora. Powinno to być poprzedzone stosowną, pisemną analizą, której przeprowadzanie niestety może nastręczać trudności. Oczywiście można powołać Inspektora dobrowolnie, ale wtedy należy wykonywać wszelkie obowiązki z tym związane, jakie przewidują przepisy.

@@

Informowanie o przetwarzaniu danych osobowych

Doświadczenia płynące z pierwszych miesięcy stosowania RODO wskazują, że ochrona, jaką ma zapewnić tzw. obowiązek informacyjny, w praktyce ma bardzo często charakter iluzoryczny. Przykładowo internauci zasypywani nadmierną liczbą rozbudowanych komunikatów o przetwarzaniu, przestają zwracać na nie uwagę. W mojej ocenie, biorąc pod uwagę perspektywę osoby fizycznej, która zarówno przestrzeni internetowej jak i w przestrzeni publicznej ma do czynienia z ogromną ilością komunikatów o przetwarzaniu danych osobowych, należy dążyć do uproszczenia i skrócenia przekazywanych informacji, a także ograniczenia ich liczby. Przekazywane informacje powinny być istotne z punktu widzenia ochrony osoby, której dane dotyczą, a szczegółowe informacje powinny być przekazywane wyłącznie osobom zainteresowanym. Moim zdaniem RODO umożliwia taką wykładnię swoich przepisów, jednak potrzeba ku temu również dobrej woli organów stosujących prawo – przede wszystkim Prezesa Urzędu Ochrony Danych Osobowych. Nie wiadomo też w którą stronę podąży orzecznictwo sądowe. Pozostaje nam więc czekać na konkretne rozstrzygnięcia, a póki co pozostaje nam realizować obowiązki informacyjne w sposób zachowawczy.

Panika

W ostatnim czasie media przekazywały szokujące informacje dotyczące efektów wprowadzenia RODO. Najbardziej utkwiła mi w pamięci sytuacja, kiedy rodzicom odmówiono wskazania szpitalu, w którym leżą ich dzieci po wypadku autokaru z wycieczką.
Jeśli ktoś uważa, że po wejściu RODO nie może przetwarzać (np. poprzez ujawnianie) danych osobowych, które ujawniał wcześniej to albo łamał poprzednio obowiązujące przepisy, albo nie rozumie tych nowych. RODO nie ogranicza możliwości przetwarzania danych osobowych w zdecydowanej większości przypadków. Modyfikuje zabezpieczenia różnego rodzaju, zwiększając poziom ochrony osób, których dane są przetwarzane.

Z drugiej strony trzeba przyznać, że nowe przepisy są bardzo ogólne i to dla wielu osób stanowi nie lada problem. Poza tym, aby je poprawnie stosować niezbędna jest znajomość innych dziedzin prawa – np. prawa pracy czy przepisów regulujących obrót elektroniczny. Ostatnie miesiące tylko utwierdziły mnie w przekonaniu, że do prawidłowego stosowania (a przynajmniej wdrożenia) zasad ochrony danych osobowych niezbędna jest poszerzona wiedza prawnicza.

Autor jest prawnikiem w Kancelarii Prawnej BSO Prawo & Podatki

Europejskie rozporządzenie narzuca wszystkim administratorom – czyli organom, jednostkom organizacyjnym, podmiotom lub osobom decydującym o celach i środkach przetwarzania danych – obowiązek odpowiedniego zabezpieczenia danych osobowych. Obecnie firmy muszą jedynie wykazać zgodność stosowanych środków bezpieczeństwa z rozporządzeniem o środkach zabezpieczających z 2004 r. Po 25 maja br. sytuacja się zmieniła. To organizacje będą zobowiązane do samodzielnego ocenienia ryzyka naruszenia ochrony danych. RODO jedynie wskazuje ogólne obowiązki wdrożenia środków technicznych i organizacyjnych przetwarzania informacji, uwzględniających m.in. charakter, zakres, kontekst, a także wprowadzenia polityk ochrony.

