Przypadająca 25 maja 2020 roku druga rocznica wejścia w życie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy (Dz.U.UE.L.2016.119.1, dalej: RODO) jest dobrą okazją do dokonania przeglądu dokumentacji i procedur wprowadzonych w przedsiębiorstwie w celu ochrony danych osobowych. Pamiętać bowiem należy, iż zapewnienie bezpieczeństwa danych osobowych jest procesem, a nie jest pojedynczą czynnością, której jednorazowe wykonanie zapewni 100% bezpieczeństwo danych i zgodność z przepisami. Jest to proces, w ramach którego przyjęte polityki i procedury powinny podlegać ciągłemu doskonaleniu.
Podczas dokonywania przeglądu dokumentacji RODO, warto odpowiedzieć sobie na poniższe pytania:
1. Czy wdrożyłem/łam procedury, które pozwolą na podjęcie wymaganych przepisami działań w ciągu 72 godzin od stwierdzenia incydentu?
Każdy Administrator Danych Osobowych ma obowiązek powiadomić organ nadzorczy (w Polsce: Prezesa Urzędu Ochrony Danych Osobowych) o naruszeniu ochrony danych osobowych w terminie 72 godzin od stwierdzenia wystąpienia incydentu. Od obowiązku tego można odstąpić wyłącznie, wtedy, gdy stwierdzono, iż jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Oznacza to, iż przedsiębiorca powinien w taki sposób sformułować i „przećwiczyć” wewnętrzne procedury, aby powiadomić odpowiednie osoby wewnątrz organizacji i zebrać informacje pozwalające na podjęcie decyzji o ewentualnym złożeniu zawiadomienia w terminie pozwalającym na podjęcie tej decyzji. Dotychczasowe komunikaty UODO, jak również wydane decyzje sugerują, że polski organ ochrony danych reaguje na każde stwierdzone opóźnienie w tym zakresie. Niezwykle istotne jest również dopilnować, by osoby, których dane dotyczą, zostały niezwłocznie powiadomione o zdarzeniu.
2.Czy upewniłem/łam się, że przetwarzam minimalną ilość danych?
Mijający rok pokazał, iż UODO bardzo restrykcyjnie podchodzi do egzekwowania zasady minimalizacji przetwarzania danych osobowych. W wydanych decyzjach Prezes UODO uznał m.in., iż nadmiarowym jest przetwarzanie odcisków palców uczniów w celu usprawnienia działania stołówki szkolnej (Szkoła Podstawowa nr 2 w Gdańsku), czy upublicznienie danych adresowych i numerów PESEL sędziów piłkarskich (Dolnośląski Związek Piłki Nożnej). W świetle tych decyzji warto ponownie pochylić się nad zakresem przetwarzanych przez przedsiębiorcę danych osobowych w celu stwierdzenia czy przetwarzanie wszystkich z nich jest niezbędne.
3.Czy przeprowadziłem/łam szacowanie ryzyka, a jeśli tak to jak często je powtarzam?
Podstawową zasadą wprowadzoną przez RODO jest stosowanie podejścia opartego na ryzyku – a więc przeanalizowania struktury organizacji w celu ustalenia w jakich procesach występuje ryzyko naruszenia praw osób fizycznych, a następnie podjęcia stosownych działań w celu minimalizacja tych ryzyk. Podkreślić należy, iż jednokrotne przeprowadzenie takiej analizy (np. przy prowadzaniu dokumentacji RODO) nie wystarczy dla utrzymania zgodności z przepisami o ochronie danych osobowych. Czynność ta powinna być powtarzana cyklicznie, a nadto prowadzona w przypadku wprowadzania zmian w stosowanych procedurach. Zapewnienie bezpieczeństwa danych osobowych należy traktować jako proces, a nie pojedynczą czynność. W zrozumieniu sensu stosowania podejścia opartego na ryzyku może pomóc opublikowany na stronie UODO poradnik „Jak rozumieć podejście oparte na ryzyku?”.
4.Czy korzystam z imiennych adresów e-mail pracowników, którzy odeszli z pracy?
W niedawnej publikacji Prezes UODO stanął na stanowisku, iż adresy e-mail w formacie „imię.nazwisko@firma.com” również są danymi osobowymi. W przypadku ustania zatrudnienia pracodawca co do zasady powinien zaprzestać przetwarzania tych danych – a więc usunąć to konto. Co prawda Prezes UODO dopuszcza w szczególnych wypadkach możliwość dalszego korzystania z takich adresów (szczególnie jeżeli były one używane do kontaktu z klientami przedsiębiorcy), jednak nie mogą one być wykorzystywane np. do pozyskiwania nowych klientów.
5.Czy odpowiednio zarządzam bezpieczeństwem danych w sieci?
W decyzjach i komunikatach UODO utrzymał się dotychczasowy trend egzekwowania od administratorów danych obowiązku stosowania adekwatnych środków bezpieczeństwa w celu ochrony przetwarzanych danych osobowych. Na przestrzeni ostatniego roku Prezes UODO nakładał kary i wszczynał postępowania zarówno wobec podmiotów, w których doszło do wycieku danych osobowych na skutek zamierzonego działania osób trzecich (tak sklep Morele.net, który został zaatakowany przez hakerów), jak również wtedy, gdy do wycieku doszło na skutek nieumyślnego błędu osoby wykonującej czynności na rzecz administratora (niedawne przypadki Krajowej Szkoły Sądownictwa i Prokuratury czy Panek S.A.).
