Analiza nowej ustawy o ochronie danych osobowych
Opracowanie nowej ustawy o ochronie danych osobowych wynikało z konieczności zapewnienia stosowania RODO. Rozporządzenie obowiązuje w polskim porządku prawnym bezpośrednio i ma zastosowanie od dnia 25 maja 2018 r. Do polskiego sytemu prawnego RODO wdrożone zostało za pośrednictwem Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: „Ustawa”), której wybrane zapisy omówiono poniżej.
Zakres zastosowania Ustawy
W Rozdziale 1 wskazano zakres regulacji. Zgodnie z art. 1, Ustawa będzie miała zastosowanie do ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych. Powyższe odpowiada zakresowi podmiotowemu zastosowania Rozporządzenia i jest zgodne z motywem 14 preambuły do Rozporządzenia, który stanowi, że „Ochrona zapewniana niniejszym Rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych, dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.”
W Ustawie przyjęto, że przedmiotowy zakres jej zastosowania będzie odpowiadał zakresowi zastosowania Rozporządzenia, co oznacza, że będzie miała zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących lub mających stanowić część zbioru danych. Poza organami i instytucjami powoływanymi na podstawie Rozporządzenia, adresatami wynikających z niego obowiązków są z kolei administratorzy, podmioty przetwarzające. Ustawę stosuje się do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii .
Nowa Ustawa – zgodnie z przepisami Rozporządzenia – będzie miała zastosowanie także do przetwarzania danych osób, przebywających w Unii przez administratora lub podmiot przetwarzający niemający jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:
- oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub
- monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.
Inspektorzy ochrony danych
W Rozdziale 2 Ustawy uregulowano tryb notyfikacji inspektorów ochrony danych osobowych, zwanych dalej „inspektorami” lub „IOD” oraz podmioty obowiązane w polskim porządku prawnym do wyznaczenia inspektora ochrony danych osobowych.
Rozporządzenie reguluje kwestię inspektorów w przepisach art. 37-39. Przypadki obligatoryjnego wyznaczenia inspektorów określa art. 37 Rozporządzenia. Zgodnie z tym przepisem administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze, gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
W innych niż ww. przypadkach wyznaczenie inspektora jest dobrowolne. Polski ustawodawca nie zdecydował się rozszerzyć przedmiotowo sytuacji obligatoryjnego wyznaczania inspektora, traktując katalog wymieniony w art. 37 ust. 1 Rozporządzenia jako zapewniający dostateczną ochronę podmiotów danych i jednocześnie uwzględniający także koszty powołania inspektora.
Kwalifikacje, jakie powinien posiadać inspektor określono bezpośrednio w Rozporządzeniu. Z jego przepisów wynika, iż inspektor powinien dysponować wiedzą fachową na temat prawa oraz odbyć praktyki w dziedzinie ochrony danych, a także posiadać umiejętność wypełniania zadań, o których mowa w art. 39 Rozporządzenia. Polski ustawodawca nie zdecydował się na dookreślenie kwalifikacji, jakie powinien spełniać inspektor, wychodząc z założenia, że każda próba doprecyzowania tych przesłanek – np. w zakresie długości praktyk – mogłaby narazić go na zarzut nakładania ograniczeń, niewystępujących w innych Państwach Członkowskich UE, a tym samym barierę w swobodzie świadczenia usług .
IOD ma za zadanie monitorowanie przestrzegania obowiązków wynikających z RODO. Inspektor pełni również funkcję pośrednika pomiędzy przedsiębiorstwem, a osobami, których dane są przetwarzane oraz pomiędzy przedsiębiorstwem, a organem nadzorczym. Do niego również należy przeprowadzenie oceny ryzyka związanego z przetwarzaniem danych osobowych i dopasowanie do nich środków technologicznych, które je zminimalizują.
Akredytacja
Zgodnie z art. 42 ust. 1 Rozporządzenia Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają – w szczególności na szczeblu Unii – do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych, mających świadczyć o zgodności z Rozporządzeniem operacji przetwarzania, prowadzonych przez administratorów i podmioty przetwarzające.
