Rozporządzenie ogólne o ochronie danych osobowych (RODO albo GDPR – General Data Protection Regulation), przyjęte w kwietniu ub. r., jest owocem wieloletnich prac, których celem było dostosowanie zasad ochrony prywatności do zglobalizowanej i zinformatyzowanej rzeczywistości XXI wieku. Warto przypomnieć, że aktualnie obowiązujące zasady ochrony danych osobowych zostały określone w dyrektywie z 1995 r. oraz implementowane w polskiej ustawie o ochronie danych osobowych z 1997 r. Oba akty są sporo starsze od Facebooka i słabo odpowiadają dynamicznej rzeczywistości technologicznej obecnych czasów.

Nowe regulacje mają na celu stworzenie ram prawnych, w których zmieszczą się sieci społecznościowe, blockchain, Big Data, chmura obliczeniowa, technologie ubieralne, rozszerzona rzeczywistość, geolokalizacja i inne zjawiska społeczeństwa informacyjnego. Prawne uregulowanie nowych technologii przetwarzania danych, w tym takich, o których dziś nikt jeszcze nie pomyślał, a które za rok czy za dwa lata będą w powszechnym użyciu, wymaga stworzenia elastycznych przepisów, jakie będą nadążały za dynamiką świata IT. Z tego powodu Rozporządzenie nie wskazuje konkretnych rozwiązań technicznych czy organizacyjnych, które powinny zostać wdrożone, ale wymaga, aby te rozwiązania wypracował i wdrożył podmiot przetwarzający dane osobowe – odpowiednio do sytuacji.

Zobacz również:

• Europejska chmura Oracle
• Rząd Ghany pracuje nad regulacjami dotyczącymi AI

Podejście oparte na ryzyku

Fundamentalnym pojęciem nowego europejskiego ładu ochrony danych osobowych jest ryzyko przetwarzania danych, które polega na prawdopodobieństwie naruszenia praw lub wolności osób fizycznych w toku przetwarzania dotyczących ich danych. To ryzyko w różnym stopniu dotyczy każdego, kto zbiera, modyfikuje, udostępnia, przechowuje, a nawet tylko usuwa dane, niezależnie od tego, czy robi to dla własnego celu, czy też wykonuje czynności zlecone przez inną osobę.

Zgodnie z Rozporządzeniem podmioty przetwarzające dane będą musiały analizować procesy przetwarzania danych osobowych, w których uczestniczą, w kontekście ryzyk naruszenia praw i wolności osób fizycznych. Oceniając ryzyko, będzie trzeba uwzględniać zakres danych, cel, kontekst i charakter przetwarzania. Wynik analizy będzie miał realny wpływ na zakres obowiązków regulacyjnych, będzie także podstawą do podjęcia decyzji o tym, jakie środki ochrony będą adekwatne do potencjalnych zagrożeń. Zgodnie z wytyczną privacy by design, wszystkie procesy przetwarzania będą musiały być projektowane (lub modyfikowane), tak aby zapewnić spełnienie wymagań Rozporządzenia ogólnego oraz minimalizować ryzyko związane z przetwarzaniem danych.

Warto zwrócić uwagę, że przeprowadzenie analizy ryzyka związanego z przetwarzaniem danych będzie możliwe jedynie w warunkach, w których podmiot przetwarzający dane ma pełną świadomość procesów przetwarzania danych, których jest uczestnikiem. Przed przystąpieniem do analizy trzeba będzie odpowiedzieć na pytania o zakres przetwarzania danych, jego cel i środki techniczne (w tym systemy informatyczne) wykorzystywane do przetwarzania. Bez udzielenia odpowiedzi na te podstawowe pytania wdrożenie wymagań Rozporządzenia ogólnego może okazać się niemożliwe.