Pseudonimizacja jako złoty środek?

RODO wprowadza pojęcie pseudonimizacji, które oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie, której one dotyczą, bez użycia dodatkowego „klucza”. Mówiąc prościej, to użycie zamiast np. imienia i nazwiska – liczby. Wymóg jest jeden, klucz z właściwymi danymi do odszyfrowania powinny być przechowywane osobno. Dzięki czemu nawet jeśli doszłoby do wycieku, osoba nieupoważniona niewiele by się z tych danych dowiedziała.

Ciekawe jest to, że pseudonimizacja od pewnego czasu stosowana jest w szkołach, gdzie oceny publikuje się wraz z identyfikatorem ucznia zamiast jego imienia i nazwiska. Może być ona wygodnym sposobem na zabezpieczenie również wrażliwych danych, ponieważ znacznie złagodzone będą wymogi dotyczące ochrony informacji zapisanych w ten sposób. Warto wspomnieć, że można również zastosować anonimizację informacji, po której nie da się ich przypisać do konkretnych osób. Przez co nie muszą być zabezpieczane na tak wysokim poziomie jak te które nie podlegają procesowi anonimizacji.

@@

Co więcej?

Należy pamiętać, że pseudonimizacjia to nie to samo co anonimizacja, która jest modyfikacją danych uniemożliwiającą identyfikację osoby fizycznej, pseudonimizacja jest procesem odwracalnym. Zwiększa ona bezpieczeństwo informacji, przez co pozostają one według prawa nadal danymi osobowymi. Należy zauważyć, że rozporządzenie traktuje to narzędzie jako pomocnicze, które może być wykorzystane przez Administratorów.
Przedsiębiorcy powinni zwrócić uwagę, że to jakie narzędzie ochrony zastosują wynikać będzie z analizy ryzyka w danej firmie. Należy zauważyć, że rozporządzenie traktuje pseudonimizację jako narzędzie pomocnicze, które może, ale nie musi być wykorzystane przez Administratorów. Zasadność użycia danego sposobu bezpieczeństwa powinno być uwzględnione już w samej fazie projektowania nowego systemu.

W styczniu 2018 r. brytyjski organ nadzoru w zakresie ochrony danych osobowych Information Commissioner’s Office (ICO) wymierzył grzywny w wysokości 1,7 miliona funtów, co oznacza wzrost aż o 312 proc. w porównaniu z miesięczną średnią w 2017 r. Pokazuje to, że regulatorzy ostrzyli pazury przed wejściem w życie RODO, a ochrona danych przyciągnie znacznie większą uwagę mediów, rządów i opinii publicznej.

Wszystko to jest szczególnie istotne, jeśli rozważyć, jak pierwsze przypadki niezgodności z RODO wpłyną na dalszy przebieg wydarzeń. Organizacje na całym świecie będą przyglądać się tym, którzy pierwsi padną ofiarą nowych przepisów, i zastanawiać się, jak mogą uniknąć podobnych pomyłek i kar. Możemy więc oczekiwać dalszego napływu artykułów na temat RODO.
Nowe prawo nie musi to jednak oznaczać nadejścia najgorszego. W firmie Veeam panuje przekonanie, że nowe rozporządzenie należy traktować jako punkt wyjścia do bardziej kompleksowego zarządzania danymi osobowymi we współczesnym świecie. Dlatego właśnie działań zmierzających do osiągnięcia zgodności z RODO nie należy odkładać na ostatnią chwilę. Należy traktować je z tą samą atencją, jak każdą inną strategiczną decyzję biznesową, taką jak ekspansja albo inicjatywy podejmowane w ramach transformacji cyfrowej.
Aby to osiągnąć (i nie dać się przyłapać regulatorom), firmy muszą zabezpieczyć swoje procesy zgodnie z podejściem „privacy by design” (uwzględnianie prywatności danych w fazie projektowania). Można to zrobić na kilka sposobów. Wszystkie mają jeden cel: żeby firma nie znalazła się pod lupą regulatorów.