Ministerstwo Cyfryzacji w związku z oceną podjętą w ramach przeprowadzanych konsultacji projektowanych przepisów zdecydowało się zmodyfikować projektowane regulacje w zakresie mechanizmów certyfikacji. Zgodnie z przepisami Ustawy, Prezes Urzędu będzie uprawniony do wydawania certyfikatów, ale do ich wydawania dopuszczeni zostaną również przedsiębiorcy. Celem odciążenia działań podejmowanych przez polski organ nadzorczy, kompetencja do akredytacji podmiotów certyfikujących przyznana będzie z kolei Polskiemu Centrum Akredytacji, będącego krajową jednostką akredytującą w rozumieniu art. 2 pkt 11 rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 765/2008 z dnia 9 lipca 2008 r. ustanawiającego wymagania w zakresie akredytacji i nadzoru rynku odnoszące się do warunków wprowadzania produktów do obrotu i uchylającego rozporządzenie (EWG) nr 339/93 .
W ocenie polskiego ustawodawcy powyższe rozwiązania w pełni oddają intencję ustawodawcy unijnego towarzyszącą wprowadzeniu do unijnego porządku prawnego mechanizmu certyfikacji, poprzez włączenie do mechanizmu certyfikacji nie tylko organu nadzorczego ale również innych podmiotów. Z informacji uzyskanych w toku prowadzonych prac legislacyjnych od Komisji Europejskiej wynika, że przyznanie kompetencji do certyfikacji wyłącznie Prezesowi Urzędu budziłoby wątpliwości pod kątem zgodności z art. 42 ust. 5 rozporządzenia 2016/679, który mówi o tym, ze certyfikacji dokonują podmioty certyfikujące lub właściwy organ nadzorczy .
Certyfikacja i podmioty certyfikacyjne
Zgodnie z przepisami Ustawy, Prezes Urzędu będzie uprawniony do wydawania certyfikatów, ale do ich wydawania dopuszczeni zostaną również przedsiębiorcy. W ocenie ustawodawcy jednostka odpowiadająca za certyfikację wewnątrz struktury organizacyjnej Urzędu Ochrony Danych Osobowych powinna posiadać odpowiednią swobodę wewnątrz struktury. Prowadzenie certyfikacji jest odrębnym działaniem niż pozostałe zadania Prezesa Urzędu, w tym zadań związanych z prowadzeniem postępowań w sprawie naruszenia przepisów o ochronie danych, w tym przeprowadzanie czynności kontrolnych.
Przepisy Rozporządzenia nie precyzują dokładnie zakresu możliwej certyfikacji. W szczególności możliwe było uznanie, że certyfikacji mogą podlegać administratorzy oraz podmioty przetwarzające, procesy przetwarzania danych osobowych bądź produkty które w swoim założeniu mają w przyszłości służyć przetwarzaniu danych osobowych. Art. 42 Rozporządzenia wskazuje jedynie, że certyfikaty mają „świadczyć o zgodności z niniejszym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające”, nie wskazuje jednak, że ich adresatem mogą być wyłącznie administratorzy bądź podmioty przetwarzające. W świetle powyższego, polski ustawodawca zdecydował się ustanowić szeroki zakres certyfikacji, obejmując nim również administratora, podmiot przetwarzający, producenta albo podmiot wprowadzający produkt na rynek .
Kodeksy postępowania
Przepisy rozdziału 5 ustawy dotyczą monitorowania przestrzegania zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 Rozporządzenia. Przepis ten stanowi m.in., iż państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu rozporządzenia – z uwzględnieniem specyfiki różnych sektorów, dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz MŚP (Małych i Średnich Przedsiębiorstw). Zrzeszenia i inne podmioty, reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać lub zmieniać kodeksy postępowania lub rozszerzać ich zakres, aby doprecyzować zastosowanie niniejszego rozporządzenia.
Ustawa przewiduje, iż monitorowaniem przestrzegania zatwierdzonego kodeksu postępowania będą zajmowały się podmioty akredytowane przez Prezesa Urzędu. Prezes Urzędu będzie udostępniał wykaz podmiotów akredytowanych w Biuletynie Informacji Publicznej. Ustawodawca przykłada szczególne znaczenie do możliwej, pełnej transparentności procesu tworzenia kodeksów postępowania. W szczególności zgodnie z motywem 99 preambuły do Rozporządzenia, „sporządzając kodeks postępowania bądź zmieniając go lub rozszerzając jego zakres, zrzeszenia i inne organy reprezentujące kategorie administratorów lub podmiotów przetwarzających powinny konsultować się z odpowiednimi stronami, których sprawa dotyczy, w tym jeżeli jest to wykonalne, z osobami, których dane dotyczą, oraz mieć na względzie uwagi i opinie otrzymane w ramach takich konsultacji” .
Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO)
Przepis art. 8 poprzednio obowiązującej ustawy o ochronie danych osobowych (z dnia 29 sierpnia 1997 r.) stanowił, iż organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych. Przepisy projektowanej ustawy ustanawiają nowy organ właściwy w sprawie ochrony danych osobowych, którym będzie Prezes Urzędu Ochrony Danych Osobowych. Zgodnie z motywem 117 Rozporządzenia „zasadniczym elementem ochrony osób fizycznych w związku z przetwarzaniem danych osobowych jest utworzenie w państwach członkowskich organów nadzorczych, uprawnionych do wypełniania zadań i wykonywania uprawnień w sposób całkowicie niezależny”. Ustawa nakłada na Prezesa UODO obowiązek opracowywania i udostępniania rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Zgodnie z art. 32 ust. 1 Rozporządzenia uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
Wyżej wymienione regulacje są wyrazem zastosowania w Rozporządzeniu podejścia risk based approach, a więc podejścia opartego na ryzyku administratora lub podmiotu przetwarzającego. To już nie przepisy prawa powszechnie obowiązującego mają określać środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych, lecz sami administratorzy lub podmioty przetwarzające. Stosowane środki powinny być zawsze dopasowywane do okoliczności i ryzyk związanych z przetwarzaniem danego rodzaju danych osobowych. Tym niemniej w ocenie ustawodawcy, by zapewnić administratorom i podmiotom przetwarzającym wsparcie w określaniu takich środków, uzasadnione jest, by Prezes UODO opracowywał i udostępniał rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Rekomendacje takie powinny być wypracowane przy współpracy z zainteresowanymi podmiotami, których zakresu działania dotyczy dany projekt – w tym izbami gospodarczymi. Rekomendacje nie będą miały mocy wiążącej, ale będą stanowiły punkt odniesienia dla przedsiębiorców, wpływając w ocenie ustawodawcy na podwyższenie poziomu ochrony danych osobowych .
Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych
Przepisy rozdziału 7 ustawy regulują sposób postępowania w sprawach naruszenia przepisów o ochronie danych osobowych. Należy przede wszystkim podkreślić, iż mówiąc o naruszeniu przepisów o ochronie danych osobowych, polski ustawodawca odnosi się nie tylko do naruszeń ustawy, ale również przepisów Rozporządzenia, z których w sposób bezpośredni wynikają określone prawa i obowiązki podmiotów danych osobowych, administratorów lub podmiotów przetwarzających.
Na gruncie poprzednio obowiązującej ustawy o ochronie danych osobowych (z dnia 29 sierpnia 1997 r.) postępowanie w sprawach naruszenia przepisów o ochronie danych osobowych („postępowanie”) prowadzi się według przepisów Kodeksu postepowania administracyjnego, o ile przepisy ustawy nie stanowią inaczej. Zasada stosowania w sprawach nieuregulowanych Kodeksu postepowania administracyjnego została zachowana w aktualnej ustawie.
Ustawodawca nie zdecydował się na wprowadzenie odrębnego, właściwego dla naruszeń ochrony danych osobowych, trybu postępowania przed Prezesem UODO. U podstaw takiej decyzji legło przekonanie, iż obowiązująca procedura administracyjna, z odmiennościami wynikającymi choćby z bezpośredniego stosowania Rozporządzenia, zapewnia kompletny a zarazem sprawdzony w praktyce mechanizm postępowania. Postępowania prowadzone przez Prezesa UODO będą postępowaniami w sprawie naruszenia prawa podstawowego, a stronom tak prowadzonych postępowań przysługiwać powinien pełen katalog uprawnień procesowych przewidzianych w Kodeksie. Wyłączenie stosowania Kodeksu i próba stworzenia szczególnego postępowania w sprawie naruszenia przepisów o ochronie danych obarczona byłaby z jednej strony ryzykiem nie uregulowania niezbędnych elementów postępowania a z drugiej koniecznością tworzenia obszernej listy przepisów Kodeksu, które jednak znalazłyby zastosowanie w postępowaniu. Postępowanie będzie prowadzone przez Prezesa UODO jako organ właściwy w sprawie ochrony danych osobowych.
