Rozpoczęły się kontrole Urzędu Ochrony Danych Osobowych

Prezes UODO Edyta Bielak-Jomaa w rozmowie z serwisem money.pl poinformowała, że kontrole stosowania RODO już się rozpoczęły. W pierwszej kolejności będą one przeprowadzane w administracji publicznej, zwłaszcza w rejestrach publicznych takich jak ePuap. Prowadzone kontrole mają charakter doraźny (jako reakcja na skargi), ale także sektorowy, planowany. Następne będą sektor medyczny, oświata oraz administratorzy monitoringu wizyjnego.

Przepisy obowiązują już od dwóch lat…

Prezes Urzędu Ochrony Danych Osobowych zapoczątkowała rozmowę poprzez zwrócenie uwagi, że przepisy RODO zostały uchwalone już w 2016 r., więc przedsiębiorcy mieli ponad dwa lata na dostosowanie się do nowych regulacji. Edyta Bielak-Jomaa zaakcentowała także istnienie mitów, które narosły wokół rozporządzenia, przysłaniając jego podstawowy cel: zapewnienie wyższego poziomu ochrony danych w Europie, unifikację prawa krajów członkowskich a także zapewnienie swobodnego przepływu danych osobowych w Unii Europejskiej, co jest jednym z warunków rozwoju gospodarczego i prowadzenia biznesu.

Pokłosie wycieku z bazy PESEL

Odnosząc się do ePuap, Prezes podkreśliła, że rejestry tego typu są w każdym momencie zasilane nowymi porcjami danych osobowych, więc należy zwrócić szczególną uwagę na ich zgodność z przepisami o ochronie danych. UODO poprzez swoje działania chce także ustrzec przed sytuacjami, w których nawet podmioty uprawnione są w stanie otrzymać dostęp do danych pochodzących z takich rejestrów „w sposób nieokreślony i ponad miarę”. Uwydatniona została także potrzeba zwrócenia uwagi na działania administratorów danych osobowych rejestrów publicznych.

Ponad 2400 skarg

Prezes UODO poinformowała także, że w ciągu trzech miesięcy stosowania RODO do Urzędu wpłynęło już prawie 2400 skarg, 1100 zgłoszeń naruszeń ochrony danych oraz 1000 pytań prawnych. W porównaniu z ubiegłym rokiem, w którym przez okres 12 miesięcy do Urzędu wystosowano mniej niż 3000 skarg, liczby te robią wrażenie. Mogą one świadczyć o tym, że RODO istotnie zwiększyło świadomość obywateli na temat ochrony danych osobowych.

Monitoring wizyjny

Edyta Bielak-Jomaa potwierdziła także, że do końca września Urząd nie będzie podejmował władczych działań związanych z monitoringiem wizyjnym. Jednakże w związku z wydaniem przez UODO wytycznych dot. monitoringu wizyjnego, kontrolerzy od października szczególnie zwrócą uwagę na aspekt dostosowania się administratorów danych do wskazówek, które zostały im przekazane w tym zakresie.

Nasze nowe strony internetowe

Pragniemy poinformować, że w ramach DLS powstały dwie nowe strony, a jeden z blogów przeszedł modernizację.

Szkolenia z RODO

W ramach naszych stron powstała nowa strona dedykowana tylko usługom szkoleniowym – Szkolenia z RODO . Na tej stronie odnajdziecie Państwo naszą ofertę szkoleniową, a także samodzielnie będziecie mogli Państwo zapisać się na szkolenia w dogodnych dla Państwa terminach. Nasze najbliższe szkolenia znajdziecie Państwo tutaj. Jeżeli są Państwo niezdecydowani lub nie wiedzą jakie szkolenie jest dla Państwa najlepsze polecamy skorzystać z quizu, który na podstawie Państwa odpowiedzi zaproponuje Państwu szkolenie.

Jak chronić informacje?

Dodatkowo nasz blog „Jak chronić informacje?” przeszedł modernizację oraz uzyskał nową szatę graficzną. Mamy nadzieję, że dzięki nowemu układowi treści oraz lepszej prezentacji tekstu, będzie on dla Państwa pomocą w wykonywaniu codziennych zadań Inspektorów Ochrony Danych.

eRODO

Pragniemy też poinformować, że w  26.09.br rozpocznie swoją działalność nasz nowy portal eRODO.pl. Celem naszego nowego portalu jest wsparcie we wdrożeniach RODO w organizacjach w szczególności w małych i średnich przedsiębiorstwach. Oprócz poprowadzenia przez proces wdrożenia, portal będzie zawierał również łatwy do nawigacji tekst RODO zarówno w wersji polskiej, jak i angielskiej. Na portalu również będzie można odnaleźć niezbędne wzory dokumentów, które ułatwiają wdrożenie RODO.

Przetwarzanie danych osobowych. 8 pytań, na które musisz znać odpowiedź

Zagadnieniem wokół którego oscyluje cała treść RODO jest przetwarzanie danych osobowych. Ustawodawca unijny dokonuje szerokiego ujęcia tego pojęcia i wyróżnia wiele składników procesu przetwarzania danych, które mogą nie być tak oczywiste. Należy jednak pamiętać, że wyliczenie zawarte w treści RODO ma charakter tylko przykładowy i nie jest ograniczone,

1. Co to przetwarzanie danych?

Przetwarzanie danych osobowych to wszelkiego typu operacje, jakie są dokonywane na informacjach o osobach fizycznych. Dotyczy to zarówno działań podjętych wobec pojedynczych rekordów danych, jak i całych zbiorów/zestawów takich danych.

2. Jakie czynności są uznane za przetwarzanie danych osobowych wg RODO?

Zgodnie z Art. 4 ust 2 RODO za przetwarzanie danych uznaje:

  • zbieranie,
  • utrwalanie,
  • organizowanie,
  • porządkowanie,
  • przechowywanie,
  • adaptowanie lub modyfikowanie,
  • pobieranie,
  • przeglądanie,
  • wykorzystywanie,
  • ujawnianie przez przesłanie,
  • rozpowszechnianie lub innego rodzaju udostępnianie,
  • dopasowywanie lub łączenie,
  • ograniczanie,
  • usuwanie lub niszczenie.

Niemniej należy pamiętać, że jest to wyliczenie przykładowe. Za przetwarzanie danych osobowych może zostać uznana każda operacja lub zestaw operacji dokonywanych na danych osobowych lub na zestawach tych danych. Dokonywana czynność nie musi być explicite wymieniona w treści RODO, może ona odbywać się w sposób zautomatyzowany (np. w systemach informatycznych) lub tradycyjny (np. w papierowych kartotekach).

3. Czy każde przedsiębiorstwo przetwarza dane osobowe?

Proces przetwarzania danych osobowych jest nieodłącznym elementem działalności każdego przedsiębiorstwa, choć często nie zdajemy sobie z tego sprawy. Codziennie bowiem podmioty prowadzące działalność przetwarzają dane m.in.:

  • dane pracowników i kandydatów na pracowników;
  • dane osób odwiedzających siedzibę spółki;
  • dane kontrahentów lub ich pracowników.

Więcej o tym czy jesteś zobowiązany do przestrzegania RODO znajdziesz w tym artykule.

4. Kim jest Administrator Danych Osobowych?

Za Administratora Danych Osobowych (ADO) należy uznać podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administratorem danych może być zarówno osoba prawna, jednostka organizacyjna nieposiadająca osobowości prawnej, podmiot publiczny, jak i osoba fizyczna. Kryterium wyróżniającym ADO w biznesie jest przetwarzanie danych w związku z prowadzoną działalnością zawodową lub handlową. Oznacza to, że osoba fizyczna która przetwarza dane w celu osobistym lub domowym nie będzie uznana za administratora danych osobowych, nie podlega ona zatem rygorom RODO.