Zadbaj o transparentność i bezpieczeństwo

Kilka głośnych włamań w ciągu ostatnich lat sprawiło, że ludzie są znacznie bardziej świadomi i znacznie bardziej niepokoją się o bezpieczeństwo swoich danych niż kiedykolwiek przedtem. Na mocy RODO zgoda na gromadzenie danych będzie miała charakter aktywny – użytkownicy będą musieli jawnie na to zezwolić.
Podobnie użytkownicy zyskają szereg praw związanych z ich danymi osobowymi. Będą mogli ograniczyć używanie, gromadzenie oraz ujawnianie swoich danych osobowych. Administratorzy danych będą musieli spełnić te wymagania – nie tylko z przyczyn prawnych, lecz także z powodu dbałości o obsługę klienta i reputację marki.

Trzeba dysponować procesami i zasobami, które będą mogły wspierać tę ważną zmianę – klarowność i przejrzystość intencji to kluczowa sprawa. Należy jednak również zrównoważyć prywatność i bezpieczeństwo. Niedawny arykuł w magazynie CSO omawia ryzyko traktowania RODO jako nadrzędnego względem standardów bezpieczeństwa. Trzeba nieustannie monitorować bezpieczeństwo i dostępność danych, a także ich prywatność. Istnieje bardzo duże prawdopodobieństwo, że pierwsza grzywna wymierzona na mocy RODO będzie wynikiem tego podejścia.

Kompleksowe bezpieczeństwo

Jedną z pierwszych rad, jakie zaoferuje inspektor ochrony danych albo ekspert od RODO, będzie poświęcenie czasu i energii na stworzenie kompleksowej mapy danych. Powinna ona wyraźnie pokazywać, gdzie i w jaki sposób dane wchodzą do organizacji oraz jakie rozwiązania infrastrukturalne i pamięciowe wspierają ich istnienie.
Każda firma powinna była już to zrobić. Następnym krokiem jest zatem przyjęcie aktywnego, a nie pasywnego podejścia do zarządzania danymi, ich dostępności i bezpieczeństwa.
Jak to będzie wyglądać w praktyce, to już zależy od konkretnej firmy. Ale bez względu na rozmiar i strukturę, każda organizacja będzie musiała przyjść plan monitorowania i ochrony, który obejmuje strategie dostępności i backupu na wypadek naruszenia ochrony danych. Plany te muszą być wystarczająco elastyczne, aby uwzględnić nieustannie zmieniający się krajobraz danych. Będą też wymagały zaangażowania ze strony każdej jednostki organizacyjnej – nie tylko działu IT.

Nowa era RODO

Koszt niezgodności jest wysoki. Przypomnijmy raz jeszcze, że poważne naruszenie przepisów może skutkować grzywną w wysokości nawet 20 milionów euro lub 4 proc. rocznego obrotu – w zależności od tego, która kwota jest wyższa. Pozostaje jednak pytanie: na kogo i na co będą patrzeć regulatorzy? Czy będą pobłażliwi, czy będą chcieli uczynić przykład z pierwszych, którym powinie się noga?
Czas pokaże. Możemy jednak pospekulować, jakiego typu organizacje mogą pójść na pierwszy ogień. Zapewne nie będzie to sektor publiczny, ponieważ grzywny mogłyby doprowadzić do bankructwa wielu kluczowych instytucji. Jednak inne sektory mogą mieć mniej szczęścia. Aby się zabezpieczyć, wszystkie organizacje muszą traktować RODO jako codzienny i stały obwiązek, a nie jednorazowe wydarzenie.

Autor: starszy menedżer regionalny Veeam Software w północnej i południowej części Europy Wschodniej

Jakie więc aktywności w pracy po 25 maja mogą wyglądać zupełnie inaczej niż do tej pory?

1. Świętowanie urodzin współpracowników

Data urodzenia pracownika stanowi część danych osobowych. Zgodnie z RODO świętowanie urodzin pracownika może się odbywać wyłącznie za jego zgodą. Sprawdź, czy masz pozwolenie wszystkich pracowników na udostępnianie wspólnego kalendarza urodzin w biurze.

