Baza wiedzy

Podstawowe wymagania prawne na gruncie GDPR (RODO) wobec Administratorów danych – jak do nich podejść ze zdrowym rozsądkiem? [CZĘŚĆ 2]

Autor: Jakub WezgrajData dodania: Kategoria: Rozporządzenie ogólne o ochronie danych osobowych (GDPR)

W drugiej części artykułu przedstawiam przegląd wymagań wobec Administratorów danych wskazanych w Rozdziale IV GDPR (Administrator i podmiot przetwarzający).

I ponownie przekazuję kilka wskazówek odnośnie tego w jaki sposób podejść do nich ze zdrowym rozsądkiem.

Do jakich obszarów odnoszą się poszczególne Rozdziały GDPR zawierające wymagania dla Administratorów danych? - ciąg dalszy.

Tak jak wspominałem już wcześniej, każdy z Rozdziałów odnosi się do innych obszarów związanych z przetwarzaniem danych osobowych. Poniżej przedstawiam zakres, który regulują poszczególne Rozdziały GDPR odnoszące się do obowiązków Administratora danych.

Tak jak pisałem w pierwszej części artykułu, GDPR składa się z jedenastu Rozdziałów, a każdy z nich reguluje odrębne obszary (służą realizacji innego celu), przy czym tylko kilka z nich (zasadniczo cztery) odnosi się do konkretnych obowiązków jakie musi spełnić Administrator danych. Są to następujące Rozdziały:  

Rozdział II – Zasady

Rozdział III – Prawa osoby, której dane dotyczą

Rozdział IV – Administrator i podmiot przetwarzający

Rozdział V - Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych

Wymagania wynikające z Rozdziału II i III GDPR przedstawiłem w pierwszej części artykułu. Poniżej przedstawiam zakres obowiązków spoczywających na Administratorze danych, wynikających z Rozdziału IV unijnego rozporządzenia. Wymagania wynikające z Rozdziału V przedstawię w odrębnym artykule.

Rozdział IV - Administrator i podmiot przetwarzający (art. 24 - 39 GDPR)

Rozdział ten reguluje wymagania jakie Administrator danych musi realizować w sferze wewnętrznej swojej organizacji oraz w ramach relacji zachodzących z podmiotami zewnętrznymi:

  • innymi Administratorami danych,
  • podmiotami, którym powierza dane do przetwarzania - procesorami,
  • organem nadzorczym oraz
  • osobami, które dane osobowe przetwarza (podmiotami danych) - w szczególnej sytuacji jaką jest zawiadamianie tych osób o naruszeniu ochrony ich danych.

Ponadto w Rozdziale tym znajdują się regulacje odnoszące się do:

  • kodeksów postępowania, które mogą powstawać w celu zapewnienia skuteczniejszego przestrzegania przepisów GDPR (art. 40 i 41),
  • systemu certyfikacji, który może być wdrożony w państwach członkowskich UE (art. 42 i 43 GDPR)

Zagadnienia dotyczące kodeksów postępowania zostaną przedstawione w odrębnym artykule.

Z kolei system certyfikacji jest zagadnieniem pozostawionym do wewnętrznej regulacji poszczególnych państw członkowskich, GDPR stanowi jedynie "punkt wyjścia" do utworzenia procesu certyfikacji zgodności z wymaganiami unijnego rozporządzenia i wskazuje ramowe warunki w jakich taki system powinien funkcjonować (np. certyfikacja może być wyłącznie dobrowolna). Wiadomo już, że tym zagadnieniem bardzo zainteresowany jest Generalny Inspektor Ochrony Danych Osobowych, który chciałby mieć wpływ na ustalanie kryteriów wyłaniania podmiotów certyfikujących. Zagadnienie to jest również obecnie przedmiotem prac Ministerstwa Cyfryzacji, które jest odpowiedzialne za wdrożenie do polskiej przestrzeni prawnej ogólnego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych. Ministerstwo Cyfryzacji w kwietniu 2017 r. planuje przedstawić projekt nowego prawa ochrony danych osobowych, które ma za zadanie zrealizować ten cel. Aktualności z tym związane publikowane są na oficjalnej stronie MC pod adresem: https://mc.gov.pl/projekty/nowe-prawo-ochrony-danych-osobowych.