6.Czy spełniłem/łam obowiązek informacyjny wobec podmiotów, których dane pozyskałem/łam z publicznych rejestrów?
W grudniu 2019 roku Wojewódzki Sąd Administracyjny w Warszawie potwierdził stanowisko Prezesa UODO, zgodnie z którym w przypadku pobrania danych osobowych osób prowadzących działalność gospodarczą, Administrator Danych Osobowych jest zobowiązany powiadomić podmiot danych (w trybie art. 14 RODO) o fakcie ich przetwarzania – nawet jeżeli będzie się to wiązało z koniecznością wykonania tej czynności w formie listu poleconego. Przedsiębiorca powinien zapoznać się z omawianą decyzją, jak również zapadłym w sprawie orzeczeniem Wojewódzkiego Sądu Administracyjnego. Może bowiem okazać się, że powinien poinformować osoby fizyczne o pobraniu ich danych z publicznych rejestrów.
7.Czy stosowany obowiązek informacyjny obejmuje informacje o przetwarzaniu danych przez portale społecznościowe?
Trybunał Sprawiedliwości Unii Europejskiej w wydanym w 2019 roku wyroku w sprawie Fashion ID GmbH & Co.KG przeciwko Verbraucherzentrale NRW eV stwierdził, iż jeżeli przedsiębiorca zamieści wtyczkę „Lubię to” na swojej stronie internetowej, to wspólnie z Facebookiem (dostawcą wtyczki społecznościowej) jest administratorem danych osobowych osób korzystających z witryn takich podmiotów. Przy czym odpowiedzialność tych podmiotów ogranicza się do operacji zbierania danych oraz ich transmisji do Facebooka. Wiąże się to z koniecznością odpowiedniego poinformowania osób fizycznych o tym kto jest administratorem ich danych, jak są chronione, czy są przekazywane poza Europejski Obszar Gospodarczy, a jeśli tak to na jakich zasadach są tam chronione oraz do którego ze współadministratorów danych należy się zwrócić w celu dochodzenia swoich praw.
8.Czy prowadzone operacje przetwarzania wymagają przeprowadzenia oceny skutków dla ochrony danych?
08 lipca 2019 roku w Monitorze Polskim ukazał się aktualnie obowiązujący wykaz operacji przetwarzania wymagających oceny skutków dla ochrony danych (DPIA). Każdy przedsiębiorca powinien co najmniej pobieżnie zapoznać się z treścią tego dokumentu by sprawdzić, czy prowadzone przez niego operacje przetwarzania danych (jak przetwarzanie danych genetycznych, lokalizacyjnych, czy analiza danych pochodzących z różnych źródeł) nie znalazły się na tym wykazie. W przypadku odpowiedzi twierdzącej – niezwłocznie należy wykonać stosowną analizę i udokumentować tę czynność, jak również kroki podjęte w jej wyniku.
9.Czy wykorzystywane w przedsiębiorstwie systemy informatyczne realizują zasady „privacy by design” i „privacy by default”?
Na doniosłość wynikającego z art. 25 RODO obowiązku stosowania odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia przetwarzania danych („privacy by design”) oraz domyślnego przetwarzania minimalnej ilości danych osobowych („privacy by default”) zwróciła uwagę Europejska Rada Ochrony Danych w Wytycznych o numerze 4/2019 przyjętych w dniu 13 listopada 2019 roku. EROD m.in. podkreśliła wagę nałożonego na administratora danych osobowych obowiązku minimalizacji ryzyka i odstąpienia od korzystania z rozwiązań technologicznych, które nie zapewniają zgodności z przepisami RODO. Ważne jest również uczciwe informowanie osób, których dane dotyczą o środkach podjętych w tym zakresie oraz uwzględnienie ochrony danych osobowych już w pierwszych etapach planowania przetwarzania. Szczególnie w odniesieniu do tej ostatniej uwagi znaczenie ma zdolność do sprostania wymogowi rozliczalności – a więc administrator danych nie tylko musi uwzględniać te czynniki, ale i móc w razie kontroli udowodnić, że to zrobił. W przytoczonej powyżej decyzji o nałożeniu kary na prowadzącego sklep Morele.net Prezes UODO stwierdził również naruszenie przez administratora danych art. 25 RODO.
Podsumowanie
Jak sygnalizowano na wstępie, zapewnienie zgodności z przepisami o ochronie danych osobowych to nieustanny proces. W jego trakcie konieczne jest m.in. stałe monitorowanie zmian w prawie oraz decyzji i orzeczeń wydawanych przez organy nadzorcze i sądy. Na podstawie tych obserwacji, jak również własnych doświadczeń organizacji, wewnętrzne procedury powinny być cyklicznie uzupełniane i aktualizowane. Opisane powyżej przykłady to jedynie część orzeczeń i stanowisk, które wydano w ciągu drugiego roku obowiązywania RODO. Oczywistym jest, że nie wszystkie te decyzje można było przewidzieć wdrażając w przedsiębiorstwie dokumentację ochrony danych osobowych. Dlatego, w świetle rosnącej liczby postępowań administracyjnych i kar, konieczne jest podejmowanie działań w celu dalszego zapewnienia zgodności z przepisami ochrony danych osobowych. Pomóc może również cykliczne prowadzenie audytów zgodności z RODO.