2. Wysyłanie firmowych kartek świątecznych

Jeżeli Twoja firma planuje wysłać kartki świąteczne do swoich klientów – musisz szczególnie uważać. Jeżeli wysyłka zakłada wykorzystanie czyjegoś prywatnego adresu domowego, jest to przetwarzanie danych osobowych. Chcąc wysłać życzenia świąteczne, musisz uzyskać zgody osób do których adresujesz kartki.

3. Udostępnianie zdjęć dzieci współpracowników

Zastanów się dwa razy, zanim udostępnisz zdjęcia dziecka współpracownika. RODO umożliwia przetwarzanie danych osobowych osób, które ukończyły 16. rok życia. W projekcie polskiej nowelizacji ustawy o ochronie danych obniżono ten wiek do 13 lat.

4. Specjalne posiłki w czasie firmowych imprez

W firmach coraz częściej można spotkać osoby z alergiami pokarmowymi, stosujące różne diety uwarunkowane potrzebami zdrowotnymi lub religijnymi. Informacje o takich dietach też mogą być traktowane jako dane osobowe. Zamawiając specjalne posiłki w firmie cateringowej lub restauracji upewnij się, że posiadasz odpowiednie zgody zainteresowanych osób.

5. Przekazywanie CV kandydata do opinii współpracowników

Prowadzisz proces rekrutacyjny i starasz się zasięgnąć opinii współpracowników na temat danego kandydata. Pamiętaj, że dane w CV to także dane osobowe. Jeżeli chcesz porozmawiać o konkretnej kandydaturze z kimś innym, dokonaj prostej anonimizacji: usuń imię i nazwisko, adres, numer telefonu i wszelkie inne informacje umożliwiające identyfikację.

6. Domyślnie zaznaczone pole zgody na przesyłanie materiałów marketingowych

Zgodnie z RODO wstępnie zaznaczone pola zgód marketingowych lub domyślne zgody (brak zaznaczenia, że klient nie zgadza się na przesyłanie informacji), nie będą już zgodne
z prawem. Pamiętaj, że zgodnie z RODO prośba o wyrażenia zgody na komunikację musi być zrozumiała i napisana prostym językiem.

7. Mówienie o polityce w biurze

Opinie polityczne są częścią specjalnej kategorii danych osobowych – tzw. wrażliwych danych osobowych. Organizacje, w tym przedsiębiorstwa, nie mogą rejestrować ani przetwarzać tego rodzaju informacji.

8. Telefon w czasie choroby

Informacje o stanie zdrowia są danymi szczególnie chronionymi przez RODO. Jeżeli zachorujesz i zadzwonisz rano do firmy z informację o swoim stanie zdrowia, osoba, z którą rozmawiałeś nie powinna rozprzestrzeniać tej informacji wśród innych współpracowników, chyba że wyrazisz zgodę na jej udostępnienie.

Jak widać, RODO wpłynie na wiele powszechnych czynności. I to od pracodawcy będzie zależało, czy jego pracownicy zostaną odpowiednio przygotowani do realizacji nowych obowiązków prawnych. A warto mieć na uwadze, że RODO ani nie kończy, ani nie zaczyna się 25 maja. Ochrona danych osobowych to proces ciągły, do którego nie da się przygotować raz na zawsze. Kolejne miesiące pokażą, jak w praktyce wygląda życie po RODO i jaką wartość będę miały regularne szkolenia.

W związku z wprowadzeniem RODO, nie nastąpi trzęsienie ziemi, a na prawdziwe efekty trzeba będzie poczekać kilka lat. Jednak powstało wiele mitów związanych z rzeczywistością jaka zastanie wszystkich po 25 maja. Poniżej, Nigel Tozer rozprawia się z najpopularniejszymi z nich.

