24 maja 2016 r. weszło w życie ogólne rozporządzenie o ochronie danych (GDPR – ang. General Data Protection Regulation), które zastąpiło dotychczas obowiązującą 21-letnią Dyrektywę 95/46/WE. Będzie ono jednak stosowane jednolicie w całej Unii Europejskiej od 25 maja 2018 r. Do tego czasu jeszcze daleko, jednak już teraz warto rozpocząć dostosowywanie prowadzenia działalności do nowych zasad ochrony danych osobowych. Nowe przepisy obejmą zarówno duże organizacje, jak i małe, w tym jednoosobowe przedsiębiorstwa.
Organizacje mają jeszcze półtora roku, aby przygotować się do zmiany przepisów i dostosować wewnętrzne procesy związane z przetwarzaniem danych osobowych do wymogów wynikających z nowego prawa. Dotychczasowa ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. utraci moc, a w jej miejsce wejdzie w życie nowa ustawa, która będzie doprecyzowała kwestie nieuregulowane w rozporządzeniu.
Nowe przepisy mają zapewnić zwiększenie ochrony praw osób fizycznych przy jednoczesnym poszerzeniu możliwości biznesowych, w szczególności poprzez ułatwienie przepływu danych osobowych na rynku cyfrowym. Unijne regulacje wymuszą ogrom zmian na wszystkich podmiotach, które gromadzą i przetwarzają dane osobowe. Dotyczyć one będą systemów informatycznych, działań marketingowych i obsługi klientów, tworzenia nowych procedur, jak i wprowadzenia zasady ochrony “by default”. Oznacza to, że zarówno organizacje jak i przedsiębiorcy mogą wykorzystywać dane osobowe klientów tylko i wyłącznie w celu, w którym zostały one pobrane.
Nowe istotne uregulowania
Wśród nowych istotnych uregulowań są m.in.:
• Prawo do bycia zapomnianym – prawo osoby, której dane dotyczą, do żądania od administratora niezwłocznego usunięcia jej danych, w przypadkach określonych w rozporządzeniu, np. po cofnięciu przez nią zgody na dalsze przetwarzanie jej danych czy w sytuacjach przetwarzania danych niezgodnie z prawem. Oznacza to, iż organizacje muszą wdrożyć procedury pozwalające na szybkie i bezpieczne usuwanie danych bez względu na fakt, gdzie dane będą się znajdować – na komputerach, serwerach czy też w chmurze – bezpieczne i całkowite usuwanie danych musi być częścią procesu ochrony danych,
• Prawo do przenoszenia danych – prawo żądania od administratora przekazania wszystkich danych osobowych danej osoby nowemu administratorowi, np. między jednym a drugim portalem społecznościowym,
• Brak rejestracji – od maja 2018 r. zniknie obowiązek zgłaszania i rejestracji zbiorów danych. Niemniej Administrator Danych Osobowych, podmiot przetwarzający będą musieli prowadzić rejestr czynności przetwarzania danych osobowych, w którym będzie odnotowywać informacje dotyczące przetwarzania danych. Zakres tych informacji jest zbliżony do informacji zawartych w polityce bezpieczeństwa, wymaganej na podstawie przepisów wykonawczych do ustawy o ochronie danych osobowych. Rejestr operacji przetwarzania danych ma być udostępniany na żądanie organu nadzorczego. Ułatwienia w stosunku do dotychczasowej regulacji polegają na uelastycznieniu sztywnych obowiązków dokumentacyjnych w postaci zwolnienia z obowiązku prowadzenia rejestru dla mikro, małych i średnich przedsiębiorców (zatrudniających mniej niż 250 osób),
