25 maja 2018 r. we wszystkich krajach należących do Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679, zwane potocznie RODO. Ministerstwo Cyfryzacji wydało informator dotyczący rozporządzenia. Zaznaczono jednak, że nie stanowi on wiążącej interpretacji przepisów prawa, ale pokazuje stanowisko resortu.
Istotnym jest wiedza, że RODO obejmuje wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych. W związku z tym w zgodzie z nowymi przepisami dane osobowe to takie dane, które pozwalają zidentyfikować osobę fizyczną.
Dane osobowe to takie informacje jak:
- imię,
- nazwisko,
- numer PESEL,
- płeć,
- adres e-mail,
ale również mniej oczywiste, czyli:
- numer IP,
- dane o lokalizacji,
- kod genetyczny,
- poglądy polityczne,
- historia zakupów.
Wszelkie informacje zbierane na temat osoby, które pozwalają na ustalenie jej tożsamości, są danymi osobowymi, niezależnie od tego, czy są przetwarzane w formie papierowej, czy cyfrowej.
Zaprezentowany przez Ministerstwo Cyfryzacji informator zawiera odpowiedzi na najczęściej zadawane pytania dotyczące wdrażania przepisów RODO w sektorze prywatnym i publicznym.
Informator przybliża następujące kwestie:
- rejestr czynności przetwarzania danych osobowych,
- prawo do bycia zapomnianym,
- prawo do przenoszalności danych,
- uzyskiwanie zgody dziecka,
- obowiązek aktualizowania uzyskanej już raz zgody na przetwarzanie danych po wejściu w życie RODO,
- różnice między anonimizacją oraz pseudonimizacją,
- obowiązek zgłaszania naruszeń przepisów RODO.
I. REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH
Rejestr czynności, w myśl rozporządzenia, zastąpi obowiązek zgłaszania zbiorów danych do organu nadzorczego (obecnie GIODO). Rejestr będzie musiał być sporządzany wewnątrz przedsiębiorstwa lub innej instytucji prywatnej bądź publicznej, a dokumentacja z rejestru pozwoli rozliczać się przed organem nadzoru w przypadku kontroli. Rejestr stanowił będzie dokumentację związaną z przetwarzaniem danych osobowych.
Zawarte w nim powinny być wszystkie czynności związane z przetwarzaniem danych osobowych. Zaznaczyć jednak należy, że „czynności związane z przetwarzaniem danych” nie są tym samym, co „operacje przetwarzania”. Operacje to m.in. zbieranie, porządkowanie, usuwanie danych osobowych zdefiniowane w słowniczku (art. 4 pkt 2 RODO).
Kontekst czynności przetwarzania wymaga szerokiego spojrzenia na przetwarzane dane osobowe w organizacji. Kształtując rejestr na podstawie kategorii podmiotów danych, można wyróżnić np. pracowników i klientów. Następnym krokiem może być określenie czynności przetwarzania danych w poszczególnych kategoriach. W kategorii pracowników mogą to być czynności przetwarzania dotyczące np.: zatrudniania, wypłaty wynagrodzenia, organizacji wyjazdów służbowych, ubezpieczenia społecznego, ubezpieczenia chorobowego. Każdej kategorii czynności powinny być przypisane operacje przetwarzania. Oprócz tego w rejestrze powinien zostać zamieszczony szereg innych informacji, które muszą znaleźć się w rejestrze prowadzonym odpowiednio przez administratora danych i przetwarzającego. Sprawą indywidualnego wyboru jest sposób prowadzenia rejestru.
Istotne jest jednak to, że rejestr czynności nie musi być prowadzony w przedsiębiorstwach zatrudniających mniej niż 250 osób, chyba że:
- przetwarzanie może naruszać prawa lub wolności osób, których dane przetwarzamy np. może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości,
- przetwarzanie obejmuje szczególne kategorie danych (np. dane biometryczne) lub dane dotyczące wyroków skazujących i naruszeń prawa,
- przetwarzanie nie ma charakteru sporadycznego, np. przetwarzanie danych związanych z zarządzaniem Klientami, zarządzaniem Personelem.
II. PRAWO DO USUNIĘCIA DANYCH (PRAWO DO BYCIA ZAPOMNIANYM)
Nowe prawo przyznaje osobom, których dane dotyczą, prawo do usunięcia danych, w tym prawo do bycia zapomnianym. Zgodnie z przepisami RODO osoba taka ma prawo żądać od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki te dane osobowe usunąć.
