Rozporządzenie RODO, a bardziej konkretnie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, wchodzi w życie z dniem 25 maja 2018 r. Od tej daty zacznie ono obowiązywać bezpośrednio jako część krajowego porządku prawnego, bez konieczności wydawania ustawy implementującej. W związku z tym nie można spodziewać się przesunięcia terminu na wdrożenie w firmie nowych obowiązków, nawet pomimo tego, że projekt polskiej ustawy o ochronie danych osobowych jak dotąd nie został skierowany do Sejmu. Tak czy inaczej polska ustawa o ochronie danych osobowych stanowić będzie niejako akt wykonawczy do rozporządzenia RODO. Dookreśli ona bowiem szczegóły, które ze względu na ogólny charakter przepisów rozporządzenia RODO, nie mogły się w nim znaleźć.

RODO nakłada obowiązek na każdego przedsiębiorcę, który nawet w minimalnym zakresie przetwarza dane osobowe klientów lub zatrudnia pracowników, których dane osobowe podlegają pod tożsamą ochronę. Zwrócić należy uwagę, że niektóre przedsiębiorstwa tj. np. podmioty lecznicze prowadzące szpitale lub ośrodki zdrowia, ze względu na przetwarzanie danych osobowych szczególnej kategorii (tzw. dane wrażliwe) np. w postaci danych dotyczących zdrowia pacjentów, zobowiązane będą do przestrzegania jego przepisów nawet z większą starannością niż podmioty przetwarzające zwykłe dane osobowe.

Każdy przedsiębiorca w rozumieniu RODO będzie uznawany za administratora danych osobowych. Może on zostać również potraktowany jako przetwarzający dane osobowe w przypadku gdy występuje w roli podwykonawcy podmiotu trzeciego, będącego administratorem.

Ani rozporządzenie RODO, ani projekt polskiej ustawy nie przewidują konkretnych rozwiązań technicznych i organizacyjnych, które mają być wdrożone w celu spełnienia wymogów określonych w przepisach. Widać tutaj wyraźną zmianę polityki dotyczącej ochrony danych osobowych. Ustawodawca nie przedstawia gotowych rozwiązań, które należy spełnić. Wiąże się to z przyjęciem założenia, że RODO nie będzie nowelizowane przez 50 lat. Nie może więc budzić zastrzeżeń duża ogólność przepisów rozporządzenia. Administrator będzie więc miał obowiązek zastosować najlepsze możliwe rozwiązania, które mają zapobiegać naruszeniom przepisów rozporządzenia RODO. Inaczej mówiąc, w celu uchylenia się od odpowiedzialności czy to cywilnej czy administracyjnej, konieczne będzie wykazanie, że administrator danych osobowych dopełnił należytej staranności w zabezpieczeniu danych i nie ponosi winy za ich utratę lub bezprawne rozpowszechnienie. Co ciekawe za naruszenie zasad ochrony danych osobowych uznaje się również ich utratę lub zniszczenie danych.

Podkreślić należy, że RODO wprowadza zasadę rozliczalności. Stanowi ona, że każde działanie podjęte w ramach wprowadzania zasad ochrony danych osobowych musi zostać udokumentowane i może stanowić przedmiot kontroli wykonywanej przez organ nadzoru. Zgodnie z projektem polskiej ustawy, organem nadzoru będzie Prezes Urzędu Ochrony Danych Osobowych (UODO), który zastąpi dotychczasowego GIODO.

Wprowadzenie nowych przepisów dotyczących danych osobowych wzbudza wiele emocji ze względu na wysokie sankcje za naruszenie zasad ochrony danych osobowych. Poza bardzo wysokimi karami administracyjnymi (do 20 mln Euro lub 4% obrotu), administrator danych osobowych odpowiada również cywilnie za szkody wyrządzone każdej osobie w związku z naruszeniem jej prawa do ochrony danych osobowych.

Poniżej przedstawiamy listę zadań, które według nas powinny zostać podjęte w celu zabezpieczenia przedsiębiorstwa przed naruszeniem nowych zasad ochrony danych osobowych.