Mit 1: Aktywiści RODO zmuszą firmy do uległości

Nie ma co liczyć na wielkie sensacje, kilku menedżerów wyższego szczebla będzie jednak musiało stawić czoła sporym niedogodnościom. Od 25 maja aktywiści będą podejmować zróżnicowane działania. Hakerzy będą poszukiwać sposobów na włamanie się do określonych firm, a dane zaczną wykradać i ujawniać dopiero po wejściu RODO w życie tylko po to, aby narobić zamieszania i spowodować nakładanie kar. Drugim typem działań aktywistów będą skoordynowane wnioski o dostęp do danych i ich usunięcie, wysyłane przez osoby, których dane dotyczą, w nadziei, że firma będąca ich adresatem będzie musiała poświęcić na nie dużo czasu i pieniędzy. Ich wysyłaniem zajmą się najprawdopodobniej grupy konsumenckie i/lub przeciwnicy globalizacji.

Mit 2: Z wybiciem północy organy regulacyjne przeprowadzą naloty na tysiące przedsiębiorstw

Nie będzie żadnych masowych nalotów. Zasadniczo, takie akcje byłyby możliwe — urząd regulacyjny w Wielkiej Brytanii przeprowadził, trwający tydzień, nalot na biura firmy Cambridge Analytica po skandalu dotyczącym Facebooka. Jednak nie stanie się to od razu po wprowadzeniu w życie nowych regulacji i z pewnością nie na skalę masową.

Mit 3: Dramaty na salach sądowych będą toczyć się na oczach milionów telewidzów

Można spodziewać się niszczących reputację incydentów i sporej aktywności w sądach w Europie. Jednak sprawy te nie będą miały dużego potencjału medialnego ze względu na wolne tempo postepowań. Z całą pewnością sądy pomogą uściślić definicje zawarte w RODO. Batalie sądowe, z biegiem czasu, przyniosą więc przynajmniej rewizję polityk przedsiębiorstw. Przepisy RODO będą zapewne rozwijać się przez wiele lat i nastąpi w nich sporo istotnych zmian.

Mit 4: W 2018 r. nałożone zostaną pierwsze dotkliwe kary

Z całą pewnością nie stanie się to w 2018 r. Bez wątpienia możemy spodziewać się wkrótce pewnych dużych naruszeń ochrony danych osobowych, w których rozpatrywanie z pewnością zaangażują się również regulatorzy. Jeśli jednak naruszenie nie będzie wynikiem rażącego zlekceważenia kwestii bezpieczeństwa danych i nie będzie pociągało za sobą poważnych nadużyć w obszarze danych osobowych, wysokie kary nie będą najprawdopodobniej codziennością, a regulatorzy będą stosować podejście stopniowane.

Mit 5: RODO zmieni świat

To raczej pojawienie się RODO jest dowodem na to, że świat się zmienił. RODO wywiera i będzie wywierać wpływ na cały świat. Już teraz są duże naciski na wprowadzenie federalnych przepisów o ochronie danych osobowych w Stanach Zjednoczonych. Niestety na rynku w dalszym ciągu będą stosowane polityki prywatności pełne pokrętnych, długich postanowień, możemy jednak liczyć na to, że większość firm właściwie zrozumie ducha rozporządzenia RODO. Firma Commvault już teraz dostrzega korzyści, jakie czerpią jej klienci z przygotowania się na wejście w życie tych przepisów — należą do nich choćby obniżenie kosztów informatycznych, inteligentniejsze korzystanie z danych i wzrost produktywności pracowników.

W ostatecznym rozrachunku 25 maja coś się zmieni. Europejczycy odbiorą wielkim, potężnym korporacjom i globalnym monopolistom technologicznym pewną część władzy. Firmy wreszcie będą miały powód, aby przyjrzeć się przechowywanym w swoich systemach danym i przemyśleć to, co z nimi robią. To, co naprawdę stanie się po wejściu RODO w życie, zależy więc od nas samych — od tego, jak zareagujemy jako przedsiębiorstwa, i od tego, jak wykorzystamy nasze nowe możliwości jako obywatele.

