Niczym nadciągającego tsunami wszyscy oczekujemy nadejścia 25 maja 2018 roku, dnia kiedy zacznie nas obowiązywać
RODO, rozporządzenie Unii Europejskiej z 2016 roku, które zastąpi poprzednią dyrektywę unijną związaną z ochroną danych osobowych, uchwaloną przeszło 20 lat temu. Większość społeczeństwa przyjmuje te zmiany jako pozytywne, idące w dobrym kierunku. Sceptycy zawsze szukają się drugiego dna.
Jak było do tej pory?
Przede wszystkim trzeba się przyjrzeć jak egzekwowano poprzednie regulacje prawne dotyczące ochrony danych osobowych. Myślę, że niejedna osoba sprawdziła ich skuteczność na własnej skórze.
Niespełna 10 lat temu skradziono mi telefon komórkowy. Wkrótce otrzymałem wraz z fakturą bilingi rozmów jakie złodziej wykonał z mojego telefonu. Zgłosiłem się się z nimi na posterunek policji (w dużym mieście, konkretnie Łódź-Śródmieście), gdzie powiedziano mi, że nie będą szukać sprawcy kradzieży bo obowiązuje ich ochrona danych osobowych złodzieja, a ja za ujawnienie jego rozmów mogę zostać ukarany.
Za to kilka miesięcy potem dostałem wezwanie do sądu, gdzie jakiś oszust handlujący garnkami wzywał mnie na świadka hejtu, którego doznał na jednym z for internetowych. Ktoś napisał na tym forum groźby karalne skierowane pod jego adresem, a mnie wezwano bo pół roku wcześniej też byłem na nim zalogowany i może znam przypadkiem tamtego "hejtera". Po prostu bez problemów na wniosek jakiegoś oszusta podano mu moje dane osobowe. Oczywiście od tej pory ciągle przez telefon wciskają mi jakieś garnki.
Z łamaniem i wykorzystywaniem ochrony danych osobowych mamy do czynienia bez przerwy. Kserują nasz dowód osobisty dostawcy telewizji cyfrowej, operatorzy telefoniczni, banki, urzędy. Niedawno by zacząć rozmowę o sprzedaży samochodu u jednego z dilerów samochodowych poproszony byłem o mój dowód rejestracyjny by go skserować. Dokładnie nie wiemy kim jest pracownik, który dostaje do ręki nasz dokument, jak długo tam pracuje i jak długo będzie tam pracować. Czy nie wykorzysta naszych dokumentów biorąc dzięki nim kredyt na moje nazwisko.
Jednak najciekawsze jest wykorzystanie ustawy o ochronie danych osobowych obecnie. Mamy wierzyć na słowo politykom, że sędziowie wybrani do KRS są na prawdę wybrani prawidłowo. Utajnione są listy poparcia sędziów z uwagi na ochronę danych osobowych. Tak wybrani "na wiarę" sędziowie będą niebawem opiniować wybory powszechne do samorządów, parlamentu, na prezydenta. Ochrona danych osobowych może być idealną furtką do wybrania w przyszłości dowolnego prezydenta Polski. Zwłaszcza, że coraz częściej mówi się, że będzie to urząd kanclerski wybierany nie na mocy wyborów powszechnych, ale przez "tajnych" przedstawicieli narodu.
Sama otoczka wprowadzania RODO budzi uzasadnione niepokoje. Jesteśmy zarzucani spamem dotyczących różnego rodzaju kursów i szkoleń prowadzonych przez firmy, które chcą na tym zarobić. Firmy, które weszły w posiadanie naszych adresów mailowych bez naszej zgody, w sposób nielegalny. Oszuści i spamerzy będą zarabiać na ustawie, która teoretycznie ma na celu zwalczanie spamu i ochronę naszych danych. Do tej pory Facebook wręcz blokował dodawanie zdjęć bez podania konkretnych nazwisk osób, które się na nich znajdują. Zmuszał nas do podawania naszych danych dotyczących szkół, miejsc pracy stanowiska. Teraz za podanie tych nazwisk bez czyjejś zgody będzie nas czekać kara w wysokości 20 milionów Euro. Jednocześnie nasze dane, zdjęcia z wakacji FB przekazuje do ZUS by mógł on nam udowodnić że podczas zwolnienia lekarskiego byliśmy na wczasach podczas lub na jakimś koncercie.
