Szczegóły
Kategoria: RODO

Rodo wprowadza dwie powiązane ze sobą instytucje: ocenę skutków dla ochrony danych osobowych oraz uprzednie konsultacje z organem nadzorczym. Zgodnie z art. 35 ust. 1 rodo: Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

Przeprowadzenie oceny skutków dla ochrony danych jest obowiązkowe, w szczególności w przypadku „systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną”. Ocena taka jest konieczna również wtedy, gdy przetwarzane mają być na dużą skalę szczególne kategorie danych osobowych lub dane dotyczące wyroków skazujących i naruszeń prawa. Ponadto przeprowadzenia oceny wymaga systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie (art. 35 ust. 3 rodo). Niewątpliwie użyte przez ustawodawcę kryterium decydujące o konieczności przeprowadzenia oceny skutków dla ochrony danych w praktyce może wywoływać wątpliwości. Dlatego organy nadzorcze mają tworzyć i podawać do publicznej wiadomości wykazy rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych, jak również wykazy operacji, które takiemu obowiązkowi nie podlegają. Obowiązek przeprowadzenia takiej oceny nie powinien być traktowany jako jednorazowa czynność, lecz raczej jako szerszy proces wymagający podejmowania w razie konieczności dalszych czynności, gdy zmieniają się ryzyka związane z operacjami przetwarzania danych osobowych.
Jednocześnie art. 35 ust. 7 rodo określa jej elementy. Są to:

1systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym (gdy ma to zastosowanie) prawnie uzasadnionych interesów realizowanych przez administratora;

2ocena, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

3ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą;

4planowane środki mające na celu zaradzenie ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Rodo przewiduje również możliwość zasięgania w sprawie zamierzonego przetwarzania opinii osób, których dane dotyczą, lub ich przedstawicieli. Takie konsultacje są jednym z elementów realizacji rozliczalności administratora wobec osób, których dane dotyczą, i mogą przybrać różną formę w zależności od specyfiki operacji przetwarzania danych i kategorii osób, których dane dotyczą. Ustawodawca wprowadził pewne ograniczenia takiej możliwości ze względu na konieczność ochrony uzasadnionych interesów administratora danych. Rodo nakłada obowiązek przeprowadzenia oceny skutków dla ochrony danych na administratora danych, a nie na wyznaczonego przez niego inspektora ochrony danych, z którym jedynie się konsultuje. Konsekwencją przeprowadzenia oceny skutków dla ochrony danych może być konieczność skonsultowania się administratora z organem nadzorczym w ramach procedury uprzednich konsultacji uregulowanych w art. 36 rodo. Zgodnie z tym przepisem, powinno to nastąpić, gdy ocena skutków dla ochrony danych wskaże, że „przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka”. W świetle art. 36 ust. 2 rodo, jeżeli organ nadzorczy jest zdania, że zgłoszone mu planowane operacje przetwarzania danych osobowych stanowiłyby naruszenie postanowień ogólnego rozporządzenia (co może polegać na niedostatecznym zidentyfikowaniu lub zminimalizowaniu ryzyka przez administratora danych), to w terminie do ośmiu tygodni od wpłynięcia wniosku o konsultacje udziela pisemnego zalecenia temu administratorowi, a gdy ma to zastosowanie – także podmiotowi przetwarzającemu. Jednocześnie organ nadzorczy może skorzystać z kompetencji naprawczych określonych w art. 58 rodo. Okres ten może być przedłużony o kolejne sześć tygodni ze względu na złożony charakter zamierzonego przetwarzania. Bieg tych terminów można zawiesić do czasu, aż organ nadzorczy uzyska wszelkie informacje, których zażądał do celów konsultacji.