Należy podkreślić, iż rozstrzygnięcia wydawane przez Prezesa UODO jako organ właściwy w sprawie ochrony danych osobowych będą podlegały zaskarżeniu do sądu administracyjnego i skargi w tych sprawach będą podlegały dwuinstancyjnemu postępowaniu sądowo-administracyjnemu. Powyższe oznacza, iż prawa podmiotów danych osobowych i innych stron postępowania przed Prezesem UODO do wnikliwego rozpatrzenia sprawy i sądowej kontroli rozstrzygnięć administracji zostaną zapewnione. Nie zostaje również wyłączone prawo strony takiego postępowania do żądania wstrzymania wykonalności decyzji lub postanowienia.
Obok jednoinstancyjności kolejną odrębnością postępowania przewidzianego w ustawie w stosunku do postępowania unormowanego w Kodeksie jest wskazanie, że w sprawach związanych z ochroną danych osobowych pełnomocnikiem może być przedstawiciel organizacji, do której zadań statutowych należą sprawy związane z ochroną danych osobowych. Powyższa regulacja ma na celu zapewnienie stosowania art. 80 Rozporządzenia. Powołany przepis nakłada na państwa członkowskie obowiązek przewidzenia w przepisach prawnych rozwiązania, w świetle którego organizację lub zrzeszenie – które nie ma charakteru zarobkowego i ma cele statutowe leżące w interesie publicznym i działa w dziedzinie ochrony danych osobowych – można umocować do wniesienia w jej imieniu skargi oraz wykonywania w jej imieniu praw .
Jak przygotować się do stosowania RODO?
Małe i średnie przedsiębiorstwa
Kwestię dostosowania do RODO można oczywiście w całości działań zlecić firmie zewnętrznej, która jest wyspecjalizowana w tematyce ochrony danych osobowych. Tego typu usługami zajmują się zarówno kancelarie prawne jak i firmy doradcze oraz firmy świadczące usługi z bezpieczeństwa informacji. Podmioty te oczywiście mogą współpracować ze sobą. Wybierając dostawce do tego typu projektów na pewno nie należy kierować się głównie ceną, a jakością, albowiem to ona przede wszystkim przekłada się na bezpieczeństwo prawne firmy. Model ten także wiąże się z pewnym istotnym ryzykiem, o czym należy pamiętać głównie wtedy, kiedy dane mają doniosłą wartość dla przedsiębiorstwa. Ryzyko to polega na wystarczającym przyswojeniu przez kadry administratora lub podmiotu przetwarzającego niezbędnej wiedzy wykorzystywanej przy wdrążeniu RODO, jak również na zdobywaniu przez kluczowe osoby zaangażowane w przetwarzanie danych bardzo ograniczonego doświadczenia w przetwarzaniu danych osobowych zgodnie z wymogami RODO. Niewątpliwie jego zaletą jest natomiast znikome zaangażowanie zasobów podmiotu, u którego następuje wdrożenie .
Jeżeli w podmiocie pracuje już osoba, która legitymuje się odpowiednią wiedzą oraz doświadczeniem np. w zakresie bezpieczeństwa, możliwe jest przeprowadzenie wdrożenia RODO we własnym zakresie. Wymaga to oczywiście rozległej wiedzy zdobywanej np. na zewnętrznych szkoleniach. Zaletą tego modelu jest gruntowne zapoznanie się z wymaganiami i zebranie doświadczenia, które na długo pozostanie w organizacji.