5. Czym jest przetwarzanie danych w celach osobistych?

Za przetwarzanie danych w celu osobistym możemy uznać np.: posiadanie adresów e-mail lub numerów telefonów naszych znajomych oraz kontaktowanie się z nim. Należy jednak pamiętać, że działalnością domową nie będzie korzystanie po godzinach pracy z danych osobowych, z którymi zostaliśmy zaznajomieni podczas wykonywania obowiązków służbowych. Więcej o przetwarzaniu danych w celach osobistych znajdziesz w tym artykule.

6. Jaki status w RODO mają moim kontrahenci np. obsługa IT, księgowość czy BHP?

Firmy świadczące outsourcing procesów biznesowych są podmiotami przetwarzającymi. Choć nazwa ta może być nieco myląca, kryje się za nią podmiot zewnętrzny, który na zlecenie ADO przetwarza dane osobowe. Określany jest on także mianem procesora. Podmiot ten działa na podstawie tzw. powierzenia danych osobowych, co oznacza sytuację, w której dochodzi do przetwarzania danych, które posiada Administrator, przez inny podmiot na podstawie zawartej umowy. Aby takie powierzenie było legalne, należy spełnić następujące warunki:

  1. należy zawrzeć umowę w formie pisemnej, która reguluje stosunki na linii administrator – procesor (tzw. umowa powierzenia) oraz
  2. ADO powinien sprawować kontrolę nad działalnością procesora (oznacza to sprawowanie kontroli nad tym, czy procesor przetwarza dane zgodnie z prawem i umową powierzenia).

7. Kim jest Inspektor Ochrony Danych Osobowych?

Zastąpił on dotychczas działającego Administratora Bezpieczeństwa Informacji (ABI). Jest on odpowiedzialny za nadzór nad ochroną danych w przedsiębiorstwie oraz zapewnienie zgodności procesu przetwarzania danych z prawem. Jest on osobą, do której powinni mieć możliwość zwrócić pracownicy w związku z pytaniami lub wątpliwościami dotyczącymi danych osobowych. Więcej na ten temat pisaliśmy w tym artykule.

8. I co z tego, że przetwarzam dane osobowe?

Przetwarzanie danych osobowych, zgodnie z treścią RODO, dotknięte jest wieloma obostrzeniami. Musi być ono bowiem zgodne z zasadami wymienionymi w art. 5 rozporządzenia. Do zasad tych można zaliczyć:

  • zgodności z prawem (legalność);
  • rzetelności i prawidłowości;
  • ograniczenia celu;
  • minimalizacji danych;
  • integralności i poufności;
  • przejrzystości;
  • ograniczenia przechowania oraz
  • rozliczalności.

Wyrażone wprost w rozporządzeniu podstawowe pryncypia ochrony danych osobowych wskazują kierunek rozwoju ochrony prywatności obrany przez ustawodawcę unijnego. Wyznaczają one również standardy dla pozostałych regulacji oraz aktów prawnych państw członkowskich.

Podsumowanie

Reasumując, można uznać, że RODO w sposób szczegółowy określa zakres działań wchodzących w skład przetwarzania danych osobowych. Nie jest to jednak wyliczenie pełne, więc za przetwarzanie danych mogą zostać uznane procesy, które nie zostały bezpośrednio wymienione w artykule 4 RODO. Definicja przetwarzania danych, stanowiąca katalog otwarty, została skonstruowana w ten sposób, aby nie dezaktualizowała się wraz z pojawieniem się nowych sposobów przetwarzania danych. Zasady określone w rozporządzeniu powinny być stosowane jak najpełniej do wszelkich czynności związanych z przetwarzaniem danych – chyba że przetwarzanie to następuje tylko w celach osobistych.

Kto musi powołać inspektora ochrony danych?

Jedną ze zmian jakie wprowadza RODO jest określenie administratora danych, którzy zobowiązani są do wyznaczenia Inspektora Ochrony Danych. Podobną funkcję, znaną wcześniej na gruncie polskiej ustawy o ochronie danych osobowych, pełnił Administrator Bezpieczeństwa Informacji (ABI), jednak ustawa o ochronie danych nie nakładała powszechnego obowiązku powoływania ABI.

Trzy rodzaje podmiotów zobligowane do powołania IOD

Przepisy RODO przewidują trzy przypadki, w których powołanie IOD jest obowiązkiem administratora danych. Pierwszy z nich ma charakter podmiotowy, bowiem odnosi się do kategorii podmiotów, które zobligowane zostały do wyznaczenia IOD, dwa kolejne mają charakter przedmiotowy – dotyczą przedmiotu działalności administratorów danych.

Obowiązek powołania IOD określa art. 37 ust. 1 RODO:

Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Użyte w treści przepisu słowa „wyznaczają (…) zawsze gdy” oznaczają prawny obowiązek wyznaczenia IOD dla określonych kategorii podmiotów. Brak dostosowania się do powyższego będzie oceniany negatywnie przez organ kontrolujący i może skutkować karami finansowymi dla organizacji. W sytuacji, gdy organizacja uzna, że nie podlega powyższemu przepisowi i nie musi wyznaczyć Inspektora Ochrony Danych, powinna ta decyzję udokumentować odpowiednio przeprowadzoną analizą wewnętrzną realizującą zasadą rozliczalności.

W przypadku, gdy przedsiębiorca nie jest zobligowany do wyznaczenia IOD, może on fakultatywnie skorzystać z tego uprawnienia, aby np. podnieść poziom bezpieczeństwa danych w swojej organizacji. IOD powołany bez obowiązku prawnego będzie podlegał tym samym prawom i obowiązkom, co inspektorzy wyznaczeni obligatoryjnie. O plusach powołania IOD pisaliśmy w tym artykule.

Organy lub podmioty publiczne

RODO nie przyjmuje jednoznacznej definicji organów lub podmiotów publicznych. W wytycznych Grupy Roboczej Art. 29: „Wytyczne dotyczące inspektorów ochrony danych” wskazano, że pojęcie to powinno zostać określone na poziomie ustawodawstwa krajowego. Do podmiotów takich najczęściej zalicza się organy władzy krajowej, organy regionalne i lokalne, ale również – na mocy właściwego prawa krajowego – szereg innych podmiotów prawa publicznego. We wszystkich tych przypadkach powołanie IOD jest obowiązkowe.

Odnosząc powyższe do polskich przepisów, należy przyjąć, że powyższe dotyczy podmiotów wymienionych w art. 9 ustawy o ochronie danych osobowych oraz wymienionych w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, tj.:

  1. organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;
  2. jednostki samorządu terytorialnego oraz ich związki;
  3. związki metropolitalne;
  4. jednostki budżetowe;
  5. samorządowe zakłady budżetowe;
  6. agencje wykonawcze;
  7. instytucje gospodarki budżetowej;
  8. państwowe fundusze celowe;
  9. Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego;
  10. Narodowy Fundusz Zdrowia;
  11. samodzielne publiczne zakłady opieki zdrowotnej;
  12. uczelnie publiczne;
  13. Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne;
  14. państwowe i samorządowe instytucje kultury;
  15. inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego;
  16. Instytutów badawczych;
  17. Narodowego Banku Polskiego.