Programiści od marketingu internetowego ciągle tworzą profilujące boty by zbierały maksymalną ilość danych o każdym użytkowniku, który odwiedza jakąś stronę. Wystarczy, że wejdziesz na stronę producenta jakiegoś samochodu, a już przez cały dzień, dopóki nie wyczyścisz przeglądarki z ciasteczek, będziesz bombardowany reklamami dotyczącymi tych samochodów, a na twój mail zaczną przychodzić konkretne oferty cenowe wybranego przez ciebie modelu.
Można utyskiwać jeszcze długo, ale RODO jest faktem i teraz musimy się do niego przystosować.
Co to jest RODO i kto mu podlega?
Na wstępie zauważmy, że RODO to nie jest dyrektywa, która będzie przedmiotem debat w parlamentach poszczególnych państw Unii Europejskiej.
RODO to rozporządzenie Unii Europejskiej z dnia 27 kwietnia 2016 roku
dotyczące przetwarzania danych osobowych, które wchodzi automatycznie do naszego prawodawstwa. Służy ochronie osób fizycznych w związku z przetwarzaniem danych osobowych i reguluje kwestie związane z
przepływem tych danych.
Ministerstwo Cyfryzacji pracuje nad przepisami uzupełniającymi przepisy RODO zwłaszcza w zakresie zastąpienia Głównego Inspektoratu Ochrony Danych Osobowych (GIODO) przez instytucję Prezesa Urzędu Ochrony Danych Osobowych (PUODO) trybu powoływania prezesa, sposobu postępowania przed jego organami, oraz procedury odwoławczych od jego decyzji.
Przepisom zawartym w RODO podlega każdy przedsiębiorca na terenie Unii Europejskiej, bez względu na formę prawną prowadzonej działalności jak również siedzibę firmy, nawet jak jest ona poza Unią. To samo dotyczy firm, które w Europie mają jedynie oddziały, czy przedstawicielstwa, a serwerownia, w której są przechowywane dane osobowe znajduje się poza Unią Europejską.
RODO
nie dotyczy osób prywatnych, ich danych osobistych i ich znajomych, czy członków rodziny. Jednak, gdy osoba fizyczna prowadzi działalność gospodarczą musi stosować RODO do danych osobowych swoich klientów, czy pracowników. Przepisy RODO stosuje się do
przetwarzania danych osobowych, rozumianych jako:
• zbieranie danych,
• przechowywanie danych,
• usuwanie danych,
• opracowywanie danych,
• udostępnianie danych.
Dane osobowe to wszelkie informacje odnoszące się do osoby zidentyfikowanej lub możliwej do zidentyfikowania.
Osobą zidentyfikowaną jest taka osoba, której tożsamość znamy, którą możemy wskazać spośród innych osób.
Osobą możliwą do zidentyfikowania jest taka osoba, której tożsamości nie znamy, ale możemy poznać, korzystając z tych środków, które mamy.
Przykładowo osoba zidentyfikowaną może być pracownik, którego dane osobowe przetwarza pracodawca; klient sklepu internetowego, który podał swoje dane osobowe do wysyłki zamówienia; osoba, która w formularzu kontaktowym podaje swoje imię, nazwisko i adres e-mail. Osoba możliwa do zidentyfikowania: potencjalny kontrahent, którego posiadamy tylko numer ewidencyjny
w CEIDG; nadawca listu poleconego na podstawie numeru przesyłki.
Osoby prawne nie mają danych osobowych, ale pracownicy osób prawnych mogą mieć dane osobowe, jak każda inna osoba fizyczna. Uznanie informacji za dane osobowe nie zależy ani od wieku danej osoby, ani od jej narodowości.
Ustawa wyróżnia dwie kategorie danych osobowych, tak zwane zwykłe dane osobowe jak i dane wrażliwe, zaliczane do szczególnych kategorii danych. Do
szczególnych kategorii danych osobowych zaliczamy dane ujawniające pochodzenie rasowe lub etniczne, poglądy
polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Pozostałe, to dane zwykłe. Co ciekawe do danych osobowych zwykłych należą także dane osobowe dotyczące wyroków skazujących.