Za racjonalne należy uznać stwierdzenie, że wdrożenie postanowień RODO warto rozpocząć od wyznaczenie osoby odpowiedzialnej za ochronę danych osobowych w przedsiębiorstwie. Zapewne czynność tak polegać będzie na zmianę funkcji dotychczasowego Administratora Bezpieczeństwa Informacji (ABI) na Inspektora Ochrony Danych (IOD, art. 37 RODO). Nie wszystkie przedsiębiorstwa zobowiązane będą posiadać IOD. Obowiązek ten na pewno dotyczyć będzie wszystkich przedsiębiorstw przetwarzające dane szczególnej kategorii np. dane o zdrowiu pacjentów. IOD powinien spełniać wymogi posiadania odpowiednich kwalifikacji, wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania zadań wymienionych w art. 39 RODO. IOD powinien zajmować samodzielne stanowisko i odpowiadać bezpośrednio przed kierownictwem przedsiębiorstwa. IOD nie może być odwołany lub ukarany za wypełnianie swoich obowiązków. Może on wykonywać również inne obowiązki o ile nie wystąpi konflikt interesów pomiędzy tymi obowiązkami a ochroną danych osobowych. Stąd konieczne będzie odpowiednie sformułowanie umowy o pracę lub innej umowy cywilnoprawnej łączącej firmę z IOD. Po wyznaczeniu, IOD przedsiębiorstwo w terminie 14 dni powinno dokonać zawiadomienia UODO, z tymże zgodnie z projektem polskiej ustawy o ochronie danych osobowych, osoba pełniąca w dniu 24 maja 2018 r. funkcję ABI, staje się, z mocy ustawy, inspektorem ochrony danych i pełni swoją funkcje do dnia 1 września 2018 r., chyba, że do tego dnia administrator zawiadomi Prezesa Urzędu o wyznaczeniu innej osoby na inspektora ochrony danych.

Następnie, na podstawie art. 30 RODO, przedsiębiorca powinien opracować rejestr czynności przetwarzania danych osobowych, który powinien zawierać:

  • dane administratora i inspektora ochrony danych,
  • cel przetwarzania,
  • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych,
  • planowane terminy usunięcia poszczególnych danych osobowych, a jeśli to nie jest możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (art. 32 RODO).

Wykonanie rejestru ma na celu zdiagnozowanie jakiego rodzaju dane osobowe są przetwarzane, w jakich miejscach i w jakim celu. Zbudowanie rejestru powinno prowadzić również do zastanowienia się czy przetwarzanie danych osobowych jest zawsze wymagane albo czy jest wymagane w takim zakresie w jakim jest w rzeczywistości dokonywane. Każda czynność przetwarzania wymieniona w rejestrze musi posiadać odpowiednią podstawę prawną lub umowną. Co ważne rejestru nie należy rozumieć jako spisu każdej czynności, w czasie której przetwarza się dane osobowe.

Tak jak to zostało wspomniane powyżej, niekiedy przedsiębiorca może wystąpić w roli przetwarzającego dane na zlecenie ich administratora, w związku z tym pojawia się konieczność opracowania tożsamych rejestrów czynności przetwarzania danych osobowych. Rozporządzenie RODO wymaga aby prowadzić oddzielne rejestry dla czynności, w których dany podmiot występuje w roli przetwarzającego dane osobowe na zlecenie ich administratora. Przykładowo rejestr taki dotyczył będzie wykonywania badań przez centrum diagnostyki na rzecz pacjentów szpitala.

Każde przedsiębiorstwo powinno dokonać audytu wewnętrznych procedur dotyczących ochrony danych osobowych lub w ogóle danych jako takich. Konieczne będzie dostosowanie procedur do nowych wymagań rozporządzenia RODO. Ma to olbrzymie znaczenie na wypadek kontroli, która zapewne rozpoczynać się będzie od oceny wewnętrznych rozwiązań i opracowanej dokumentacji. Każda firma powinna przeprowadzić wewnętrzny audyt stosowanych rozwiązań zarówno technicznych jak i organizacyjnych, w celu zdiagnozowania obszarów, w których dane osobowe narażone są na ujawnienie lub ich utratę, ze szczególnym uwzględnieniem systemów informatycznych oraz poczty elektronicznej. W kontekście danych gromadzonych w systemach informatycznych bardzo ważną kwestią jest polityka szyfrowania danych i wykonywania kopii zapasowych.

Artykuł 24 ust. 2 RODO nakłada na administratora danych osobowych obowiązek opracowania i wdrożenie polityki ochrony danych osobowych, mającej charakter dokumentu strategicznego. Przyjęcie polityki powinno zostać poprzedzone wykonaniem oceny skutków dla ochrony danych osobowych zgodnie z art. 35 RODO. Warto zaznaczyć, że jeśli ocena skutków planowanych operacji przetwarzania dla ochrony danych osobowych wykaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, konieczne będzie przeprowadzenie konsultacji z organem nadzoru tj. Prezesem Urzędu Ochrony Danych Osobowych.