• Wymóg zgody na przetwarzanie danych – Rozporządzenie stawia określone wymagania w stosunku do zgody i wprowadza definicję tego pojęcia. Co najważniejsze administrator ma obowiązek wykazania, iż zgoda została wyrażona. Musi być ona dobrowolna, może być udzielona w dowolnej formie, istotne jednak jest to, by administrator mógł wykazać fakt jej wyrażenia. GDPR przewiduje system uzyskiwania zgód wyłącznie na zasadzie opt–in (świadoma, dobrowolna, samodzielna zgoda na udostępnienie danych). GDPR jasno stanowi, że na przetwarzanie w różnych celach, potrzebna jest zgoda na wszystkie te cele,
• Obowiązek uwzględnienia ochrony danych w fazie projektowania – W myśl nowych regulacji ochrona danych ma być uwzględniana już na etapie kreowania nowych produktów i usług przez przedsiębiorców, a dane domyślnie chronione bez konieczności podejmowania działań przez osoby, których dotyczą. Wymaganie to należy uwzględnić w momencie projektowania rozwiązań technicznych np. aplikacji, czy też organizowania akcji promocyjnych np. marketingowych, by ochrona danych była zagwarantowana już na etapie tworzenia rozwiązania, choćby poprzez minimalizację, pseudonimizację lub implementację odpowiednich zabezpieczeń. Obowiązek uwzględnienia danych w fazie projektowania oznacza, że ochrona danych osobowych będzie musiała być brana pod uwagę każdorazowo przy projektowaniu i wprowadzaniu narzędzi wykorzystujących przetwarzane danych np. systemów CRM.
• Zmiana statusu Administratora Bezpieczeństwa Informacji (ABI) – dotychczasowego ABI zastąpi Inspektor Ochrony Danych, który ma czuwać nad przestrzeganiem przepisów ochrony danych osobowych w podmiocie, w którym został powołany. Jego powołanie z reguły jest dobrowolne, a jedynie w trzech przypadkach wskazanych w rozporządzeniu obowiązkowe. Jednego inspektora można powołać dla kilku podmiotów wchodzących w skład jednej grupy powiązanych ze sobą w sposób określony w rozporządzeniu. Pełnienie funkcji inspektora można zlecić firmie zewnętrznej. Inspektor będzie reprezentować administratora w kontaktach zewnętrznych, a nie tylko wewnątrz jednostki organizacyjnej, będzie podejmował działania mające na celu realizację uprawnień podmiotów danych.
• Proaktywne podejście do ochrony danych – dotychczas szczegółowe przepisy określone w rozporządzeniu o środkach zabezpieczających z 2004 r. pomagały w osiągnięciu formalnej minimalnej zgodności z prawem. Od maja 2018 r. organizacje nie będą już miały szczegółowych wytycznych, a czeka ich wyzwanie w samodzielnym określeniu stosownych środków zabezpieczających, czyli Administrator Danych Osobowych będzie zobligowany do samodzielnego określenia jakich rozwiązań oraz narzędzi potrzebuje, aby skutecznie chronić dane osobowe. Nowe przepisy wprowadzają też obowiązek samooceny skutków materializacji ryzyka. To oznacza, że przedsiębiorstwa muszą wprowadzić mechanizmy, które umożliwią ocenę tego, co się stanie, jeżeli ktoś się włamie do systemu, ukradnie dane i posłuży się nimi w niecnym celu,
• Obowiązek zawiadamiania organu nadzorczego, którym obecnie jest GIODO o incydentach związanych z naruszeniem danych osobowych – takiego zgłoszenia należy dokonać bez zbędnej zwłoki, ale nie później niż do 72 godzin od stwierdzenia naruszenia. Do takich incydentów zaliczamy np. utratę danych, wyciek danych na skutek działań hakerskich. GDPR wymaga stałego monitorowania i alarmowania o incydentach naruszenia prywatności w czasie rzeczywistym, jak również reagowania na incydenty i powiadamiania o naruszeniu,