Istnieją również sytuacje, w których podmioty sektora prywatnego realizują zadania publiczne. Wykonywanie zadań publicznych przez podmiot prywatny powinno wynikać albo z przepisów prawa, albo ze stosownej umowy zawartej przez ten podmiot z podmiotem prawa publicznego zobowiązanym do wykonywania określonego zadnia publicznego. Możliwość przeniesienia kompetencji w ten sposób na podmiot niepubliczny powinna wprost wynikać z przepisów prawa. Powołanie w tych przypadkach IOD nie jest obligatoryjne, jednak zalecane jako dobra praktyka, ponieważ dane osobowe w takich przypadkach znajdują się w podobnej sytuacji, jaka ma miejsce przy przetwarzaniu ich przez organy publiczne.

Ostatnie zdanie art. 37 ust. 1 lit a RODO wskazuje na wyłączenie obowiązku wyznaczenia IOD przez sądy w zakresie sprawowania przez nie wymiaru sprawiedliwości. Należy zwrócić uwagę, że dotyczy ono tylko sytuacji przetwarzania danych w związku z rozstrzyganiem sporów sądowych, jednak nie zwalnia całkowicie ze stosowania przepisów dot. ochrony danych osobowych, np. względem danych pracowników sądu.

Powołanie IOD, a rodzaj prowadzonej działalności

Art. 37 ust. 1 lit. b i c RODO odwołują się do pojęć, które nie zostały zdefiniowane w treści RODO, a mianowicie do „głównej działalności administratora lub podmiotu przetwarzającego”, „przetwarzania na duża skalę” i „regularnego i systematycznego monitorowania osób, których dane dotyczą”. Brak dokładnej definicji tych pojęć sugeruje, że podmioty przetwarzające dane niejako same mogą zdecydować o tym, czy podlegają obowiązkowi wyznaczenia IOD. Rozporządzenie nie określa bowiem kategorii podmiotów ani ilości przetwarzanych rekordów, które wskazywałyby dokładniej, kogo mogą dotyczyć wymogi art. 37 ust. 1 lit. b i c RODO. Okoliczność ta ma jednak również swoje wady – organ nadzoru będzie podejmował ocenę tych kryteriów arbitralnie, opierając ją na swoich indywidualnych przekonaniach.

Główna działalność administratora lub podmiotu przetwarzającego

Zgodnie z motywem 97 ogólnego rozporządzenia o ochronie danych „główna działalność administratora” oznacza „zasadnicze, a nie poboczne czynności” podejmowane przez podmiot. Wytyczne Grupy Roboczej Art. 29 wskazują, że „główną działalnością” będzie zatem działalność kluczowa z punktu widzenia osiągnięcia celów administratora lub procesora.

Należy jednak zwrócić uwagę, że czynności nierozerwalnie związane z działalnością główną administratora lub podmiotu przetwarzającego, nawet jeśli nie stanowią celu same w sobie, również będą wchodziły w zakres „głównej działalności”. Grupa Robocza Art. 29 podaje przykład spółki świadczącej usługi ochrony mienia, która prowadzi monitoring w szeregu nieruchomości. Działalnością główną tej spółki będzie ochrona mienia, jednak jest ona nierozerwalnie związana z prowadzeniem monitoringu ww. miejsc, zatem monitoring należy do zakresu głównej działalności spółki, co oznacza, że jest ona zobligowana do wyznaczenia IOD.

W tym miejscu należy rozróżnić działalność wspierającą, która występuję w większości podmiotów i choć jest nierozerwalnie związana z prowadzeniem działalności głównej, nie jest do niej zaliczana, np. prowadzenie listy płac pracowników, korzystanie z obsługi informatycznej.

Przetwarzanie na dużą skalę

Zgodnie z motywem 91 : operacje przetwarzania o dużej skali – które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko.

Poza tym krótkim wyjaśnieniem, przepisy RODO nie wskazują konkretnych wartości ani liczby rekordów danych lub podmiotów, których dane dotyczą, uznawanych za „przetwarzanie na dużą skalę”. Grupa Robocza Art. 29 zaleca uwzględnianie poniższych czynników przy określaniu rozmiaru skali przetwarzania:

  1. liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
  2. zakres przetwarzanych danych osobowych;
  3. okres, przez jaki dane są przetwarzane;
  4. zakres geograficzny przetwarzania danych osobowych.

Jako przykłady „przetwarzania na dużą skalę” Grupa Robocza Art. 29 podaje:

  1. przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności;
  2. przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem kart miejskich);
  3. przetwarzanie danych geolokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych;
  4. przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;
  5. przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki;
  6. przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.

Na zakończenie warto dodać, że motyw 91 RODO statuuje również, że przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

„Regularne i systematyczne monitorowanie” – art. 37 ust. 1 lit. b RODO

Jak w przypadku poprzednich pojęć, informacje o „regularnym i systematycznym monitorowaniu osób, których dane dotyczą” odnajdujemy w motywie RODO. Motyw 24 rozporządzenia stanowi: aby stwierdzić, czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw. Powyższe oznacza, że monitorowanie to obejmuje wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych. Grupa Robocza Art. 29 wskazuje również, że motyw ten jest tylko wskazówką w dekodowaniu pojęcia „monitorowania”, co oznacza, że nie musi być ono ograniczone do środowiska on-line, jest to tylko przykład zawarty w treści RODO.

Grupa Robocza Art. 29 definiuje „regularne” jako jedno lub więcej z następujących pojęć:

  1. stałe albo występujące w określonych odstępach czasu przez ustalony okres;
  2. cykliczne albo powtarzające się w określonym terminie;
  3. odbywające się stale lub okresowo.

GR Art. 29 definiuje „systematyczne” jako jedno lub więcej z następujących pojęć:

  1. występujące zgodnie z określonym systemem;
  2. zaaranżowane, zorganizowane lub metodyczne;
  3. odbywające się w ramach generalnego planu zbierania danych;
  4. przeprowadzone w ramach określonej strategii.

Przykładami działań, które mogą być uznane za „regularne i systematyczne monitorowanie osób, których dane dotyczą” są: obsługa sieci telekomunikacyjnej, śledzenie lokalizacji przez aplikacje mobilne, reklama behawioralna, programy lojalnościowe, monitoring wizyjny, inteligentne samochody, automatyka domowa etc.

Szczególne kategorie danych oraz dane dotyczące wyroków skazujących i naruszeń prawa – art. 37 ust. lit. c RODO

Trzeci przypadek, który obliguje do wyznaczenia IOD, zawiera pojęcia, które zostały zdefiniowane w treści RODO, albowiem szczególne kategorie danych określone w art. 9 rozporządzenia stanowią: dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetycznych, dane biometrycznych wykorzystywane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczących zdrowia, seksualności lub orientacji seksualnej. Art. 10 RODO dotyczy danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa, które wolno przetwarzać wyłącznie pod nadzorem władz publicznych lub w oparciu o przepisy prawa, zachowując odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wykładnia literalna art. 37 ust. 1 lit. c RODO wydaje się statuować twierdzenie, że obowiązek wyznaczenia IOD nie ciąży na administratorach, którzy przetwarzają dane dotyczące „powiązanych środków bezpieczeństwa”, ponieważ nie zostały one wskazane wprost w analizowanym przepisie. Jednak z uwagi na cel przepisu, czyli zagwarantowanie wysokiego poziomu ochrony danych osobowych przez określone podmioty poprzez obowiązek powołania IOD, wydaje się, że również ci administratorzy zobowiązani są do wyznaczenia inspektora ochrony danych.

Grupa Robocza Art. 29 zwróciła uwagę na spójnik użyty w przepisie, albowiem chociaż wykładnia językowa zakłada wyznaczenie IOD tylko w przypadku, gdy przetwarzane są przez jeden podmiot dwa powyższe rodzaje danych, to nie ma powodu, dla którego zasadne byłoby wymaganie spełnienie tych dwóch przesłanek jednocześnie. Zdaniem Grupy Roboczej Art. 29 zastosowanie powinien mieć spójnik „lub”.