Rozdział IV GDPR, w art. 24 - 39 wskazuje wytyczne w zakresie:

  • podstawowej zasady obowiązującej Administratora danych w zakresie stosowania środków technicznych i organizacyjnych, które mają zapewnić stosowanie wymagań rozporządzenia (art. 24 GDPR). Otóż chodzi o obowiązek stosowania powyższych rozwiązań w oparciu o analizę ryzyka. Art 24 ust. 1 stanowi bowiem, że Administrator danych stosuje środki "odpowiednie", biorąc pod uwagę między innymi "charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia". Ma obowiązek ponadto poddawać przeglądom i uaktualniać wprowadzone rozwiązania. Jest to bardzo ważny przepis GDPR, ponieważ wskazuje kluczową zasadę jaką musi kierować się każdy Administrator danych - indywidualnego podejścia do stosowanych środków wobec przetwarzanych danych. Indywidualnego ponieważ bazującego na ocenie ryzyka opartego na czynnikach i kryteriach występujących u konkretnego Administratora danych. Z kolei zastosowane rozwiązania muszą być "odpowiednie" - czyli dostosowane do wniosków płynących z analizy ryzyka,
  • podejścia "privacy by design" oraz "privacy by default", a więc obowiązku wdrażania odpowiednich środków technicznych i organizacyjnych zapewniających przetwarzanie i ochronę danych zgodnie z wymaganiami GDPR już na etapie planowania procesów przetwarzania danych (np. przy okazji wdrażania nowego produktu/usługi), a także już w trakcie realizacji tych procesów - art. 25 GDPR,
  • podziału odpowiedzialności i zakresu obowiązków wynikających z GDPR w przypadku gdy co najmniej dwa podmioty wspólnie ustalają w jakich celach i za pomocą jakich środków przetwarzać będą dane osobowe. Tutaj pojawia się po raz pierwszy w historii prawa ochrony danych osobowych pojęcie "współadministratorów", czyli Administratorów danych, którzy współdecydują o celach i środkach przetwarzania danych w ramach określonego procesu. GDPR umożliwia w takim wypadku ustalenie pomiędzy Administratorami danych zakresu ich odpowiedzialności za realizację obowiązków wynikających z unijnego rozporządzenia, w szczególności w zakresie wypełniania praw osób, których dane dotyczą (opisanych w pierwszej części artykułu) - art. 26 GDPR,
  • obowiązku wyznaczenia przedstawiciela w Unii Europejskiej w przypadku, gdy dany Administrator danych nie ma swoich jednostek organizacyjnych zlokalizowanych na terytorium UE, ale dokonuje operacji przetwarzania danych osób przebywających na jej terytorium, jeżeli te czynności przetwarzania wiążą się z oferowaniem towarów lub usług takim osobom (niezależnie czy są one odpłatne czy nie) lub też monitorowaniem ich zachowania (np. badaniem ich preferencji zakupowych etc.) - art. 27 GDPR,
  • wymagań dotyczącego podmiotu, któremu Administrator danych powierza do przetwarzania dane osobowe (art. 28 GDPR). W pierwszej kolejności przepis ten nakłada obowiązek na Administratora danych korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi GDPR i chroniło prawa osób, których dane dotyczą. Ponadto przepis wskazuje m.in. wymagania wobec umowy zawieranej z podmiotem przetwarzającym. Określa również szereg innych kwestii, w tym doprecyzowuje nieuregulowaną na gruncie ustawy o ochronie danych osobowych problematykę tzw. podpowierzania danych osobowych kolejnym podmiotom przetwarzającym,
  • zasady, zgodnie z którą zarówno osoby fizyczne działające z upoważnienia Administratora danych jak i podmioty przetwarzające na mocy zawartej umowy powierzenia danych mają obowiązek przetwarzać dane osobowe wyłącznie na polecenie Administratora danych (chyba że przetwarzania danych w określonym wypadku wymaga prawo Unii lub państwa członkowskiego) - art. 29 GDPR,
  • obowiązku Administratora danych prowadzenia rejestru czynności przetwarzania danych (art. 30 GDPR). W przypadku zaś podmiotów przetwarzających dane mają one obowiązek prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych przez nie w imieniu Administratora danych. Przepis ten wskazuje zakres informacji jakie powinny zawierać oba rejestry, wskazuje również formę prowadzenia rejestrów ("pisemna, w tym elektroniczna"). Rejestry te mają być udostępniane do wglądu na żądanie organu nadzorczego,
  • ogólnej zasady nakazującej współpracę z organem nadzorczym (na jego żądanie) - art. 31 GDPR,
  • obowiązku stosowania odpowiednich środków bezpieczeństwa wobec przetwarzanych danych osobowych w oparciu o analizę ryzyka (art. 32 GDPR). Jest to przepis nawiązujący do ogólnej zasady wskazanej w art. 24 GDPR, z tym że bezpośrednio odnosi się do kwestii zabezpieczenia danych osobowych i kryteriów, które w szczególności powinny być brane pod uwagę przy ocenie czy dane są objęte odpowiednim stopniem bezpieczeństwa. Jest to bardzo istotny przepis, który w powiązaniu z art. 24 GDPR praktycznie zastąpi dzisiejsze Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
  • obowiązku zgłaszania organowi nadzorczemu faktu naruszenia ochrony danych osobowych (art. 33 GDPR). Zgodnie z tym przepisem Administrator danych ma obowiązek bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia ochrony danych, zgłosić ten fakt organowi nadzorczemu. Co bardzo istotne obowiązkiem dokonania zgłoszenia nie są objęte wszelkie naruszenia ochrony danych. Obowiązkiem tym nie są bowiem objęte takie naruszenia, które w ocenie Administratora danych odznaczają się małym prawdopodobieństwem by mogły skutkować ryzykiem naruszenia praw lub wolności osób fizycznych,
  • obowiązku zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych (art. 34 GDPR). Administrator danych w przypadku ustalenia naruszenia ochrony danych osobowych będzie zobowiązany nie tylko o tym fakcie poinformować organ nadzorczy, ale również w przypadku gdy konkretne zdarzenie w jego ocenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych - będzie zobowiązany o tym zdarzeniu zawiadomić bez zbędnej zwłoki osobę, której dane dotyczą. Przepis ten wskazuje również przypadki, w których takie zawiadomienie nie jest obowiązkowe. Co ciekawe, jeżeli poinformowanie podmiotu danych o naruszeniu w sposób indywidualny (bezpośredni) wymagało by po stronie Administratora danych "niewspółmiernie dużego wysiłku" będzie on zobligowany do wystosowania publicznego komunikatu lub zastosowania innego podobnego środka tak, aby przekaz w sposób skuteczny dotarł do osób, których dane osobowe zostały naruszone,
  • przeprowadzania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (art. 35 GDPR). Zdaniem Generalnego Inspektora Ochrony Danych Osobowych jest to jeden z kluczowych wymogów unijnego rozporządzenia. Na mocy tej regulacji Administrator danych zobowiązany będzie m.in. przeprowadzać ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów w jakich dane były zbierane, czy też ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą a także ustalać planowane środki mające na celu zaradzenia ryzyku. Ocena skutków dla ochrony danych nie będzie jednak musiała być przeprowadzana wobec wszelkich operacji przetwarzania danych, ale wobec takich, które z dużym prawdopodobieństwem mogą stwarzać wysokie ryzyko naruszenia praw i wolności osób fizycznych. Art. 35 ust. 3 GDPR wskazuje trzy rodzaje operacji przetwarzania danych, wobec których ocena skutków dla ochrony danych powinna być przeprowadzona obligatoryjnie (dotyczy to np. profilowania danych), ponadto na mocy art. 36 ust. 4 organ nadzorczy będzie miał obowiązek opublikować wykaz rodzajów operacji, które wymagają przeprowadzenia takiej oceny,
  • obowiązku konsultowania z organem nadzorczym procesów przetwarzania danych osobowych, wobec których przeprowadzona wcześniej przez Administratora danych ocena skutków (o której mowa w art. 35 GDPR) wykazała, że przetwarzanie powodowałoby wysokie ryzyko, gdyby Administrator nie zastosował odpowiednich środków w celu jego zminimalizowania. W takim wypadku wymagane będzie przeprowadzenie konsultacji z organem nadzorczym przed rozpoczęciem przetwarzania danych osobowych,
  • wymagań odnoszących się do zasad wyznaczania inspektora ochrony danych (art. 37 GDPR - o tym którzy Administratorzy danych będą zobowiązani do powołania inspektora ochrony danych przeczytasz w tym ARTYKULE), w tym jego statusu (art. 38 GDPR) oraz zakresu obowiązków (art. 39 GDPR).