Prawo do bycia zapomnianym obejmuje także prawo do żądania od administratora, który upublicznił dane, aby ten podjął działania w celu poinformowania innych administratorów przetwarzających te dane, że podmiot danych żąda ich usunięcia. Na administratora danych spada odpowiedzialność zapewnienia środków technicznych i organizacyjnych, pozwalających na całkowite usunięcie danych osoby, która korzysta z prawa do bycia zapomnianym. Należy usunąć dane ze wszystkich miejsc, czyli z m.in.: serwera, poczty, plików Word i Excel, dysków zewnętrznych i przenośnych, ale również z papierowych kopii. Dane osobowe muszą być także usuwane ze wszystkich kopii zapasowych oraz logów. Konieczna jest także wiedza komu w czasie trwania współpracy przekazano przetwarzanie danych osoby, która wnosi o prawo do bycia zapomnianym. Obowiązkiem administratora jest poinformowanie podmiotów przetwarzających, by także usunęli dane tej osoby.
Obowiązek usunięcia danych powstaje, gdy:
- dane osobowe nie są już niezbędne do celów, do których je zebrano,
- podmiot danych wycofał zgodę i nie istnieje inna podstawa prawna dla przetwarzania tych danych,
- podmiot danych wniósł sprzeciw do dalszego przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,
- dane osobowe były przetwarzane niezgodnie z prawem,
- dane osobowe muszą być usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w unijnym bądź krajowym przepisie prawnym (np. przepisach dotyczących niszczenia dokumentacji medycznej),
- dane zostały zebrane w celu świadczenia usług internetowych dziecku.
III. PRAWO DO PRZENOSZALNOŚCI DANYCH
Osoba, której dane dotyczą, ma prawo żądać:
- wydania jej w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych jej dotyczących, które dostarczyła administratorowi oraz ma prawo samodzielnie przesłać te dane osobowe innemu („nowemu”) administratorowi bez przeszkód ze strony pierwszego administratora,
- przesłania swoich danych osobowych z systemów informatycznych od administratora, któremu je wcześniej przekazała, innemu, „nowemu” administratorowi, o ile jest to technicznie możliwe.
Prawo do przenoszenia danych osobowych dotyczy danych osobowych przetwarzanych w systemach informatycznych. Objęte prawem do przenoszenia są dane przetwarzane w systemach IT w związku z korzystaniem przez osobę, której dane dotyczą, z usług lub urządzeń. Prawo do przeniesienia danych nie obejmuje jednak „danych wywnioskowanych” i „danych wywiedzionych”, np. takich jak wyniki algorytmiczne. Prawo do przeniesienia danych stosuje się, jeśli przetwarzanie opiera się podstawie zgody lub umowy. Nie obejmuje ono administratorów, którzy przetwarzają dane niezbędne do wykonania zadania realizowanego w interesie publicznych lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
Prawo do przeniesienia danych nie jest tym samym co prawo do bycia zapomnianym. „Stary” administrator danych nie będzie miał automatycznie obowiązku usunięcia przeniesionych danych, jednak na żądanie podmiotu danych będzie musiał przeniesione już dane usunąć.
Przenoszalność danych nie ma zastosowania do ich przetwarzania w zakresie:
- niezbędnym do wykonania zadania realizowanego w interesie publicznym,
- niezbędnym w ramach sprawowania władzy publicznej powierzonej administratorowi.
IV. UZYSKIWANIE ZGODY DZIECKA
RODO, kierując się potrzebą większej ochrony osób małoletnich, reguluje formę zgody dziecka w stosunku do usług społeczeństwa informacyjnego. Za taką usługę uważa się każdą odpłatną usługę świadczoną na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. Wielu administratorów mylnie identyfikuje obowiązek odbierania zgody rodzica zawsze, gdy usługa świadczona jest w sieci Internet. Ma on jednak zastosowanie tylko w ograniczonym zakresie tam, gdzie podstawą przetwarzania danych jest zgoda, a nie np. umowa.
W ogromnej licznie przypadków podstawą korzystania z usługi jest akceptacja regulaminu świadczenia usług drogą elektroniczną, np. przy zakładaniu kont na portalach społecznościowych bądź zakładaniu konta e-mail. W takich przypadkach zgoda rodzica na przekazanie danych osobowych z punktu widzenia RODO nie jest wymagana, jednak wymagana może okazać się zgoda rodzica na zawarcie umowy zgodnie z przepisami prawa cywilnego.