Można także wyróżnić model tzw. mieszany. Administrator lub podmiot przetwarzający może zaplanować konkretne działania, które przeprowadzi wyspecjalizowana firma, a resztę prac zrealizują samodzielnie. Takie podejście również pomaga w zdobyciu doświadczenia i wiedzy w danym zakresie. Zmniejsza ryzyko popełnienia błędów w kluczowych elementach wdrożenia. Korzystanie z pomocy wyspecjalizowanych podmiotów ułatwia rozwiązywanie najtrudniejszych problemów i zapewnia wsparcie. Model ten jednak wymaga dobrej koordynacji po stronie administratora lub podmiotu przetwarzającego i zapewnienia sprawnej współpracy między własnymi kadrami i zespołem zewnętrznego doradcy
Firmy międzynarodowe
W podmiotach które mają strukturę międzynarodową znaczną część pracy wykona najczęściej siedziba główna lub inna firma na jej zlecenie. Dzięki takim działaniom będzie zachowany tzw. wewnętrzny korporacyjny standard. Na gruncie wymagań RODO jest to ważny aspekt, albowiem to administratorzy powinni wypracować odpowiedni standard zabezpieczeń. W firmie istotne jest budowanie świadomości u wszystkich osób, które są zaangażowane w przetwarzanie danych u administratora czy podmiotu przetwarzającego po 25 maja 2018 roku. Usprawni to wdrażanie RODO. Proces wdrążania RODO należy rozpocząć od przeglądu procesów biznesowych w których dane będą przetwarzane i przygotowani ich listy. Pomoże ona w sporządzeniu harmonogramu działań. Przy grupach kapitałowych należy wyodrębnić procesy własne i np. wspólne – pozwoli to na ujednolicenie podejścia do problemów prawnych wynikających z RODO.
Kolejny krok to inwentaryzacja danych i zbieranie innych informacji. To bardzo ważne zadanie, ponieważ jego wykonanie umożliwia stworzenie rejestru czynności przetwarzania danych osobowych. Powinny się w nim znaleźć dane takie jak: imię i nazwisko/ nazwa oraz dane administratora i wszelkich współadministratorów, cele przetwarzania, opis kategorii osób , których dotyczą dane, kategorię odbiorców, którym dane zostały lub będą ujawnione, w tym odbiorców w państwach trzecich lub organizacjach międzynarodowych, gdy ma zastosowanie, informacje o przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowych, a w niektórych przypadkach informacje o odpowiednich zabezpieczeniach związanych z takim transferem; jeżeli to możliwe planowane terminy usunięcia poszczególnych kategorii danych oraz ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust.1 RODO .
Inwentaryzacja dotyczy przetwarzania danych w systemach IT i obejmuje nie tylko Polskę ale także centralnie grupę kapitałową. Często firma przetwarza dane osobowe przy okazji różnych procesów biznesowych, mając raz status administratora, a niekiedy jest podmiotem przetwarzającym, co nie pozostanie bez wpływu na zakres informacji, które należy zebrać. Podmiot przetwarzający jest zobowiązany do prowadzenia rejestru kategorii czynności przetwarzania danych osobowych, przedstawiającego obraz przetwarzania danych w odniesieniu do każdego administratora, na rzecz którego je przetwarza. Dalej należy dokonać analizy luk w procesach. Polega to na badaniu zgodności przetwarzania danych z nowymi przepisami. W zależności od jej wyników będą ustalane będą kolejne kroki. Efektem analizy powinny być rekomendacje pomagające we wdrążeniu zmian oraz wskaże które dokumenty wykorzystywane w działalności spółki powinny być zmienione .
Prawdopodobnie przy wdrożeniu RODO wymagane będzie także przeprowadzenie zmian treści umów, na których mocy administrator powierzył podmiotowi przetwarzającemu dane do przetwarzania, zatem należy wszystkie te umowy zweryfikować, a te niezgodne z RODO – aneksować. Rozporządzenie nie daje szczegółowych rozwiązań jak należy bezpiecznie przetwarzać dane, dlatego wdrążenie wymaga wypracowania własnych działań. Warto ocenić skutki przetwarzania danych osobowych, zmiany organizacyjne, proceduralne, dokonać zmian w dziale IT- wszystko to wymaga indywidualnego podejścia .
Podsumowanie
Przy wdrożeniu RODO niewątpliwie potrzebny jest dobrze przygotowany plan. Proces ten wymaga pełnej współpracy wszystkich osób i podmiotów związanych z realizacją założeń. Nie można przy tym wyróżnić jednej metody wdrażania, powinno ono następować indywidualnie w odniesieniu do każdego podmiotu, na podstawie uprzednich analiz. Aby uniknąć błędów, warto rozważyć skorzystanie z doświadczeń innych podmiotów .
W przypadku pytań lub potrzeby konsultacji w zakresie RODO, prosimy o kontakt z Kancelarią J. Bójko i Wspólnicy.
Justyna Bójko – Partner Zarządzający, Radca prawny
Mateusz Kamm – Radca prawny