Szczegóły
Kategoria: RODO

Rozpoczęcie stosowania rodo to duże wyzwanie dla wszystkich, których prawa i obowiązki akt ten reguluje. W wielu przypadkach będziemy mieć do czynienia z instytucjami prawnymi dotąd nieznanymi sektorowi ochrony danych, a także ze znacznymi modyfi kacjami istniejących rozwiązań prawnych. Rodo zawiera wiele zwrotów niedookreślonych i klauzul generalnych, które wymagać będą wykładni treści przepisów w konkretnych sytuacjach związanych z przetwarzaniem danych osobowych. Nadanie rodo takiej treści było działaniem świadomym. Miało ono zapewnić normom rodo aktualność, niezależnie od ciągłego rozwoju nowych technologii. Niemniej dla adresatów tych norm przyjęcie powyższej konstrukcji będzie oznaczać konieczność dokonywania wykładni użytych pojęć poprzez rozkodowanie zawartych w przepisach treści prawnych. Warto więc wskazać na źródła informacji pomocnych w dokonywaniu takiej wykładni. Bez wątpienia pierwszym z nich są opinie wydawane przez Grupę Roboczą Art. 29, a po rozpoczęciu stosowania rodo – jej następcę prawnego, Europejską Radę Ochrony Danych. Opinie takie z pewnością będą przez Grupę tworzone oraz udostępniane na jej stronie (http://ec.europa.eu/justice/data-protection/article-29/index_en.htm), w zakładce „Opinie i rekomendacje”. Ponadto opinie te, po ich przetłumaczeniu na język polski, GIODO, będzie, jak dotąd, udostępniał na swojej stronie internetowej. Kolejnym źródłem informacji jest strona internetowa GIODO (www.giodo.gov.pl) oraz strony WWW organów nadzorczych z innych państw członkowskich UE. Zamieszczane są na nich obowiązujące w dziedzinie ochrony danych osobowych przepisy prawa, a także informacje i wskazówki dotyczące ich wykładni. Często można na nich znaleźć informacje o wydarzeniach dotyczących unijnej reformy ochrony danych osobowych, takich jak warsztaty, konferencje i szkolenia.
Na stronie internetowej GIODO w zakładce Prawo znajdują się zarówno informacje dotyczące reformy ochrony danych osobowych (w sekcji Reforma ochrony danych osobowych), jak i treść nowych przepisów rodo (w sekcji Przepisy prawa | Europejskie | Rozporządzenia). W tej samej zakładce dostępne są też pozostałe, obowiązujące w zakresie ochrony danych osobowych akty prawne (krajowe, europejskie i międzynarodowe).
Na stronie tej znaleźć można ponadto wykaz literatury fachowej oraz informacje o wyrokach sądów polskich i zagranicznych. Materiały są na bieżąco aktualizowane i rozszerzane, a wyszukiwanie informacji ułatwia zamieszczona na stronie wyszukiwarka.
Wiele pomocnych informacji dotyczących powołania administratorów bezpieczeństwa informacji i wykonywania przez nich zadań na podstawie obowiązujących przepisów krajowych dostępnych jest w serwisie ABI-Informator (https://abi.giodo.gov.pl). Wykładnia przepisów rodo może okazać się łatwiejsza po wydaniu przez Komisję Europejską aktów wykonawczych oraz aktów delegowanych, które uzupełniają (wykonują) postanowienia rodo. Ich celem jest ponadto ujednolicenie stosowania rodo w poszczególnych państwach członkowskich. Komisja będzie jednak uprawniona do wydania takich aktów dopiero po rozpoczęciu stosowania rodo, a więc po 25 maja 2018 r.
Poza powyższymi źródłami informacji okazją do poszerzania wiedzy i wymiany wzajemnych doświadczeń mogą być również szkolenia sektorowe organizowane przez GIODO. Szkolenia takie adresowane są do ABI i mają w założeniu ułatwić prawidłowe realizowanie obecnych i przyszłych obowiązków administratorów danych i wspierających ich ABI w określonych dziedzinach działalności. Informacje o szkoleniach przekazywane są administratorom danych, którzy zgłosili powołanie ABI do rejestru prowadzonego przez GIODO, a także za pośrednictwem strony internetowej www.giodo.gov.pl.