• Uprawnienia do przekazywania danych w ramach grupy w UE – uprawnienie to realizowane jest w ramach tzw. prawnie uzasadnionego interesu, a zatem bez konieczności uzyskiwania zgody. Dopuszczono sytuację współadministrowania danymi przez więcej niż jednego administratora, którzy wspólnie ustalają cele i sposoby przetwarzania,
• Zmieniona definicja tzw. danych wrażliwych – zostało dookreślone pojęcie danych dotyczących zdrowia, a także rozszerzenia katalogu danych osobowych szczególnych kategorii o dane genetyczne oraz dane biometryczne,
• Uregulowanie zasad profilowania – unormowano kontrowersyjne pojęcie profilowania. Internauci umieszczają w portalach społecznościowych duże ilości informacji o sobie, wskazujących na ich zainteresowania, upodobania czy też preferencje. W ten sposób stają się idealnym celem dla działań marketingowych. Łącząc dane z konta na Facebooku oraz profil zakupów online, można natychmiast uzyskać wgląd w preferencje i potrzeby klienta. Natomiast po uzupełnieniu tych danych informacjami z innych źródeł, dotyczącymi np. najczęściej odwiedzanych miejsc według aktywności w mediach społecznościowych lub historii lokalizacji – szybko stworzyć dokładny, wielowymiarowy profil, który ma dużą wartość w przypadku nowych rodzajów usług. Zgodnie z nowym Rozporządzeniem osobę, której dane dotyczą należy poinformować min. o fakcie profilowania oraz o konsekwencjach takiego profilowania,
• Dotkliwsze sankcje za nieprzestrzeganie zasad przetwarzania danych osobowych – na Administratorów Danych Osobowych, a łamiących przepisy mogą być nakładane kary finansowe. Zmiana ta budzi duży niepokój wśród przedsiębiorców ponieważ przewiduje ona znacznie wyższe sankcje niż dotychczas za naruszenie przepisów o ochronie danych osobowych. Wraz z wejściem w życie nowego Rozporządzenia kary mają być proporcjonalne, skuteczne i odstraszające. Będą nakładane na dwóch poziomach, w zależności od rodzaju naruszeń: do 10 000 000 euro, a w przypadku przedsiębiorstw do 2% całkowitego rocznego światowego obrotu z poprzedniego roku w przypadku braku zawiadomienia organu nadzorczego albo osoby, której dane dotyczą o naruszeniu danych, do 20 000 000 euro, a w przypadku przedsiębiorstw do 4% całkowitego rocznego światowego obrotu z poprzedniego roku w przypadku nieprzestrzegania nakazu wydanego przez GIODO lub inny organ nadzorczy w drodze decyzji administracyjnej.
Przedsiębiorstwa muszą zbudować mechanizmy, które udowodnią, że pozyskane przez nie informacje nie były przetwarzane ani wykorzystywane niezgodnie z przeznaczeniem. Tymczasem standardy bezpieczeństwa w wielu polskich organizacjach wciąż nie osiągnęły zgodności z obowiązującą Ustawą o Ochronie Danych Osobowych – ponad 1/3 przedsiębiorstw nadal nie dostosowała się do poprzednich regulacji, co jest alarmującym sygnałem dla wielu podmiotów gospodarczych, które na uniknięcie dotkliwych konsekwencji związanych z nieprawidłowościami w przetwarzaniu danych mają coraz mniej czasu.
Jak przygotować się do zmian?
Zmiany wynikające z wejścia w życie Rozporządzenia GDPR pociągają za sobą konieczność uwzględnienia nowych rozwiązań prawnych w działalności podmiotów przetwarzających dane osobowe.