Obowiązki podmiotów przetwarzających dane osobowe

Nowe podejście do ochrony danych osobowych zakłada, że zakres obowiązków podmiotów przetwarzających dane osobowe będzie częściowo uzależniony od oceny ryzyka związanego z wykonywanymi przez dany podmiot czynnościami przetwarzania danych. Jest to istotna nowość. Obecnie zakres obowiązków jest właściwie jednakowy dla wszystkich przetwarzających, co skutkuje nieadekwatnością wymagań regulacyjnych. Z jednej strony istnieją podmioty, które przetwarzają niewielkie ilości danych, robiąc to jedynie pomocniczo w stosunku do swojej głównej działalności. Z drugiej strony mamy podmioty, które z przetwarzania danych uczyniły podstawę swoich usług, przetwarzając je na szeroką skalę. Stawianie jednym i drugim jednakowych wymagań musi skutkować przeregulowaniem działalności tych pierwszych lub niedoregulowaniem tych drugich. W konsekwencji część przedsiębiorców narzeka na nadmierne obciążenia i biurokrację, a przetwarzanie danych przez pozostałych wymyka się regulacjom prawnym (mamy nieefektywne prawo).

Rozporządzenie zmierza do zmiany tego niekorzystnego stanu rzeczy. Zgodnie z nowymi przepisami zakres obowiązków regulacyjnych będzie pochodną oceny ryzyka związanego z przetwarzaniem danych przez dany podmiot przetwarzający. Jeśli zatem przedsiębiorca przetwarza dane osobowe jedynie pomocniczo, np. w związku z zatrudnianiem swoich pracowników, to zakres wymagań regulacyjnych, jakie będzie zobowiązany spełnić, będzie wyraźnie mniejszy, niż zakres obowiązków podmiotu, którego główna działalność polega na przetwarzaniu danych osobowych, np. operatora platformy społecznościowej.

Część zmian wprowadzonych przez Rozporządzenie odczują wszyscy. Odejście od obowiązku zgłaszania do rejestracji zbiorów danych i ich aktualizacji czy usunięcie sztywnych i nie zawsze adekwatnych wymagań technicznych i organizacyjnych będzie z całą pewnością dużą ulgą. Ponadto dokumentacja przetwarzania danych osobowych nie będzie musiała być tworzona w sztywnych ramach wyznaczonych przepisami wykonawczymi, a zatem będzie mogła być lepiej dostosowana do potrzeb i specyfiki danego podmiotu. Dzięki temu jest szansa, że ta dokumentacja stanie się narzędziem rzeczywiście wspierającym zarządzanie obszarem ochrony danych osobowych.

Wszystkich administratorów danych osobowych będą dotyczyły nowe obowiązki w zakresie notyfikacji naruszeń ochrony danych osobowych. W przypadku wystąpienia zdarzenia mogącego powodować ryzyko dla praw lub wolności podmiotów danych (np. ujawnienia danych osobom nieuprawnionym) administrator będzie zobowiązany poinformować organ nadzorczy o zdarzeniu w ciągu 72 godzin od momentu stwierdzenia naruszenia. Ponadto, jeśli administrator uzna, że w wyniku naruszenia istnieje wysokie ryzyko dla podmiotów danych, będzie także zobowiązany do niezwłocznego poinformowania o naruszeniu osób, których dotyczy to ryzyko.

Część wymagań, jakie Rozporządzenie stawia podmiotom przetwarzającym, będzie jednak dotyczyła tylko tych przetwarzających, których działalność wiąże się z istotnym ryzykiem dla prywatności. Podmioty przetwarzające dane osobowe, w szczególności wrażliwych kategorii na dużą skalę, oraz podmioty dokonujące operacji na danych wymagających regularnego i systematycznego monitorowania podmiotów danych będą zobowiązane do powołania inspektora ochrony danych – odpowiednika dzisiejszego administratora bezpieczeństwa informacji. Dopuszczalność podjęcia niektórych, obciążonych wysokim ryzykiem czynności przetwarzania może być uzależniona od przeprowadzenia uprzednich konsultacji z organem nadzorczym.