RODO nakazuje administratorowi podjęcie rozsądnych działań w celu weryfikacji zgody lub aprobaty rodzica lub opiekuna prawnego. Administrator może w tym celu na przykład wprowadzić zasadę uwierzytelniania przez inne konto, która pozwoli dziecku przesłać prośbę o zgodę do sprawdzonego konta rodzica na tym samym portalu.
V. OBOWIĄZEK AKTUALIZOWANIA UZYSKANEJ JUŻ RAZ ZGODY NA PRZETWARZANIE DANYCH PO WEJŚCIU W ŻYCIE RODO
Zgodnie z RODO jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46 i odpowiada warunkom przewidzianym w ustawie o ochronie danych osobowych z 1997 r. będzie ona ważna również po 25 maja 2018 r. W takim przypadku administrator może kontynuować przetwarzanie w oparciu o „starą” zgodę.
Zgody zbierane przed rozpoczęciem stosowania RODO i zgodnie z krajowymi przepisami o ochronie danych osobowych nie muszą być automatycznie zbierane ponownie po 25 maja 2018 r. Ale zgoda zachowa ważność wyłącznie wtedy, jeżeli jest zgodna z zasadami określonymi w RODO.
Przepisy RODO nakładają na administratorów nieistniejący dzisiaj obowiązek poinformowania o prawie do odwołania zgody na etapie gromadzenia danych. Definicja zgody w RODO zawiera dwie nowe przesłanki w porównaniu do zgody określonej w dyrektywie 95/46, a więc i w ustawie o ochronie danych osobowych z 1997 roku, są to:
- przesłanka jednoznacznego okazania woli,
- przesłanka oświadczenia pisemnego, elektronicznego bądź wyraźnego działania potwierdzającego okazanie woli (którą można nazwać „okazaniem woli w sposób afirmatywny”).
Zgodnie z RODO spełnienie przesłanki afirmatywnej formy okazania woli może natomiast polegać m.in. na:
- zaznaczeniu okienka wyboru podczas przeglądania strony internetowej,
- wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego,
- innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.
VI. ANONIMIZACJA A PSEUDONIMIZACJA
Anonimizacja pozwala na usunięcie powiązań między danymi osobowymi a osobami, których dane dotyczą. Zanonimizowane dane nie są danymi osobowymi, ponieważ nie wiążą się z identyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. W związku z tym zasady ochrony danych nie powinny mieć zastosowania do danych zanonimizowanych, co oznacza, że RODO nie stosuje się do przetwarzania takich anonimowych informacji.
Natomiast pseudonimizacja to „ukrycie” danych osobowych. Dane osobowe, które są spseudonimizowane, pozostają danymi osobowymi. Poddając je w pseudonimizacji tylko na jakiś czas „ukrywamy” informacje pozwalające zidentyfikować osobę, której dane dotyczą. W celu dokonania skutecznej czynności pseudonimizacji istotne jest to, aby klucz pozwalający odczytać dane był przechowywany osobno, tj. w innym miejscu niż same dane. Ponadto klucz musi być odpowiednio zabezpieczony w sposób techniczny i organizacyjny.
Różnica między tymi dwoma procesami wymaga analizy tego, czy dana osoba fizyczna jest nadal możliwa do zidentyfikowania. Dlatego trzeba wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby, co do których istnieje możliwość, że zostaną wykorzystane przez administratora lub inną osobę w celu zidentyfikowania tożsamości tej osoby fizycznej.
VII. OBOWIĄZEK ZGŁASZANIA NARUSZEŃ
Administrator danych osobowych jest zobowiązany do dokumentowania naruszeń ochrony danych osobowych. Zgodnie z RODO naruszenie ochrony danych osobowych należy bezwzględnie zgłosić w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Zgłoszenie musi zawierać m.in.:
-
- opis naruszenia, kategorię danych, przybliżoną liczbę osób, których dane dotyczą, liczbę wpisów, których dotyczy naruszenie,
- opis konsekwencji naruszenia danych,
- opis środków jakie zastosowano lub jakie administrator proponuje w celu naprawy sytuacji lub zminimalizowania negatywnych konsekwencji naruszenia.
RK