Szczegóły
Kategoria: RODO

Jednym z celów przyświecających projektodawcom rodo było zapewnienie skuteczności ochrony danych osobowych w zmieniających się środowiskach: technologicznym, organizacyjnym i gospodarczym. Od czasu przyjęcia w 1995 r. dyrektywy 95/46/WE radykalnie zmieniły się metody przetwarzania danych osobowych, a tym samym pojawiły się nowe wyzwania związane ze skutecznym zapewnieniem ich odpowiedniej ochrony. Generowanie danych w postaci cyfrowej oraz zwiększające się możliwości ich wykorzystywania, które jeszcze kilka lat temu nie były dostępne, zrodziły potrzebę zmiany modelu regulacji ochrony danych osobowych. Jednak nie oznacza to konieczności radykalnej zmiany podstawowych zasad ochrony danych osobowych, które wymagają zachowania. Należało jedynie je zmodyfikować oraz wprowadzić nowe instytucje odpowiadające na nowe problemy związane z przetwarzaniem danych osobowych w internecie. Rodo zostało zbudowane na dotychczasowym dorobku legislacyjnym i orzeczniczym rozwijanym przez ostatnie 40 lat w Europie. Skoncentrowanie się na podstawowych zasadach ochrony danych osobowych oraz odejście od istniejących wcześniej obowiązków o charakterze notyfikacyjno-rejestracyjnym spowodowało zmianę modelu ochrony danych osobowych. Ten nowy ma na celu przeniesienie głównych zasad na poziom praktycznych rozwiązań i procedur oraz zapewnienie ich realnego przestrzegania.

Podstawowe zasady przetwarzania danych wg art. 5 rodo

1zasady legalności (zgodności z prawem), rzetelności i przejrzystości, zgodnie z którymi dane powinny być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;

2zasada ograniczenia celu, w myśl której dane powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami;

3zasada minimalizacji danych, zgodnie z którą dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;

4zasada prawidłowości (poprawności), w myśl której dane mają być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;

5zasada ograniczenia przechowywania, zgodnie z którą dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy;

6zasada zapewnienia bezpieczeństwa danych, w tym ich integralności i poufności, zgodnie z którą dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Rodo w swoich założeniach ma być neutralne technologicznie. Jednocześnie jego postanowienia wprowadzają szczególne instrumenty prawne i mechanizmy odnoszące się do specyfiki gospodarki cyfrowej. Pojawiają się więc nowe lub zdefiniowane na nowo prawa, takie jak: prawo do usunięcia danych i prawo do zapomnienia oraz prawo do przenoszalności danych. Ponadto wprowadzono koncepcje, które dotąd były jedynie postulatami o charakterze teoretycznym, m.in.: zapewnienie ochrony danych na etapie projektowania, domyślna ochrona danych i zgłaszanie naruszeń ochrony danych osobowych. Zmodyfikowano również dotychczasowe zasady dotyczące automatycznego podejmowania decyzji opartych przede wszystkim na profilowaniu. Odniesienia do środowiska cyfrowego odnajdziemy również w modyfikacjach dotychczasowych definicji (np. pojęcie danych osobowych) i w zupełnie nowych definicjach wprowadzonych w rodo. Bardzo ważną koncepcją, która przenika przepisy rodo, jest tzw. podejście oparte na ryzyku. Ryzyko (często stopniowane) naruszenia praw i wolności osób, których dane dotyczą, na gruncie rodo staje się jednym z kluczowych pojęć. Administrator danych oraz w różnym zakresie podmiot przetwarzający muszą brać pod uwagę istniejące i potencjalne ryzyka dla ochrony danych osobowych po to, by zastosować odpowiednie do nich środki bezpieczeństwa. Takie podejście umożliwia skoncentrowanie się na sytuacjach najwyższego ryzyka, przy jednoczesnym zachowaniu odpowiedniego poziomu ochrony, gdy to ryzyko jest niskie i nie wymaga wykorzystywania całego instrumentarium środków przewidzianych przez rodo. Ważne jest to, że ustawodawca unijny promuje wykorzystywanie narzędzi zmniejszających ryzyko, niejednokrotnie zwalniając administratorów danych w takich sytuacjach z innych obowiązków. Można powiedzieć, że przyjęty model regulacji w większym stopniu niż obecnie powoduje konieczność proaktywnego podejścia administratorów danych oraz podmiotów przetwarzających, w tym co do uwzględniania zmieniających się zagrożeń i możliwych sposobów ich minimalizacji. Niewątpliwie kluczową rolę w tym modelu będzie odgrywał inspektor ochrony danych.