Kluczowe będzie jednak, wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia aby przetwarzania danych odbywało się zgodnie z RODO (art. 25). Wyniki przeprowadzonych audytów powinny skutkować koniecznością wprowadzenia działań naprawczych w obszarze organizacyjnym i technicznym np. poprzez ograniczenie dostępu do akt pracowniczych lub zastosowanie tzw. polityki czystego biurka. Każde takie działanie powinno zostać udokumentowane, zgodnie z zasadą rozliczalności.

W celu wykazania, że pracownicy administratora danych osobowych posiadają odpowiednią wiedzę o zasadach ochrony danych osobowych, powinny zostać przeprowadzone szkolenia dla wszystkich pracowników przetwarzających dane osobowe klientów lub innych pracowników. Szkolenie powinno obejmować ogólne zasady wynikające z RODO oraz wewnętrzne procedury dostosowane uprzednio do wymagań RODO.

Każdy podwykonawca przedsiębiorstwa, do którego trafiają dane osobowe klientów lub pracowników będzie traktowany jako przetwarzający dane, z którym przedsiębiorstwo jako administrator powinno mieć stosowne umowy z odpowiednimi klauzulami, których treść przewiduje RODO. Podwykonawcy będą musieli złożyć oświadczenie, w którym zapewnią przedsiębiorstwo, że spełniają wszystkie standardy ochrony danych osobowych. W tym celu zaleca się sporządzenie rejestru umów, na podstawie których dane przedsiębiorstwo choćby w najmniejszym stopniu powierza obecnie przetwarzanie danych osobowych. Jako przykład wskazuje się konieczność zawarcia takich umów nawet z firmą dokonującą napraw sprzętu medycznego, na którym zapisywane są wyniki badań pacjentów.

Kolejnym krokiem powinno być opracowanie procedury na wypadek incydentów lub wycieku danych osobowych. RODO nakłada na administratora szereg działań, które musi on podjąć gdy dojdzie do naruszenia zasad ochrony danych osobowych. Jako przykład należy wymienić obowiązek zawiadomienia UODO w terminie 72 godzin oraz zawiadomienia o naruszenia każdej osoby mogącej chociaż potencjalnie narażonej na niebezpieczeństwo wystąpienia szkody. Ponadto, administrator powinien prowadzić rejestr każdego naruszenia. Rejestr jest jednym z elementów podlegających kontroli.

Zachęcamy również do monitorowania powstawania kodeksów postępowań w zakresie ochrony danych osobowych w poszczególnych sektorach gospodarki (art. 40 RODO). Rozporządzenie zachęca do opracowywania branżowych kodeksów postępowań w sprawie ochrony danych osobowych, które powinny zostać zatwierdzone przez organ nadzoru. Wdrożenie takiego kodeksu powoduje obniżenie wysokości nakładanych kar oraz wspiera działania polegające na uchyleniu się od odpowiedzialności. Wdrożenie postanowień kodeksu będzie wymagało późniejszego wystąpienia  o akredytację stosowania tego kodeksu, przed podmiot który go opracował i uzyskał uprzednią akredytację od organu nadzoru.

Przepisy rozporządzenia zachęcają do pozyskiwania certyfikatów zapewniania należytej ochrony danych osobowych. Podobnie jak stosowanie ww. kodeksów, posiadanie certyfikatu może być pomocne na wypadek kontroli lub w celu zmniejszenia wymiaru kary lub uchylenia się od odpowiedzialności. Zgodnie z projektem polskiej ustawy, certyfikacji będą dokonywać instytucje, które wcześniej uzyskały akredytację do UODO.

Na zakończenie wskazujemy, że przyjęte rozwiązania powinny być poddawane cyklicznym przeglądom i uaktualnieniom. Zgodnie z rozporządzeniem, administrator powinien w sposób ciągły doskonalić przyjęte metody ochrony danych osobowych. Raz opracowane procedury i przyjęte rozwiązania powinny być poddawane okresowemu audytowi. Bowiem to na administratorze będzie ciążył obowiązek wykazania, że zabezpieczył on dane osobowe w sposób odpowiedni, dostosowany do aktualnych wymogów technicznych.