Administrator czy procesor?

Obowiązek wynikający z wyżej przywołanego przepisu dotyczy niezależnie zarówno administratorów danych, jak i podmioty przetwarzające, bez względu na sektor prowadzonej działalności. Obowiązek powołania IOD aktualizuje się względem tego podmiotu, który spełnia przesłanki wymienione w art. 37 ust. 1 RODO, zatem może spoczywać wyłącznie na procesorze lub wyłącznie na administratorze. Możliwa jest również sytuacja, gdy obydwa te podmioty będą zobowiązane wyznaczyć IOD. W takim przypadku powołani inspektorzy powinni współpracować ze sobą.

W wytycznych wskazano, że może zdarzyć się sytuacja, w której obowiązek wyznaczenia IOD będzie spoczywał tylko na jednym z wyżej wymienionych podmiotów, mimo przetwarzania tego samego zestawu danych. Drugi podmiot może w takim przypadku wyznaczyć IOD w ramach dobrej praktyki. Przykładem podanym przez Grupę Roboczą Art. 29 jest małe rodzinne przedsiębiorstwo zajmujące się dystrybucją artkułów gospodarstwa domowego, które zleca obsługę podmiotowi świadczącemu usługi analityki internetowej oraz pomocy w ukierunkowanej reklamie i marketingu. Działalność rodzinnego przedsiębiorstwa prowadzona jest w małej skali. Natomiast działalność podmiotu przetwarzającego świadczącego usługi marketingu i reklamy behawioralnej, który posiada wielu podobnych klientów, zbiorczo kwalifikuje się jako przetwarzanie „na dużą skalę”, co wypełnia przesłankę powołania IOD z art. 37 ust. 1 lit. b RODO. Mimo to działalność rodzinnego przedsiębiorstwa nie obliguje go do powołania IOD. W tym przypadku podmiotem, który musi wyznaczyć inspektora, będzie tylko procesor.

Czy na pewno musze powołać IOD?

Wyznaczenie Inspektora Ochrony Danych, choć wydaje się być jedną z fundamentalnych powinności, którą RODO w określonych przypadkach nakłada na administratorów danych, może budzić wiele wątpliwości oraz być związane z wieloma praktycznymi problemami. Przepisy RODO nie określają bowiem precyzyjnie kategorii podmiotów, które podlegają temu obowiązkowi. Każdy administrator danych samodzielnie musi rozważyć, przyjmując odpowiednią procedurę, przesłanki wyznaczenia RODO w swojej organizacji, podjąć odpowiednią decyzję oraz udokumentować ją.

W dokonywaniu rozstrzygnięcia dot. obowiązku powołania IOD nieocenione mogą się okazać wskazówki Grupy Roboczej Art. 29, które uszczegóławiają ogólne postanowienia RODO. Pozostaje również mieć nadzieję, że w ramach praktycznego stosowania przepisów RODO część wątpliwości zostanie rozstrzygnięta zaleceniami polskiego organu nadzoru lub utartą praktyką.

Należy zwrócić uwagę, że naruszenie przepisów dotyczących wyznaczenia IOD zostało zagrożone w karą wynikającą z art. 84 ust. 4 lit. a RODO w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

W przypadku podjęcia decyzji o powołaniu IOD mamy również kilka możliwości co do formy jego powołania. IOD może być pracownikiem naszej organiacji, ale także możemy skorzystać z pomocy zewnętrznego IOD. O plusach i minusach tych dwóch modeli więcej napisaliśmy w tym artykule.

 

Współautorem wpisu jest Katarzyna Woźniczak, młodszy specjalista ds. ODO w Data Legal Solutions Sp. z o.o.

Opracowano na podstawie:

  1. E. Bielak-Jomaa, D. Lubasz (red)., RODO Ogólne Rozporządzenie o Ochronie Danych. Komentarz, Warszawa 2018 r.;
  2. Grupa Robocza Art. 29 ds. ochrony danych, 16/EN WP 243 rew. 01 Wytyczne dotyczące inspektorów ochrony danych (‘DPO’), przyjęte w dniu 13 grudnia 2016 r. w wersji zmienionej i przyjętej w dniu 05 kwietnia 2017 r.;
  3. P. Litwiński (red.), P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018.

Post Kto musi powołać inspektora ochrony danych? pojawił się poraz pierwszy w Jak chronić informacje. Blog o byciu skutecznym IOD.

Source: jchi

Kto podlega reżimowi RODO?

Unijne rozporządzenie o ochronie danych osobowych (RODO), które jest stosowane od 25 maja 2018 roku, jest najważniejszym aktem prawnym dotyczącym ochrony danych osobowych, obowiązującym na terenie UE. Nic więc dziwnego, że wielu przedsiębiorców zadaje sobie pytanie czy jest zobowiązane stosować się do niego?

Przepisy RODO obejmują swoim zakresem wszelkie podmioty, które w ramach działalności dokonują przetwarzania danych. Definicja przetwarzania danych jest na gruncie rozporządzenia tak szeroka, że niemal każda operacja dokonywana na dowolnym zestawie informacji o osobach fizycznych będzie zawierała się w jej zakresie. Warto jednak pamiętać, że istnieją pewne wyłączenia od tych przepisów.

Jakie podmioty muszą stosować RODO?

Jak zaznaczono we wstępie, do przestrzegania przepisów RODO zobligowane są wszystkie podmioty zajmujące się przetwarzaniem danych osobowych w ramach swojej działalności – zarówno publiczne, jak i prywatne. W związku z powyższym do przestrzegania przepisów rozporządzenia zobowiązany jest każdy przedsiębiorca działający na terenie UE, który przetwarza dane osobowe, bez względu na formę prawną prowadzonej działalności, o ile zastosowania nie mają przepisy wprost przewidujące wyłączenie spod tego obowiązku. Rygorom określonym w RODO nie podlega przetwarzanie danych w celach osobistych – np. przechowywanie numerów telefonów znajomych.

Należy zwrócić uwagę na fakt, że rozporządzenie to dotyczy ochrony danych osobowych. W związku z tym nie podlegają mu podmioty, które nie przetwarzają takich informacji.

Czy przetwarzam dane osobowe?

Dane osobowe są to zgodnie z art. 4 ust 1 RODO: “informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Informacje, które zawsze należy uznać za dane osobowe to:

  • imię i nazwisko,
  • PESEL,
  • numer i seria dowodu tożsamości.
  • Adres e-mail (np. w formule imię.nazwisko@firma.pl)

Oznacza to, że podmiot, który w swojej działalności biznesowej przetwarza tego typu dane, zawsze musi spełniać wymagania stawiane przez RODO. Wystarczy, że firma posiada jednego pracownika/zleceniobiorcę, jednego subskrybenta newsletter-a czy też jednego klienta/kontrahenta, który jest osobą fizyczną.

Istnieje też grupa informacji, które mogą być uznane za dane osobowe w zależności od sytuacji. Należą do nich: wygląd zewnętrzny, waga, wzrost, wiek, adres IP czy status majątkowy. Podmiot, który przetwarza takie informacje, musi stosować wymogi określone przepisami RODO tylko w tych sytuacjach, gdy dane te umożliwiają identyfikację osoby fizycznej, albowiem tylko wtedy mogą zostać uznane za „osobowe” i wymagać stosowania przepisów unijnego rozporządzenia.