Ryzyko związane z czynnościami przetwarzania danych osobowych będzie wpływało na zakres wdrożenia rozwiązań technicznych i organizacyjnych niezbędnych do zapewnienia bezpieczeństwa. Rozwiązania te będą musiały być adekwatne do ryzyka. Podmioty przetwarzające dane i zaangażowane w procesy przetwarzania, które stwarzają istotne zagrożenie dla praw podmiotów danych, będą musiały zrobić więcej, aby zapewnić poziom bezpieczeństwa odpowiadający poziomowi zidentyfikowanego ryzyka. Oznacza to więcej czasu, więcej zasobów i więcej uwagi, które będzie trzeba w tym celu poświęcić. Ponadto zastosowane środki bezpieczeństwa będą musiały być aktualizowane stosownie do rozwoju technologii i powstawania nowych zagrożeń. Nie wystarczy raz wdrożyć zabezpieczeń technicznych i procedur – zapewnienie zgodności z wymaganiami w zakresie bezpieczeństwa danych i procesów ich przetwarzania będzie wymagało ciągłego analizowania zagrożeń i dostępnych technologii oraz okresowego dostosowywania zabezpieczeń.

Rozliczalność działań

Rozporządzenie ogólne o ochronie danych osobowych wymaga nie tylko zgodności działania z określonymi w nim zasadami, ale także zdolności wykazania tej zgodności. W praktyce oznacza to m.in., że podmioty przetwarzające dane będą musiały prowadzić dokumentację potwierdzającą spełnienie określonych w Rozporządzeniu wymagań. Nie chodzi jedynie o polityki, ale także o dokumentację procesów decyzyjnych, których następstwem jest określone działanie lub zaniechanie w obszarze ochrony danych osobowych.

Przykładowo w przypadku decyzji o niewyznaczeniu inspektora ochrony danych podmiot przetwarzający powinien opracować i utrwalić dla celów dowodowych analizę wskazującą na brak obowiązku jego wyznaczenia. Nie wystarczy po prostu nie powołać. Z zasady rozliczalności wynika, że podmiot przetwarzający będzie musiał wykazać, że podjął decyzję o niepowoływaniu na podstawie analizy przepisów i własnej sytuacji faktycznej. Analogicznie podmiot przetwarzający powinien dokumentować uwzględnienie zasady privacy by design, a także proces decyzyjny, prowadzący do niepoinformowania organu nadzoru o naruszeniu ochrony danych ze względu na małe prawdopodobieństwo, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.

Cena braku zgodności

Rozporządzenie ogólne zmienia także filozofię karania za naruszenia. Regulacje obowiązujące obecnie w Polsce są łagodne dla podmiotów przetwarzających dane osobowe z naruszeniem wymagań prawa. Katalog możliwych do wymierzenia kar jest krótki i nie obejmuje z reguły bardzo dotkliwej dla przedsiębiorców kary finansowej. Ustawa o ochronie danych osobowych przewiduje co prawda sankcję karną (nawet do dwóch lat więzienia), jednak w praktyce konsekwencje karne wyciągane są niezmiernie rzadko. Rzadko do tego stopnia, że odpowiedzialność karna w związku z naruszeniem zasad przetwarzania danych osobowych funkcjonuje w świadomości polskich przedsiębiorców bardziej jako legenda niż rzeczywistość.

Rozporządzenie zmienia reguły gry w sposób zasadniczy, wprowadzając kary finansowe za działania niezgodne z regulacjami ochrony danych osobowych. Kary będą mogły sięgać w zależności od rodzaju i ciężaru gatunkowego naruszenia do 10 lub do 20 mln euro albo odpowiednio do 2% lub do 4% całkowitego rocznego obrotu ukaranego przedsiębiorcy za poprzedni rok obrotowy. Te liczby robią wrażenie. Nawet jeśli ostatecznie kary wymierzane przez polski organ nadzorczy (prawdopodobnie GIODO) będą zdecydowanie niższe niż przewidziane limity, to mimo wszystko mogą się okazać bardzo dotkliwe. W każdym razie warto nie dopuścić do tego, aby 25 maja 2018 r. być nieprzygotowanym na nową, ryzykowną rzeczywistość ochrony danych osobowych.

Mecenas Sławomir Kowalski jest adwokatem w kancelarii prawnej Maruta Wachta. Koordynuje prace w obszarach związanych z ochroną danych osobowych.