RODO definiuje kim jest
administrator danych osobowych. Administratorem jest podmiot, który decyduje o celach i sposobach przetwarzania danych. Pracodawca odnośnie pracowników, sprzedawca w zakresie danych klientów, właściciel strony internetowej w zakresie listy mailingowej. Administratorem danych jest zawsze określony podmiot: firma, lub konkretna
osoba fizyczna w przypadku gdy prowadzi jednoosobową działalność gospodarczą. Oznacza to że w większych przedsiębiorstwach nie można wyznaczyć konkretnej osoby odpowiedzialnej za przetwarzanie danych, bo odpowiada za to całe przedsiębiorstwo, chyba, że wynajmie w tym celu firmę zewnętrzną, która będzie się tym zajmować jako
podmiot przetwarzający dane. Podmiot przetwarzający dane osobowe nie decyduje o celach i środkach przetwarzania danych, ale działa na podstawie
umowy z administratorem danych. To samo dotyczy pracowników zajmujących się przetwarzaniem danych w dużych firmach. Muszą oni posiadać upoważnienia w tym zakresie.
Dane osobowe można przetwarzać wyłącznie wtedy, gdy istnieje do tego podstawa prawna przetwarzania danych. W przypadku przedsiębiorców jest to
zgoda osoby, której dane dotyczą, w której określono zakres niezbędnych do wykonywania czynności związanej z ich gromadzeniem. Przekazując nasze dane do sklepu internetowego godzimy się by służyły one wysyłce towaru, a nie innym wykorzystaniem. To przetwarzanie danych jest ściśle określone odnośnie czynności prawnie uzasadnionych w celu realizacji zadań wynikających z umowy między administratorem danych, a osoby, której te dane dotyczą. Dane osobowe zbierane w celu profilaktyki medycznej nie mogą być wykorzystywane w inny sposób, na przykład przez firmy ubezpieczeniowe, pracodawcę, czy osoby trzecie. RODO wprowadza
zasadę minimalizacji zakresu zbieranych danych osobowych. Zbierane dane muszą służyć jedynie realizacji celu wynikającego z umowy (kupna towaru, zatrudnienia, wykonania usługi).
Zgoda na przetwarzanie danych powinna charakteryzować się dobrowolnością, rozumianą jako swobodę wyboru, konkretnością w zakresie określenia jej celowości, nie może być sformułowana na zasadzie abstrakcji w oderwaniu od rzeczywistych powodów. Musi brzmieć w sposób jednoznaczny i określać czas jej funkcjonowania.
Osoba przekazująca dane osobowe musi wiedzieć kim jest administrator zbieranych danych, czy jest powołany Inspektor Ochrony Danych (IOD) (kościół katolicki ma w tym zakresie własne organy). Powinny być określone cele zbierania danych i podstawa ich przetwarzania. Cele te muszą być prawnie uzasadnione i służyć jedynie realizacji interesów związanych z umową, której dotyczą. Konieczne jest powiadomienie osoby udzielającej swoje dane o planie ich przekazania innym podmiotom, zwłaszcza poza granice państwa. Należy określić czas przechowywania danych, o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, przysługującym prawie do ich sprostowania, usunięcia lub ograniczenia przetwarzania, oraz do wniesienia sprzeciwu wobec ich przetwarzani, czy do przenoszenia danych. Jeżeli przetwarzanie odbywa się na podstawie udzielonej zgody muszą być zawarte informacje odnośnie trybu jej cofnięcia oraz jednostki do, której możemy się odwołać w przypadku konfliktu.
Klauzula zgodności RODO.
Nie ma oficjalnego wzoru deklaracji RODO na wyrażenie zgody na przetwarzanie danych osobowych, czy klauzuli informacyjnej dla osoby udostępniającej swoje dane osobowe. By zbieranie danych osobowych mogło się odbyć w zgodzie z RODO muszą byś spełnione dwa podstawowe warunki:
* Musi być
klauzula zgody na przetwarzanie danych osobowych udzielona przed rozpoczęciem udzielania danych osobowych. Zgoda na przetwarzanie danych osobowych
powinna być w formie pisemnej za pomocą klarownego oświadczenia.
Przykład.
* Musi być sporządzona
klauzula informacyjna zgodna z RODO. Klauzula informacyjna musi:
1. Ujawnić dane administratora danych.
2. Wyznaczyć cel zbierania danych.
3. Określić prawo dostępu do danych, zmieniania i usunięcia, oraz możliwości wypowiedzenia prawa do przetwarzania tych danych.