Szczegóły
Kategoria: RODO

Tworząc system zarządzania bezpieczeństwem przetwarzania danych osobowych, należy przeprowadzić inwentaryzację wszystkich aktywów, jakimi dysponuje jednostka, rozumianych jako: informacje i związane z nimi procesy, systemy i sieci teleinformatyczne. Dla bezpieczeństwa danych osobowych – w tym dla zapewnienia, że dane osobowe udostępniane będą wyłącznie osobom do tego uprawnionym– inwentaryzacja taka powinna uwzględniać przyjęte zasady klasyfi kacji przetwarzanych informacji. Przepisem rodo zobowiązującym administratorów danych i podmioty przetwarzające do wprowadzenia takiej inwentaryzacji jest art. 30 rodo dotyczący rejestrowania czynności przetwarzania. Przepis ten, podobnie jak obecnie obowiązująca uodo, w szczególnych przypadkach wymaga prowadzenia rejestru czynności przetwarzania danych osobowych. Jego zawartość przypomina rejestr zbiorów danych osobowych, do prowadzenia którego zobowiązani są obecnie ABI. Wprowadzony w rodo tzw. rejestr czynności przetwarzania należy rozumieć jako wykaz przetwarzanych zbiorów danych, na które dzieli się wszystkie przetwarzane u danego administratora danych informacje ze względu na: zakres przetwarzanych danych, cele przetwarzania oraz kategorie odbiorców, którym dane zostają udostępnione. Za takim rozumieniem pojęcia „czynności przetwarzania” przemawia, wymagany w art. 30 ust. 1 pkt a – pkt g oraz art. 30 ust. 2 pkt a do pkt d rodo opis tych czynności. Z wykazu tego jasno wynika, że przez pojęcie „czynności przetwarzania” nie należy rozumieć poszczególnych etapów przetwarzania danych w ramach danego zbioru – takich jak pozyskiwanie danych, wysyłanie do podmiotów danych określonego rodzaju informacji, usuwanie danych oraz wykonywanie na zgromadzonych danych określonego rodzaju operacji (jak np.naliczenie zobowiązania podatkowego itp.), lecz wszystkie operacje globalnie na określonym zbiorze danych. Granice takiego zbioru mają być wyznaczane nie przez poszczególne cząstkowe operacje przetwarzania, lecz przez wskaźniki wymienione odpowiednio w art. 30 ust. 1 pkt. a–g i w art. 30 ust. 2 pkt. a–d (takie jak: zakres danych, cel przetwarzania, kategorie ich odbiorców itp.), które pozwalają pogrupować wszystkie przetwarzane przez danego administratora dane w jeden lub kilka zbiorów.
Prowadzenie wspomnianego rejestru czynności przetwarzania nie jest jednak obowiązkiem powszechnym. Zgodnie z art. 30 ust. 5 rodo, do prowadzenia ww. rejestrów zobowiązani są administratorzy i podmioty przetwarzające, którzy zatrudniają 250 lub więcej osób oraz gdy:
• dokonują systematycznego przetwarzania mogącego powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, lub
• dokonują przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub
• przetwarzają dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 rodo.
W rejestrze prowadzonym przez podmioty przetwarzające nie podaje się celu przetwarzania i kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione, oraz planowanych terminów usunięcia poszczególnych kategorii danych.
Artykuł 30 rodo – ze względu na wskazane tam ograniczenia dotyczące obowiązku prowadzenia rejestracji czynności przetwarzania tylko do podmiotów zatrudniających więcej niż 250 osób lub przypadków przetwarzania szczególnych kategorii danych oraz gdy przetwarzanie danych może spowodować duże ryzyko naruszenia praw i wolności – należy traktować jako wymaganie minimalne w tym zakresie. Prowadzenie ww. rejestru nie zwalnia z prowadzenia innych ewidencji przetwarzanych aktywów, jeśli wynika to z analizy zagrożeń lub z zastosowanej metodyki budowy systemu zarządzania bezpieczeństwem informacji.