• Analiza luk – pomaga zweryfikować jak i dostosować posiadane procesy przetwarzania danych osobowych do nowych wymagań Rozporządzenia. W praktyce oznacza to, że organizacja powinna przeprowadzić wewnętrzny audyt i ustalić jakie dane są przetwarzane, w jakich procesach, na jakich podstawach prawnych, a także czy przetwarzane jest zgodne z podstawowymi zasadami ochrony danych. Należy dokonać oceny czy obecny poziom bezpieczeństwa jest wystarczający, aby zapewnić ochronę przed nieuprawnionym przetwarzaniem i utratą danych. Ważna będzie zatem ocena gotowości organizacji do działania według zapisów z GDPR, która wskaże miejsca w organizacji wymagające dopracowania,
• Analiza formularzy służących gromadzeniu danych i ocena ich zgodności z wymogami dotyczącymi zgody na przetwarzanie danych oraz dopełnienia obowiązku informacyjnego wynikającego z przepisów nowego rozporządzenia. Jest to szczególnie istotne w kontekście podmiotów prowadzących działalność online,
• Analiza umów powierzenia przetwarzanych danych pod kątem zgodności z wymaganiami zawartymi w nowym Rozporządzeniu i dostosowania umów do tych wymogów. Wszystkie nowo zawierane umowy powinny być już także zgodne z przepisami Rozporządzenia,
• Analiza dokumentacji ochrony danych osobowych oraz dostosowanie jej do nowych wymogów, zwłaszcza utworzenie rejestru czynności przetwarzania danych,
• Plan reagowania na wypadek wystąpienia incydentów związanych z naruszeniem danych osobowych – obowiązek zgłaszania incydentów jest nowym elementem dla większości organizacji. Istotne będzie stworzenie sprawnego planu zgłaszania incydentów w terminie do 72 godzin. Postępowanie z incydentami w organizacji powinno zapewniać skuteczne podejście do zarządzania nimi. Ustalenie modelu postępowania z incydentami polega na opracowaniu szczegółowej dokumentacji opisującej procesy i procedury takiego postępowania oraz sposoby komunikowania o incydentach. W przeciwnym przypadku organizacja jest narażona na wykrywanie incydentów z opóźnieniem lub niewłaściwe postępowanie w procesie obsługi zaistniałych incydentów,
• Szkolenia – istotnym elementem jest podniesienie świadomości pracowników w zakresie bezpieczeństwa przetwarzania danych osobowych w organizacji oraz rzeczywistych zagrożeń ze strony przestępców działających w sieci, a także ryzyka dla informacji i reputacji organizacji,
• Przygotowanie inspektora – przygotowanie się przez osobę mającą pełnić funkcję inspektora danych osobowych do realizacji nowych zadań.
Wydaje się, że okres przejściowy między wejściem w życie nowych przepisów unijnych, a dniem od którego, powinny być one stosowane to długi okres i wystarczający, aby odpowiednio się przygotować do wdrożenia rozwiązań wynikających z nowych regulacji. Rekomenduje się jednak aby prace związane z przejściem na nowe wymagania Rozporządzenia rozpocząć jak najwcześniej, aby odnieść jak najwięcej korzyści z ich implementacji. Nie należy odkładać decyzji o podjęciu działań wdrożeniowych na przyszłość, gdyż może się okazać, że pozostanie zbyt mało czasu na właściwe przygotowanie, dlatego warto już teraz rozpocząć proces zmian.
O autorze Dariusz Łydziński
Od ponad 17 lat zajmuje się problematyką systemów bezpieczeństwa oraz praktyką utrzymania ciągłości działania. Specjalizuje się w rozwiązaniach e-security. Realizował projekty zabezpieczania danych wagi państwowej, obsługując procesy funkcjonowania systemów łączności oraz bezpieczeństwa informacji. Z zaangażowaniem realizuje projekty z zakresu bezpieczeństwa na rzecz biznesu oraz na zlecenia administracji publicznej. Audytor systemów zarządzania bezpieczeństwem informacji. Autor opracowań w wydawnictwach specjalistycznych i prelegent na konferencjach, a także trener z wieloletnią praktyką. Absolwent elektroniki i telekomunikacji na Akademii Techniczno-Rolniczej w Bydgoszczy. Ukończył studia podyplomowe w Wyższej Szkole Menedżerskiej w Warszawie - ochrona informacji niejawnych i administrowanie bezpieczeństwem informacji, oraz w Akademii Obrony Narodowej w Warszawie – bezpieczeństwo informacyjne. Doświadczenie zdobył pracując m.in. w komórkach łączności Ministerstwa Obrony Narodowej, w firmach jak ComCERT, ENERGA czy UNIZETO. Obecnie prezes 4 IT SECURITY sp. zo.o.