Natomiast do informacji, których nigdy nie uznaje się za dane osobowe, zalicza się:

  • informacje zagregowane (np.: dane statystyczne),
  • dane zanonimizowane (nie ma możliwości identyfikacji osób, których dotyczą),
  • informacje o osobach zmarłych (zmarli nie są dysponentami danych osobowych),
  • informacje dotyczące osób prawnych.

Oznacza to, że przetwarzając tylko te dane, jesteśmy zwolnieni z przestrzegania wymogów rozporządzenia. Należy jednak pamiętać, że przetwarzanie tego typu informacji może być regulowane przez inne przepisy, zarówno na poziomie ustawodawstwa krajowego, jak i unijnego. RODO stanowi tylko minimalny standard ochrony danych osobowych dla całej Unii Europejskiej.

Kto nie podlega reżimowi RODO?

Rozporządzenie wprowadza pewne wyłączenia, albowiem zgodnie z art. 2 ust. 1 RODO nie dotyczy czynności:

  • nieobjętych zakresem prawa Unii;
  • podjętych przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres wspólnej polityki zagranicznej i bezpieczeństwa UE;
  • podjętych przez osobę fizyczną w ramach działań o czysto osobistym lub domowym charakterze;
  • podjętych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar.

Warto również pamiętać, że rozporządzenie ma zastosowanie tylko do osób fizycznych. W związku z tym przepisy RODO nie chronią informacji dotyczących osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej (ale ich pracowników już tak).

Gdzie obowiązuje RODO?

Choć nie jest to wyrażone bezpośrednio, rozporządzenie w art. 3 wprowadza zasadę eksterytorialności. Stanowi on bowiem, że „rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.

Oznacza to, miejsce przetwarzania danych z punktu widzenia przepisów RODO jest nieistotne – kryterium decydującym jest skutek tego przetwarzania. W związku z tym do przestrzegania rozporządzania zobowiązane są nie tylko podmioty zarejestrowane na terenie UE. Dotyczy ono także jednostek organizacyjnych działających poza Unią, jeżeli przetwarzają one dane osób fizycznych przebywających na terenie Unii. Przetwarzanie to w szczególności powinno wiązać się z:

  • „oferowaniem towarów lub usług takim osobom, których dane dotyczą” (odpłatnie lub nieodpłatnie) lub
  • „monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii”.

Podsumowanie

Reasumując, należy stwierdzić, że krąg podmiotów zobligowanych do stosowania RODO jest bardzo szeroki. Rozporządzenie muszą stosować zarówno podmioty publiczne, jak i prywatne. Można dzięki temu wskazać, że RODO dotyczy każdej organizacji, która przetwarza dane osobowe- praktycznie wszystkich firm. Ponadto dzięki zasadzie eksterytorialności do jego przestrzegania zobowiązane są podmioty, które przetwarzają dane osobowe poza UE. Warto jednak pamiętać, że RODO chroni tylko dane osób fizycznych i to tylko wtedy, gdy możliwa jest identyfikacja osób, których dotyczą (pod warunkiem, że przetwarzanie tych danych nie ma czysto osobistego charakteru).

Wewnętrzny vs zewnętrzny Inspektor Ochrony Danych

Administratorzy i podmioty przetwarzające, którzy są zobligowani albo podjęli decyzję o powołaniu Inspektora Ochrony Danych w swojej organizacji, mają do wyboru szerokie spektrum możliwości pomoc specjalistów w tym zakresie. Powołanie IOD znacząco podnosi poziom bezpieczeństwa w organizacjach. Jednak czy IOD musi pochodzić koniecznie z personelu Administratora Danych? W tym artykule odpowiadamy na to oraz inne częstsze pytania moich klientów dotyczące powołania zewnętrznych i wewnętrznych IOD.

Czy IOD może być tylko pracownikiem Administratora?

Inspektor Ochrony Danych może mieć charakter wewnętrzny lub zewnętrzny względem organizacji, w której został wyznaczony. Rozporządzenie umożliwia bowiem powołanie IOD spośród obecnych pracowników lub pracownika firmą wyspecjalizowanej w ochronie danych osobowych. RODO nie stawia wymogów odnośnie formy wyznaczenia, daje ono nam w tym zakresie wybór, którego możemy dokonać na podstawie własnych preferencji.

Wewnętrzny czy zewnętrzny IOD?

Jeśli zastanawiasz się, jaka forma współpracy z Inspektorem Ochrony Danych byłaby najkorzystniejsza dla Twojej organizacji, poniżej przedstawiamy tabelę z porównaniem zalet i wad wewnętrznego i zewnętrznego IOD.

Dla kogo wewnętrzny a dla kogo zewnętrzny IOD?

Jak wskazano powyżej, każda z dostępnych opcji wyznaczenia IOD posiada swoje plusy i minusy. Należy zatem rozważyć, który model współpracy jest bardziej korzystny dla konkretnej organizacji.

Małe i średnie firmy podmioty powinny rozważyć outsourcing IOD, ponieważ często nie potrzebują dodatkowego etatu przeznaczonego tylko dla pracownika zajmującego się ochroną danych. Wyznaczenie IOD spośród zatrudnionych pracowników może nadmiernie obciążyć tę osobę oraz spowodować konflikt interesów, który jest wprost zakazany przez RODO. Może mieć on mieć miejsce wtedy, gdy IOD w ramach obowiązków niezwiązanych ze swoją funkcją może określać cele i sposoby przetwarzania danych osobowych (w imieniu ADO jako np. osoba odpowiedzialna za kadry, marketingu czy IT). Ponadto małe podmioty zazwyczaj nie posiadają bardzo rozbudowanej struktury, więc zewnętrzny Inspektor Ochrony Danych może szybko zapoznać się z działalnością i procesami przetwarzania danych przedsiębiorstwa, a także zapewnić profesjonalną obsługę w tym zakresie. Powołanie IOD w tym wypadku przełoży się na wyższy poziom bezpieczeństwa danych oraz większe prawdopodobieństwo uniknięcia kar finansowych.

Duże organizacje powinny jednak posiadać kompleksową obsługę pod względem bezpieczeństwa danych, którą w przypadku złożoności strukturalnej i mnogości procesów przetwarzania danych lepiej gwarantuje wewnętrzny IOD. Podmioty takie często też funkcjonują większym budżetem, który może zostać spożytkowany na utworzenie nowej funkcji oraz doskonalenie wiedzy IOD. Należy przy tym pamiętać, że IOD musi posiadać określone wymogami RODO umiejętności i kompetencje oraz stale je poszerzać. Sposobem na pozyskanie takich umiejętności lub ich poszerzanie może być udział w szkoleniu dla Inspektorów Ochrony Danych.

Czy IOD to jedyne wyjście?

Warto zwrócić uwagę, że organizacje, która nie mają obowiązku i nie chcą dobrowolnie wyznaczyć IOD, mogą oddelegować zadania związane z odo na swoich pracowników lub zewnętrznych konsultantów. Często takie osoby w organizacji posiadają funkcję pełnomocników lub koordynatorów ochrony danych osobowych. Nazwa jest oczywiście dowolna, jednak należy zadbać o to, by nazwa funkcji, które obejmie taka osoba, jej pozycja i zakres obowiązków nie wzbudzały wątpliwości oraz błędnego zakwalifikowania tej osoby jako IOD. Dlatego też we wszelkich komunikatach publikowanych w ramach działalności organizacji, a także we wszelkich informacjach adresowanych do organów ochrony danych, podmiotów danych etc. należy jednoznacznie wskazać, że taki pracownik lub konsultant nie pełni funkcji Inspektora Ochrony Danych. Plusem powołania takie osoby jest brak realizacji gwarancji, które dla wielu organizacji mogą być uciążliwe. Brak tych gwarancji może jednak wpłynąć negatywnie na wykonywanie przez tą osobę funkcji. Minusem jest to, że należy taką osobę upoważnić do wszystkich czynności związanych z ochroną danych osobowych, ponieważ nie jest ona upoważniona do tego z mocy prawa.