Autor jest Solutions Marketing Directorem w regionie EMEA w Firmie Commvault

W 2017, po roku utrzymywania w tajemnicy, firma Uber przyznała się do wycieku danych osobowych 57 milionów swoich klientów. Firma poinformowała, że zapłaciła 100 tysięcy dolarów hackerom, którzy byli w posiadaniu danych (żeby te nie zostały upublicznione). Gdy rozpocznie się egzekucja RODO podobna sytuacja wycieku danych może kosztować Ubera do 20 mln euro lub 4% światowego obrotu. Firma będzie musiała zgłosić do właściwego organu nadzorczego tak istotny wyciek, będący incydentem bezpieczeństwa.

Dlaczego notyfikacja?

Administratorów danych osobowych (ADO) czekają więc w związku z RODO nowe obowiązki szybkiej identyfikacji i przeciwdziałania naruszeniom bezpieczeństwa danych. Wprowadzona regulacja nakazuje powiadomienie o incydencie nie tylko organ nadzorczy, ale też osoby, których dane znalazły się w niebezpieczeństwie.
W myśl Art.34. Par.1: Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

RODO identyfikuje niebezpieczeństwa w katalogu incydentów, pod wspólną definicją „naruszenia bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Skutki naruszenia bezpieczeństwa danych mogą być naprawdę dramatyczne – od uszczerbku fizycznego, szkód majątkowych lub niemajątkowych, takich jak utrata kontroli nad własnymi danymi, ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, aż do strat finansowych.

Co w zgłoszeniu?

Treść zawiadomienia – notyfikacji urzędowej – powinna opisywać charakter naruszenia ochrony danych osobowych. W tym: w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie. Dodatkowo powinno zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Wszystkie kroki zmierzające do wyjaśnienia okoliczności zaistnienia naruszenia oraz podejmowane kroki w celu przeciwdziałania jego skutkom muszą być przez firmy formalnie udokumentowane.

Masz prawo dochodzić odszkodowania

Przedsiębiorca, który nie dopełni swoich obowiązków, prócz wspomnianych wysokich kar administracyjnych od nadzoru, po 25 maja br. będzie narażony na procesy cywilne ze strony poszkodowanych osób, które poinformuje – zgodnie z RODO – o incydencie. Przedsięwzięte po fakcie naruszenia kroki mogą okazać się niewystarczające dla zabezpieczenia wolności i praw człowieka osób, których dane wyciekły czy zostały zniszczone. Jeżeli więc poniesiesz z tytułu podobnego naruszenia szkodę możesz dochodzić adekwatnego odszkodowania. Kancelarie prawne specjalizujące się w odszkodowaniach z tytułu naruszenia bezpieczeństwa danych osobowych, z nową siłą oferują swoje usługi – zanim jeszcze rozporządzenie zacznie być egzekwowane.

Autor jest Project Managerem RODO w Sage

Do nowych regulacji muszą się dostosować między innymi firmy, które wykorzystują specjalistyczne narzędzia służące do monitorowania systemów IT oraz pracowników. Jakie funkcje powinien posiadać tego typu program, aby był zgodny z RODO?

Legalny monitoring aktywności użytkowników komputerów i serwerów według RODO

Jednym z celów, jakie przyświecały unijnym urzędnikom uchwalającym RODO było wzmocnienie ochrony danych osobowych, które są w posiadaniu różnego rodzaju podmiotów. Nowe przepisy mają niejako zmusić administratorów danych osobowych do podjęcia wszelkich możliwych działań, które uchronią je przed kradzieżą czy przypadkowym wyciekiem.
Zdaniem Pawła Chudzińskiego, specjalisty ds. bezpieczeństwa IT z firmy Ekran System, dobry program do monitorowania aktywności pracowników to taki, który posiada rozbudowane funkcje kontroli dostępu w postaci uwierzytelniania dwuskładnikowego. – Uwierzytelnianie dwuskładnikowe pozwala skutecznie ochronić dane wrażliwe przed nieuprawnionym dostępem zarówno pracowników, jak i osób z zewnątrz – wyjaśnia ekspert.