4. Mieć zapisaną formułę dobrowolności składania deklaracji zgody i określić cel zbierania danych.
5. Zawierać oświadczenie administratora danych o nieudostępnianiu danych osobom trzecim.
6. Zawierać zobowiązanie administratora do nieprofilowania zbieranych danych.
7. Zobowiązywać administratora do nieudostępniania danych osobowych państwom trzecim.
8. Określać czasu przechowywania danych osobowych.
Przykład.
Czy wyrażenie zgody jest zawsze konieczne?
RODO określa przypadki, gdy zbieranie deklaracji zgody od osób, których dane są udostępniane nie jest konieczne. Zgoda na przetwarzanie danych nie jest niezbędna, gdy służą one jedynie realizacji umowy sprzedaży, prowadzenia księgowości, czy czynnościom administracyjnym sądów, organów ścigania czy podatkowych. Prawnie uzasadnionym interesem realizowanym przez administratora jest również przetwarzanie danych w czynnościach związanych z analizą marketingową i reklamą jego produktów i usług.
Będzie jednak wymagana zgoda w zakresie przesyłania informacji handlowej za pomocą poczty elektronicznej, czy telefonicznie, w tym również wiadomości SMS o treści reklamowej. Ciężko przewidzieć jakie zmiany przyniesie RODO. Czy ukróci ten nachalny spam mailowy, albo nękające telefony o różnych porach dnia i nocy. Zwłaszcza, że większość tych telefonów wykonują oszuści.
RODO dopuszcza wyrażanie zgody za pomocą stron internetowych poprzez "odhaczanie" odpowiednich okienek. Na stronach na których boty zajmują się profilowaniem osób, które je odwiedzają musi być zawarte ostrzeżenie o takiej "usłudze". Nie wystarczy sama informacja o cookie'ach.
Osoba profilowana musi wyrazić na to zgodę, a samo profilowanie musi zmierzać do zawarcia umowy (na przykład handlowej).
W dalszym ciągu automatyczny dobór reklam na stronie internetowej w oparciu o wcześniejszą aktywność na tej stronie nie będzie wymagała deklaracji zgody, gdyż w większości przypadków nie wywołuje ono skutków prawnych wobec osób, których dane dotyczą, ani też nie wpływa na
te osoby w podobny istotny sposób.
Tak samo jak istnieje automatyczne profilowanie osób odwiedzających strony internetowe, winna być możliwość jego zablokowania.
Jeżeli podstawą przetwarzania danych osobowych jest pisemna zgoda, to okres ich przechowywania jest do momentu jej cofnięcia. W przypadku zbierania danych osobowych w celu wykonania jakiejś usługi, czy dostawy, okres ich przechowywania nie powinien być dłuższy niż trzy lata po wykonaniu umowy. Ustawa o rachunkowości wydłuża okres przechowywania dokumentów do 5 lat od początku
roku następującego po roku obrachunkowym, w którym operacje, transakcje, postępowanie, zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione.
Jak należy zabezpieczać dane osobowe?
RODO nie wskazuje jak powinna wyglądać archiwizacja danych osobowych. Każdy podmiot przetwarzający dane osobowe powinien we własnym okresie samodzielnie określić, jakie podejmie środki zabezpieczenia powierzonych im danych. Dotyczy to zarówno nośników danych jak i sposobu ich szyfryzacji. Podejście do archiwizacji musi być oparte na ocenie ryzyka związanego z wyciekiem danych, jak i ich utratą. To samo dotyczy polityki ochrony danych zbieranych pod rządami poprzednich przepisów. Musimy jednak pamiętać, że
rejestr czynności związanych z przetwarzaniem danych osobowych jest również elementem dokumentacji ochrony danych. Taki rejestr powinien być prowadzony odrębnie dla każdego procesu przetwarzania danych, chociaż niektóre z nich tego nie wymagają. Obowiązek prowadzenia rejestru dotyczy zarówno administratora danych osobowych jak i podmiotu przetwarzającego dane.
Kiedy należy wyznaczyć Inspektora Ochrony Danych?
Inspektor Ochrony Danych (IOD) to nowa forma Administratora Bezpieczeństwa Informacji (ABI).
W RODO jego wyznaczenie jest obowiązkowe w ściśle określonych sytuacjach. Przede wszystkim gdy: dane są przetwarzane przez sektor publiczny; gdy działalność przetwarzania danych jest prowadzona na dużą skalę i wymaga się od administratora ciągłego monitorowania osób, których dane dotyczą; gdy dane osobowe są wykorzystywane przez sądy i aparat ścigania.