Podsumowanie

Każda organizacja przed podjęciem decyzji o powołania IOD powinna przeprowadzić analizę czy jest do tego obowiązana oraz czy może dokonać tego dobrowolnie. Za powołaniem IOD przemawia wiele korzyści, jednak organizacja powinna również zapewnić mu określone gwarancje wykonywania jego funkcji. Inną możliwością jest ustanowienie np. Pełnomocnika ds. ODO. Podjęcie tej decyzji powinno zostać udokumentowane np. analizą zasadności powołania IOD.

Artykuł powstał przy wsparciu Katarzyny Woźniczak, młodszego specjalisty ds. ODO w Data Legal Solutions Sp. z o.o.

Post Wewnętrzny vs zewnętrzny Inspektor Ochrony Danych pojawił się poraz pierwszy w Jak chronić informacje. Blog o byciu skutecznym IOD.

Source: jchi

PUODO ostrzega przed fałszywymi kontrolerami

W komunikacie opublikowanym w dniu 03 sierpnia 2018 r. na stronie Urzędu Ochrony Danych Osobowych możemy przeczytać, że do Prezesa UODO docierają informacje o fałszywych kontrolerach, którzy pojawili się u przedsiębiorców, wyrażając chęć przeprowadzenia kontroli zgodności z przepisami o ochronie danych.

Fałszywi kontrolerzy odwiedzali przedsiębiorców prawdopodobnie w celu wyłudzenia pieniędzy, które miały stanowić karę za niedostosowanie się do przepisów RODO. Osoby te posiadały fałszywe dokumenty, takie jak legitymacje i upoważnienia do kontroli. Prezes UODO poinformował, że w najbliższym czasie będą miały miejsce kontrole dokonywane z ramienia UODO, jednak należy zachować czujność i weryfikować tożsamość osób wizytujących przedsiębiorcę.

Warto przypomnieć, że wzór legitymacji, którą posługują się kontrolerzy Urzędu jest określony we wciąż obowiązującym rozporządzeniu ministra spraw wewnętrznych i administracji z 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych. Zgodnie z treścią rozporządzenia każda legitymacja, którą posługują się kontrolerzy, powinna posiadać hologram oraz pieczęć na rewersie. Awers legitymacji wykonany jest w kolorze niebieskiemu, posiada czarne napisy oraz orła z godła Rzeczpospolitej Polskiej oraz pasek przekątny koloru biało-czerwonego.

© Wzór legitymacji kontrolera fot. UODO

PUODO zaznaczył również, że co do zasady pisemnie uprzedza o planowanej kontroli. Osoby kontrolujące można również zweryfikować dzwoniąc pod numer 22/531-07-71. Informacje, jakie możemy uzyskać pod tym numerem, to: imię i nazwisko kontrolera, numer legitymacji, fakt wydania upoważnienia do dokonania kontroli w danym podmiocie. Komplet tych danych umożliwi jednoznaczne zidentyfikowanie prawdziwych kontrolerów.

ICO prawdopodobnie nałoży na Facebook najwyższą możliwą karę

Facebook prawdopodobnie będzie musiał zapłacić Wielkiej Brytanii karę w wysokości 500,000 funtów ($662,900). Kara ta zostanie ona nałożona przez tamtejszy organ ochrony danych osobowych (ang. Information Commissioner’s Office, ICO). Według ICO amerykański gigant nie zapewnił swoim użytkownikom odpowiedniej ochrony prywatności, łamiąc tym samym prawo.

Jak wynika z informacji podanych przez angielskie Biuro Rzecznika Informacji, Facebook nie zabezpieczył należycie danych osobowych swoich użytkowników a także nie ujawniał w jaki informacje te były zbierane przez podmioty zewnętrzne.

Czy jest szansa na porozumienie?

Jak podkreśliła w swoim oświadczeniu Elizabeth Denham, brytyjski Rzecznik Informacji: „Wiara i zaufanie w uczciwość naszych demokratycznych procesów została zakłócona, ponieważ przeciętny wyborca miał małe pojęcie o tym co działo się po drugiej stronie.” Dodała również, że „nowe technologie, które korzystają z analizy danych osobowych do personalizowania informacji, dają ugrupowaniom politycznym możliwość dotarcia do indywidualnych wyborców. Proces ten musi jednak odbywać się z poszanowaniem transparentności, uczciwości i zgodności z prawem.”

Wg organu nadzorczego, wpływ reklam behawioralnych na wybory będące przedmiotem analizy ICO był „znaczący”. Pani rzecznik w swoim oświadczeniu wezwała również do stworzenia kodeksu postępowania, który ma „uszczelnić system”, tak by, „wybory były uczciwe a ludzie rozumieli jak proces mikro – targetowania na nich oddziałuje.”

ICO stwierdziło także, że wyśle notatki z audytu oraz listy ostrzegawcze do jedenastu partii politycznych i wezwie je do dobrowolnej zgody na audyt ich polityki ochrony danych. Wystąpi także o wszczęcie postępowania karnego wobec SCL, spółki matki nieistniejącej już, ale nadal wzbudzającej duże kontrowersje Cambridge Analytica, zajmującej się analizą danych osobowych pod względem preferencji politycznych badanych osób. Przedsiębiorstwo to związane jest ze skandalem dotyczącym wyborów prezydenckich w USA oraz kampanii referendalnej w Wielkiej Brytanii z 2016 roku.

Możliwa kara nałożona na amerykański portal została ujawniona jako część raportu ICO badającego, czy dane osobowe użytkowników zostały niewłaściwe użyte podczas kampanii politycznej w 2016 roku przy okazji referendum w przedmiocie członkostwa Wielkiej Brytanii w Unii Europejskiej. Facebook ma możliwość wypowiedzenia się w przedmiocie kary zanim ICO podejmie ostateczną decyzję dotyczącą jej nałożenia.

Co na To Facebook?

Erin Egan, główny specjalista ds. prywatności Facebooka, wydał oświadczenie, w którym stwierdził, że amerykański gigant powinien był zrobić więcej w celu wyjaśnienia podejrzeń wobec Cambridge Analytica i podjąć działania jeszcze w 2015 roku. Dodał także, że portal społecznościowy ściśle współpracował z ICO w postępowaniu przeciwko firmie analitycznej, podobnie jak w USA i innych państwach. Podkreślił również, że po zapoznaniu się z raportem brytyjskiego organu Facebook postara się odpowiedzieć na niego w jak najkrótszym czasie.

Skandal związany z Cambridge Analytica wybuch na początku bieżącego roku.  Wtedy bowiem pojawiły się pierwsze zarzuty, że Facebook pozwolił na niezgodne z prawem udostępnienie firmie analitycznej danych 50 milionów użytkowników. Ponadto raporty zawierające te informacje podkreślają, że amerykański portal mógł być wykorzystywany jako środek do wpływania na wyborców podczas wyborów prezydenckich w USA w 2016 roku.

Wkrótce wyższe kary

Chociaż planowana kara nałożona przez ICO nie powinna szczególnie zaboleć amerykańskiego giganta (w I kwartale 2018 roku uzyskał on prawie 12 miliardów dolarów przychodu), może być ona przykładem dla państwowych organów zajmujących się ochroną danych osobowych w innych państwach. Ważny jest również aspekt wizerunkowy. Nałożenie kary przez ICO może spowodować starty wizerunkowe marki oraz przełożyć się np. na wyniki giełdowe. Może także otworzyć drogę do indywidualnych postępować cywilnych skierowanych przeciwko Facebookowie.