Zaawansowane opcje uwierzytelniania umożliwiają również przypisanie zarejestrowanej sesji do konkretnego użytkownika. Najlepsze na rynku programy służące do ochrony systemów IT są w stanie zidentyfikować konkretną osobę nawet w przypadku używania w firmie kont współdzielonych.

Obowiązek wykazania zgodności z RODO

Zgodnie z unijnymi przepisami, administrator danych osobowych musi być w stanie wykazać, że jego działania są zgodne z RODO. Jak to zrobić w przypadku monitorowania komputera pracownika?
Jednym z rekomendowanych przez specjalistów z branży IT rozwiązań jest wykorzystywanie programów, które rejestrują aktywność użytkowników – na komputerach bądź serwerach – w postaci nagrań video. Nagrania takie pozwalają uzyskać kompletną historię aktywności danego pracownika.

Co ważne, uzyskaną w ten sposób historię można w dowolnym momencie odtworzyć. Jest to szczególnie istotne w przypadku, kiedy firma musi udowodnić zgodność prowadzonych działań z RODO. Nagranie stanowi wówczas ważny dowód w sprawie. „Nagranie takie pokazuje w sposób jednoznaczny, kto i jak przetwarzał wrażliwe dane” – zauważa Paweł Chudziński.
Unijni urzędnicy nałożyli również na firmy obowiązek prowadzenia ewidencji wszelkich działań związanych z gromadzeniem i przetwarzaniem danych. Z rejestru takiego powinno jasno wynikać, kto i w jaki sposób wykorzystuje gromadzone dane. W prowadzeniu tego typu ewidencji może pomóc wspomniana możliwość rejestrowania aktywności użytkowników w formie plików video.

Informacja o kradzieży bądź wycieku danych osobowych

Nowe regulacje zobowiązują firmy do poinformowania odpowiednich organów o każdym przypadku kradzieży lub przypadkowego wycieku danych. Informacja taka powinna zostać przekazana również osobie, której dane dotyczą.
Unijne przepisy określają także, co taka informacja powinna zawierać. Firma musi zawrzeć w niej takie elementy, jak:

• dokładny opis incydentu,
• opis działań, jakie firma podjęła w celu wyeliminowania tego typu zdarzeń w przyszłości.

Zgodnie z RODO, firma ma 72 godziny na poinformowanie o kradzieży lub wycieku danych, liczone od momentu wykrycia zagrożenia.
– W tym kontekście specjaliści od zabezpieczeń IT podpowiadają, żeby wybrać taki program monitorujący aktywność pracowników, który posiada funkcję wysyłania alertów w czasie rzeczywistym. „To bardzo przydatna funkcja. Dzięki błyskawicznej informacji o wykrytej nieprawidłowości administrator będzie miał możliwość podjęcia natychmiastowych działań – tłumaczy Paweł Chudziński.

Surowe kary za działanie niezgodne z RODO

Nowe Rozporządzenie o Ochronie Danych Osobowych przewiduje wyższe kary dla administratorów łamiących jego zapisy. Wysokość grzywny uzależniona jest od stopnia naruszenia przepisów. W najgorszym wypadku może ona wynieść nawet 20 milionów euro lub równowartość 4% rocznego światowego obrotu firmy.
Warto zwrócić uwagę na fakt, że zastosowany zostanie ten wariant, który pozwoli wyliczyć wyższą kwotę.

Nowe prawo wydaje się być dość restrykcyjne. Zdaniem specjalistów jego wprowadzenie było jednak niezbędne. Dotychczasowe przepisy nie regulowały bowiem kwestii ochrony danych osobowych w sposób kompleksowy. Dzięki RODO temat ten został potraktowany całościowo, a przepisy obowiązujące w poszczególnych krajach członkowskich zostały ujednolicone.

Autor: Ekran System