RODO nie określa, w których przypadkach powinno się wyznaczać IOD. Zaleca się jedynie ich powołanie w szpitalach, bankach, firmach ubezpieczeniowych,
reklamie behawioralnej, itp.
RODO odchodzi od obowiązku rejestracji zbiorów danych osobowych.
Zbiory danych osobowych nie będą podlegały rejestracji, a rejestr zbiorów danych zostanie zlikwidowany. Zamiast tego, od 25 maja zostanie wprowadzona procedura tzw. oceny skutków dla ochrony danych. Ocena skutków dla ochrony danych osobowych będzie obowiązkowa, jeżeli dany rodzaj przetwarzania danych, może naruszyć prawa lub wolności osób fizycznych.
Przykładowo przeprowadzenie oceny skutków dla ochrony danych jest wymagane, jeżeli przedsiębiorca oferuje swoim klientom system monitoringu wizyjnego obejmujący miejsca dostępne publicznie, bądź sam stosuje taki system. Gdy nie jesteśmy tego pewni wskazane są konsultacje z POUDO.
RODO wprowadza nowy obowiązek na podmioty przetwarzające dane osobowe. Dotyczy on
informowania POUDO o incydentach bezpieczeństwa, dotyczące danych osobowych. W szczególności niezgodnej z prawem modyfikacji danych osobowych, ich zniszczenia lub utracenia. Naruszeniem bezpieczeństwa prowadzącym do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Przepisy RODO regulują również formę zawierania umowy między administratorem danych, a podmiotem zajmującym się ich przetwarzaniem. Porusza kwestię koniecznych audytów i wydawanych
certyfikatów uprawniających do składania oferty przetwarzania danych.
Porusza również
prawo do bycia zapomnianym. To nowość jakie wprowadza RODO. Jest to odpowiedź na wiele problemów jakie nas spotykają, a związanych z uporczywym nękaniem przez firmy, z którymi zerwaliśmy współpracę. Operatorzy telefoniczni, banki, sklepy internetowe ciągle wysyłają nam oferty chociaż nas już to całkowicie nie interesuje. RODO daje możliwość żądania od administratora naszych danych byśmy zostali przez niego zapomniani. Niestety administratorzy wskazują w tym przypadku na wiele przeszkód wynikających "z organizacji bazy danych".
Niedawno temat ten był poruszany w kontekście danych osobowych zbieranych przez parafie kościoła katolickiego. Kościół katolicki w wielu parafiach dysponuje archiwum nawet kilkusetletnim. Dotyczy ono również danych wrażliwych, których zbieranie jest w ich przypadku nielegalne. W wielu przypadkach nawet proces apostazji nie jest w stanie wpłynąć na kościół by nasze dane zostały zapomniane.
RODO wskazuje, że możliwa jest również migracja danych osobowych między administratorami jednak wymaga to zgody osoby udostępniające swoje dane. Może to być dokonane również na wniosek osoby udostępniającej dane. Najczęściej występuje to w przypadku, gdy składamy dokumenty o przyznanie kredytu w jakimś banku.Teraz w przypadku odmowy, będziemy mogli zażądać przekazania przez ten bank naszych danych do innego banku. Do tej pory banki broniły się przed tym tajemnicą handlową.
Wdrożenie RODO, najważniejsze zmiany.
Nie wszystkie przepisy uzupełniające rozporządzenie Unii Europejskie zostały wydane przez nasze Ministerstwo Cyfryzacji. Jednak nie oznacza to, że z wdrożeniem RODO możemy zwlekać czekając na przepisy szczegółowe.
RODO otwiera kilka nowych rozwiązań, nadaje szereg praw osobom których dane są wykorzystywane.
Najważniejsze zmiany to funkcja Inspektorów Ochrony Danych (IOD), prawo do bycia zapomnianym, prawo do przeniesienia danych osobowych, wprowadzenie Urzędu Ochrony Danych Osobowych, wprowadzenie kar finansowych za nieprzestrzeganie RODO w wysokości do 20
milionów Euro w identycznych
rozmiarach we wszystkich państwach członkowskich.
Oczywiście kary maksymalne nie dotyczą drobnych przedsiębiorców.
#RODO #ochrona danych osobowych #klauzula zgodności RODO #wniosek RODO #administrator danych osobowych #przetwarzanie danych osobowych