Nowe unijne prawo dotyczące ochrony danych osobowych (RODO) pozwala nałożyć na przedsiębiorstwo karę w wysokości do 20 milionów euro lub 4 % rocznego obrotu, w zależności od tego, która z nich jest wyższa.

To nie koniec problemów Facebooka. Razem z Google muszą stawić czoła oskarżeniom ze strony Maxa Schrema, który jest aktywistą działającym na rzecz ochrony prywatności. Skargi Schrema mogą doprowadzić do nałożenia bardzo wysokich kar. Twierdzi on bowiem, że amerykański portal oraz należące do niego WhatsApp i Instagram wymuszały na swoich użytkownikach zgodę na wykorzystywanie danych osobowych. Może to być uznane za sprzeczne z RODO. Istnieją także obawy, że amerykańska Federalna Komisja ds. Handlu może nałożyć na Facebooka rekordową karę za sprawę przekazywania danych Cambridge Analytica.

Więcej informacji jest znajduje się tutaj:

https://www.bbc.co.uk/news/technology-44785151

https://www.irishtimes.com/business/technology/facebook-faces-symbolic-500-000-fine-from-uk-regulator-1.3561204

Inspektor Ochrony Danych. Czy warto go powołać?

Od 25 maja 2018 roku w całej Unii Europejskiej zaczęto stosować ogólne rozporządzenie o ochronie danych osobowych (RODO). W istotny sposób zmienia ono obowiązki Administratorów Danych Osobowych (ADO) oraz podmiotów, którym powierzono przetwarzanie takich danych. Warto jednak pamiętać, że RODO przewiduje możliwość powołania osoby, która będzie wspierać organizację w zakresie zgodności jej działań z przepisami o ochronie danych. Taką funkcję pełni osoba na stanowisku Inspektora Ochrony Danych (IOD). Jeżeli jeszcze nie powołałeś IOD, to czas najwyższy zapoznać się z korzyściami płynącymi z obsadzenia tego stanowiska w Twoim przedsiębiorstwie.

Instytucja Inspektora Ochrony Danych jest już de facto znana w polskim obrocie prawnym. Pod rządami ustawy o ochronie danych osobowych funkcjonowała pod nazwą Administrator Bezpieczeństwa Informacji (ABI). Można pokusić się o stwierdzenie, że IOD jest niejako „następcą” ABI-ego. Należy jednak zwrócić uwagę na fakt, że w nowym systemie prawnym pozycja IOD znacznie wzrosła, co najwyraźniej przejawia się w rozszerzonych uprawnieniach i obowiązkach inspektora w porównaniu do ABI-ego. Pojawia się więc pytanie – jak funkcjonuje IOD pod reżimem RODO i czy będzie on przydatny w Twojej organizacji?

Jakie podmioty są zobowiązane do powołania IOD?

Co do zasady stworzenie stanowiska Inspektora Ochrony Danych jest uprawnieniem organizacji. Jednakże w niektórych przypadkach powołanie IOD jest obowiązkowe. Zobligowane do tego są przede wszystkim podmioty publiczne, ale także jednostki działające w sektorze prywatnym, które realizują zadania publiczne, np.: urzędy centralne, jednostki samorządu terytorialnego oraz samorządy zawodowe. Do grona podmiotów zobowiązanych do powołania IOD zaliczyć można również podmioty prywatne, które na dużą skalę przetwarzają dane osobowe. Do tej grupy należy zaliczyć organizacje, które dokonują operacji regularnego i systematycznego monitorowania osób (np.: podmioty zajmujące się tworzeniem reklam behawioralnych) oraz te podmioty, które na dużą skalę przetwarzają dane osobowe szczególnych kategorii, zwłaszcza informacje dotyczących wyroków i naruszeń prawa (np. niepubliczne zakłady opieki zdrowotnej).

Inspektor posiada szeroki zakres obowiązków

IOD ma za zadanie wspierać organizację w dostosowywaniu i przestrzeganiu RODO poprzez realizację powierzonych mu zadań. Powołanie IOD realnie wpływa na poziom bezpieczeństwa danych osobowych w organizacji. Obowiązki inspektora znajdują się głównie w art. 39 unijnego rozporządzenia. Można je podzielić na zadania o charakterze:

  1. informacyjno – doradczym;
  2. nadzorczym;
  3. komunikacyjnych

Zadania o charakterze informacyjno – doradczym

Należy tu wymienić przede wszystkim informowanie o obowiązkach wynikających z RODO oraz innych przepisów unijnych i krajowych, dotyczących ochrony danych osobowych. Związany jest z tym również obowiązek doradzania w tym zakresie ADO. Ponadto IOD jest zobowiązany do realizacji zadań o charakterze informacyjno – doradczym nie tylko wobec osób reprezentujących organizację, ale także w stosunku do osób zatrudnionych przy przetwarzaniu danych osobowych. Najczęściej może to być dokonywane za pomocą szkoleń czy to stacjonarnych czy e-learningowych.

Zadania o charakterze nadzorczym

Zgodnie z art. 39 ust. 1 lit. b RODO IOD ma za zadanie nadzorować także realizację przepisów dotyczących RODO w Twoim przedsiębiorstwie. Działalność ta odbywa się poprzez monitorowanie sytuacji wewnątrz organizacji oraz ocenę przyjętych przez nią polityk w zakresie ochrony danych osobowych. Co do zasady obowiązek ten realizowany jest w formie audytu.

Zadania o charakterze komunikacyjnym

W tym obszarze do obowiązków IOD należy:

  • współpraca z organem nadzorczym oraz
  • pełnienie przez IOD funkcji punktu kontaktowego.

Współpraca z organem nadzorczym będzie najczęściej przejawiać się poprzez współpracę w prowadzeniu postępowań administracyjnych, w szczególności związanych z:

  • naruszeniem ochrony danych,
  • rozpatrywaniem skarg podmiotów danych a także
  • uprzednimi konsultacjami związanymi z oceną skutków.

Obowiązek pełnienia funkcji punktu kontaktowego, to jest on realizowany wobec osób, których dane są przetwarzane przez Twoje przedsiębiorstwo. Podmioty te mają bowiem prawo do kontaktu z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych oraz wykorzystaniem praw przysługujących im na gruncie RODO.

Inspektor zgodnie z art. 38 ust 5 RODO zobowiązany jest również do zachowania tajemnicy lub poufności co do wykonywania swoich zadań. Obowiązek ten może wynikać zarówno z przepisów unijnych, jak i krajowych. W szczególności można wskazać tu przepisy dotyczące zachowania w poufności tajemnic przedsiębiorstwa, tajemnicy bankowej, ubezpieczeniowej, telekomunikacyjnej czy skarbowej.

Na zakończenie wątku obowiązków IOD należy dodać, że zgodnie z art. 38 ust. 6 RODO może on także wykonywać inne zadania i obowiązki, o ile administrator lub procesor zapewnią, że nie będą one powodowały konfliktu interesów. Te dodatkowe zadania lub obowiązki powinny być uznane za narzędzia służące do pełniejszego wykonywania podstawowych obowiązków spoczywających na IOD. Jako przykład można tu podać upoważnienie inspektora do informowania organu nadzorczego w przypadku naruszeń ochrony danych w organizacji zgodnie z art. 33 RODO.