KILKA WSKAZÓWEK DO POWYŻEJ WSKAZANYCH WYMAGAŃ:

  • bardzo ważnymi regulacjami są te odnoszące się do podejścia "privacy by design", "privacy by default" (art. 23 GDPR) oraz "oceny skutków dla ochrony danych" (art. 35 GDPR) ponieważ w tych zasadach wyraża się oczekiwanie ustawodawcy unijnego odnośnie proaktywnego podejścia do ochrony danych przez Administratorów. Proaktywnego, czyli takiego zgodnie z którym ochrona danych osobowych i prywatności osób fizycznych stanowi element (część składową) konkretnego procesu biznesowego, administracyjnego czy też technologicznego w danej organizacji. Takie podejście wymusza na Administratorze danych traktowanie prywatności jako domyślnego rozwiązania. Czyli ochrona danych osobowych ma być czymś co z góry zakładamy jako pewnik i czego oczekujemy, a nie coś do czego dążymy i staramy się osiągnąć już w trakcie trwania jakiegoś procesu. Ten drugi przypadek bardzo często ma miejsce dzisiaj, gdzie próbujemy zbadać jakiś proces który już funkcjonuje, czy nie narusza on zasad ochrony danych osobowych, a następnie (gdy okaże się że jednak narusza) staramy się wprowadzić jakieś działania naprawcze (o ile jest to jeszcze możliwe i godzi się na to "biznes"). Nie ulega wątpliwości, że w takim przypadku faktycznie dochodzi do naruszenia ochrony danych osobowych (bo proces od początku nie był zgodny z wymaganiami) i naruszamy czyjeś prawa i wolności. Unijne rozporządzenie wymaga by Administratorzy danych czuli się odpowiedzialni za ochronę danych przez cały cykl ich życia w ramach konkretnego procesu - dlatego będą zobligowani do uwzględniania wymogów GDPR już na etapie planów wprowadzenia jakiejś usługi, produktu lub procesu a także do zapewnienia, że ochrona danych funkcjonuje również w trakcie funkcjonowania tych produktów, usług czy też procesów na rynku.

Innymi słowy ochrona prywatności ma być "włączona" w każdy projekt i funkcjonować przez cały czas jego trwania (przez cały "cykl życia" danych w ramach projektu).

Takiemu podejściu ma też służyć przeprowadzanie oceny skutków dla ochrony danych (ang. privacy impact assessment - PIA). Jest to istotny mechanizm jaki będzie stosowany przez Administratorów danych na etapie ochrony prywatności w fazie projektowania ("privacy by design"), ponieważ ma zasadniczo służyć ocenie czy i w jaki sposób planowane przez Administratora danych działania wpłyną na ochronę danych osobowych i prywatności osób fizycznych. Wyniki takiej analizy będą więc stanowiły istotne wskazówki dla wprowadzania skutecznych rozwiązań służących ochronie danych osobowych w planowanych do wdrożenia produktach, usługach i procesach (a więc mamy tutaj ewidentne powiązanie z "privacy by design" oraz "privacy by default").

  • innym kluczowym zagadnieniem jest bazowanie na ocenie ryzyka przy doborze odpowiednich środków technicznych i organizacyjnych służących realizacji wymagań GDPR. Podejście to oznacza brak równego (w sensie - takiego samego) traktowania wszystkich podmiotów przetwarzających dane osobowe, ponieważ podejście oparte na ryzyku oznacza że to każdy podmiot indywidualnie musi dokonać oceny, czy w konkretnym stanie faktycznym zastosował środki zapewniające możliwie najwyższą ochronę danych osobowych. Bardzo ważne jest więc aby już dzisiaj organizacje uczyły się co to znaczy przeprowadzać ocenę ryzyka (i jakie kryteria oraz czynniki brać pod uwagę przy jej przeprowadzaniu).

I tu ważna sprawa - oceny ryzyka nie da się skutecznie przeprowadzić bez bardzo dobrej znajomości własnych zasobów (zbiorów danych osobowych, systemów informatycznych), obszarów w których się je przetwarza oraz charakterystyki organizacji (struktury organizacyjnej, zakresu kompetencji poszczególnych komórek organizacyjnych, modelu biznesowego, modelu działania, uwarunkowań technologicznych i organizacyjnych etc.). I tutaj mamy bardzo silne powiązanie ponownie z "privacy by design", "privacy by default" oraz oceną skutków dla ochrony danych. Ocena ryzyka stanowi wręcz element tego ostatniego (patrz art. 35 ust. 7 lit. c GDPR).

I tu mam pytanie do Ciebie drogi czytelniku - ile razy do tej pory Twoja organizacja przeprowadziła sprawdzenie planowe w zakresie ochrony danych osobowych? A ile razy przeprowadziła sprawdzenie doraźne?

Obowiązek przeprowadzania sprawdzeń w zakresie ochrony danych osobowych istnieje od czasu nowelizacji ustawy o ochronie danych osobowych, która weszła w życie 1 stycznia 2015 r. Szczegółowy tryb przeprowadzania sprawdzeń został uregulowany w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745 - pełną treść Rozporządzenia znajdziesz TUTAJ).

Przeprowadzanie sprawdzeń stanowi podstawowy element budowania mechanizmów samooceny, a to jest podstawowa cecha jaką będą musieli wykazać się Administratorzy danych przy podejściu "privacy by design", "privacy by default", ocenie skutków dla ochrony danych czy też ocenie ryzyka. 

Pełna treść GDPR

Dla zainteresowanych przesyłam link do pełnej treści tzw. ogólnego rozporządzenia o ochronie danych (w skrócie GDPR lub RODO). Można ją znaleźć TUTAJ. Zachęcam do lektury i własnych przemyśleń!

Zadaj pytanie  lub  Zadzwoń: 600 677 026

GDPRinspektor ochrony danychJakub Wezgrajochrona danych osobowychODOekspertodpowiedzialnośćprzepisy prawaRODOunijne rozporządzenie o ochronie danychustawa

Wróć

Do góry