IOD ma być organem niezależnym

Ustawodawca unijny, konstruując instytucję Inspektora Danych Osobowych, postawił sobie za cel zapewnienie mu pełnej niezależności oraz ułatwienie  wykonywania zadań nałożonych na niego przez nowe przepisy. Zgodnie z art. 38 ust 2 RODO, administrator oraz podmiot przetwarzający (procesor) mają wspierać IOD w wypełnianiu jego obowiązków, w szczególności poprzez zapewnienie mu zasobów niezbędnych do wykonywania zadań oraz utrzymania jego fachowej wiedzy. Wsparcie to może mieć formę działania lub zaniechania pewnych działań. Ponadto jednostki organizacyjne posiadające w swoje strukturze IOD muszą pamiętać, że powinien być on właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Dodatkowo należy udzielić inspektorowi dostępu do wszelkich procesów przetwarzania zachodzących w przedsiębiorstwie oraz związanych z nimi danych.

Najważniejszą gwarancją niezależności IOD wydaje się jednak fakt, że administrator oraz procesor nie mogą wydawać mu żadnych wiążących instrukcji dotyczących wykonywania powierzonych obowiązków. Ponadto nie można ukarać ani odwołać IOD za wykonywanie przez niego zadań.

Z powyższego opisu można odnieść wrażenie, że instytucja Inspektora Ochrony Danych może stać się obciążeniem dla Twojego przedsiębiorstwa. Nic bardziej mylnego. Głównym zadaniem IOD jest bowiem zapewnienie Twojej organizacji zgodności z przepisami RODO. Tylko posiadając dużą dozę niezależności, jest on w stanie sprostać temu zadaniu. Jeżeli więc zatrudnisz na tym stanowisku odpowiedniego specjalistę oraz udzielisz mu gwarancji wymienionych w art. 38 RODO, możesz w znaczny sposób ułatwić sobie spełnienie wymagań dotyczących ochrony danych osobowych w Twojej organizacji.

Powołanie IOD niekoniecznie musi wiązać się z wysokimi kosztami

Rozporządzenie unijne nie określa w jakiej formie ma być powołany IOD. Wobec tego dozwolone jest powołanie go na podstawie wszelkich umów w tym umowy zlecenia, współpracy itp., jak również zarządzenia czy oświadczenia woli ADO.  Szkolenie pracowników czy tworzenie etatu dla specjalisty wiążą się z zwiększeniem kosztów prowadzenia działalności. Szacuje się, że zatrudnienie IOD na etacie może wiązać z wydatkiem ponad 10 tys. złotych miesięcznie. Wpływa na to wiele czynników, ale najważniejszym jest niedobór odpowiednich specjalistów na rynku. To niewątpliwe spory wydatek.

Ratunkiem dla budżetu może być skorzystanie z usługi outsourcingu IOD. Jeżeli nie mamy wystarczających funduszy, by zatrudnić u siebie inspektora lub chcemy obniżyć koszty, usługa ta może okazać się bardzo przydatna. Obecnie wiele podmiotów oferuję taką usługę w dosyć zadowalających cenach (nasza również). Umożliwia to skorzystanie z pomocy fachowców zajmujących się danymi osobowymi za niższe koszty niż w wypadku zatrudnienia ich na pełnym etacie.

Innym sposobem jest zmiana etatu jednego z naszych pracowników do 3/4 oraz zatrudnienia go na etat IOD w 1/4. Oczywiście proporcje zależne są od wielkości przedsiębiorstwa czy podmiotu publicznego. Należy w tym wypadku jednak pamiętać o możliwości powstania konfliktu interesów.

Co jeśli nie IOD?

W przypadku, gdy organizacja nie powoła IOD, ciężar nadzoru na ochroną danych osobowych spoczywa na ADO. ADO samodzielnie nie musi jednak wykonywać wszystkich tych zadań. W tym zakresie istnieje możliwość powołania pełnomocnika ds. ochrony danych osobowych (lub inaczej nazwanej osoby oddelegowanej do wykonywania zadań związanych z odo). Plusem tego rozwiązania dla organizacji jest brak wymogów dot. niezależności przewidzianych dla IOD np. braku konfliktu interesów czy też zakazu karania za merytoryczne wykonywanie swojej funkcji. Osoba taka może być również zatrudniona na innym stanowisku, które jest związane z przetwarzaniem danych (np. w kadrach lub w dziale IT).

Podsumowanie

Reasumując powyższe rozważania, należy stwierdzić, że powołanie Inspektora Danych Osobowych jest zalecanym rozwiązaniem. Posiada on odpowiednie narzędzia do monitorowania procesów przetwarzania danych osobowych w Twoim przedsiębiorstwie, a także pomoże Ci w dostosowaniu Twojej organizacji do wymogów RODO. To bardzo ważna kwestia, albowiem przetwarzanie danych osobowych prowadzone w sposób niezgodny z unijnym rozporządzeniem może spowodować nałożenie na Twoje przedsiębiorstwo wysokiej kary. Nie warto więc zwlekać! Zwłaszcza, że koszty tego rozwiązania można obniżyć, choćby stosując outsourcing IOD.

 

Francuski organ nałożył pierwszą karę po rozpoczęciu stosowania RODO

Krajowa Komisja ds. Informatyki i Wolności (CNIL), francuski organ ochrony danych osobowych, nałożył sankcję w wysokości 250 tys. euro na Optical Center, tamtejszego sprzedawcę okularów. Przedsiębiorca ten działa głównie na terenie Francji, ale jego placówki znajdują się także w Hiszpanii, Kanadzie, Izraelu oraz Luksemburgu.

Przyczyną wymierzenia kary był wyciek danych klientów spółki, którzy dokonywali zakupów poprzez jej stronę internetową. W wyniku tego zdarzenia ponad 334 tysiące dokumentów zawierających dane osobowe użytkowników strony pozostawało bez ochrony. Wśród ujawnionych informacji znajdowały się imiona, nazwiska klientów oraz ich adresy. Jak podkreśliła CNIL, były one powszechnie dostępne po wpisaniu odpowiedniego adresu URL w wyszukiwarce. Ponadto w niektórych przypadkach osoby niepowołane mogły uzyskać dostęp do numerów identyfikacyjnych klientów, numerów ich ubezpieczenia społecznego oraz danych o stanie zdrowia (dotyczących np.: wady wzroku).

Postępowanie przeciwko Optical Center zostało wszczęte w lipcu 2017 roku, przed rozpoczęciem stosowania RODO. Ma to zasadnicze znaczenie, ponieważ unijne prawo przewiduje znacznie wyższe kary niż dotychczasowe francuskie rozwiązania w tej kwestii. RODO zakłada bowiem kary 4 % rocznego obrotu lub do 20 milionów euro, natomiast francuska ustawa o ochronie danych osobowych przewidywała karę do 3 milionów euro. Uchroniło to francuskiego przedsiębiorcę od odpowiedzialności pod reżimem rozporządzenia.

To kolejna sankcja nałożona na tego przedsiębiorcę w ciągu ostatnich kilku lat. W 2015 roku CNIL nałożyła na Optical Center karę w wysokości 50 tysięcy euro. Spowodowana była ona wynikami kontroli przeprowadzonej w przedsiębiorstwie. Okazało się bowiem, że spółka nie spełniała wymagań przewidzianych w francuskiej ustawie o ochronie danych osobowych. Między innymi nie zabezpieczała ona w sposób wystarczający swojej strony internetowej, a także nie przestrzegała zasad ochrony danych wewnątrz firmy.

Jest to najwyższa kara nałożona dotąd przez CNIL. W 2014 roku komisja wymierzyła karę w wysokości 150 tysięcy euro wobec Google za śledzenie i przechowywanie danych użytkowników. Co więcej, w 2017 roku nałożyła sankcję tej w tej samej wysokości na Facebooka w związku ze zmianami w polityce prywatności portalu.