Obecny rozwój techniki i informatyki spowodował, że obowiązujące przepisy dotyczące ochrony danych osobowych nie są dostosowane do realiów obecnego świata, w którym masowość i szybkość przetwarzania danych jest większa aniżeli kiedykolwiek w przeszłości. W momencie uchwalania obecnie obowiązujących przepisów zapewne nikt nie miał świadomości tego, że nasz smartfon będzie o nas wiedział tak dużo, że kradzież tożsamości naszego klienta skutkować może powstaniem zobowiązań kredytowych bez jego wiedzy, że masowo wykorzystywać będziemy chmury obliczeniowe, i że informacja będzie stanowiła cenny towar, który stanie się przedmiotem handlu, a aktywność w sieci oraz łączenie danych pozwoli na ustalenie naszych upodobań, sytuacji ekonomicznej czy też stanu zdrowia. W obliczu powyższego nadszedł czas na próbę stworzenia przepisów dostosowanych do obecnych realiów.
Pomimo niedawno obchodzonego 20-lecia uchwalenia ustawy o ochronie danych osobowych w Polsce, która to ustawa jest pokłosiem jeszcze nieco starszej dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych, niepokojącym jest fakt, że poziom świadomości w zakresie ochrony danych osobowych jest niewielki. Wiedza z zakresu procesu przetwarzania danych jest znikoma, zarówno po stronie administratorów danych, czyli podmiotów które decydują o celach i środkach przetwarzania danych, jak i po stronie osób, których dane są przetwarzane. W najbliższym czasie powinno się to jednak zmienić. Jesteśmy bowiem w przededniu początku obowiązywania nowych przepisów, które uchylają dotychczasowe regulacje. Od 25 maja 2018 r. w polskim porządku krajowym zacznie mieć zastosowanie rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 Kwietnia 2016 r. zwane ogólnym rozporządzeniem o ochronie danych – RODO.
Przy okazji tejże reformy prawa ochrony danych osobowych należy zwrócić uwagę na fakt, że podmioty przetwarzające dane osobowe dla własnego bezpieczeństwa, zarówno tego ekonomicznego, jak i dla swojej renomy oraz w celu dbałości o postrzeganie przez potencjalnych odbiorców, powinny włączyć regulacje ochrony danych osobowych, jako dodatkowy element, do szeroko pojętego zarządzania informacją, w tym tą stanowiącą tajemnicę przedsiębiorstwa. Co najmniej z taką samą uwagą i zaangażowaniem powinny być bowiem chronione dane osobowe, jak dane dotyczące wewnętrznych procesów, dostawców, wynagrodzeń czy know-how w ogólności.
Wiele podmiotów nie spełnia wymagań dotychczas nałożonych przez prawo w zakresie danych osobowych wcale, a od momentu obowiązywania RODO nieprawidłowe przetwarzanie danych może skutkować zastosowaniem nowych przewidzianych prawem sankcji, w szczególności w postaci administracyjnych kar pieniężnych, które de facto w dalszym efekcie po ich nałożeniu pociągną za sobą straty wizerunkowe i spadek zaufania do podmiotu niewłaściwie przetwarzającego dane. Brak przestrzegania regulacji spotkać może się również z odpowiedzialnością cywilną i karną, a zatem w dobrze pojętym interesie administratorów powinno być gruntowne przenalizowanie stanu ich organizacji w aspekcie ochrony danych i wdrożenie odpowiednich środków skutkujących prawidłowym przetwarzaniem. Pierwszym krokiem w celu zwiększania świadomości istotnym jest zdanie siebie sprawy przez administratorów danych, że przetwarzanie danych osobowych, które co do zasady obliguje stosowanie przepisów o ochronie danych osobowych, to każda czynność na danych którą wykonujemy. Już samo ich pozyskanie i przechowywanie uznawane jest za przetwarzanie. Niestety ustawodawca unijny nie artykułuje expressis verbis konkretnych i jasnych rozwiązań co do sposobów postępowania przy przetwarzaniu danych, w tym w zakresie zabezpieczenia tych danych, z drugiej zaś strony wyposaża krajowe organy nadzoru w potężny instrument wobec administratorów, którzy nieprawidłowo przetwarzają dane, czyli wspomniane finansowe kary administracyjne.
Na nieco ponad 100 dni przed dniem kiedy RODO będzie miało zastosowanie, dostrzegalne jest pewne zwiększone zainteresowanie i mobilizacja w celu podjęcia działań zmierzających do właściwego przetwarzania danych osobowych. W tych podmiotach, które dotychczas nie przetwarzały legalnie danych działania powinny zostać podjęte znacznie szybciej i być bardziej dogłębne, ale na pewno nie powinny nie robić nic te podmioty, które dostosowane były do dotychczasowej regulacji. Konieczne wydaje się być zatem w pierwszej kolejności zidentyfikowanie wszystkich obszarów przetwarzania danych, czyli odnalezienie odpowiedzi na pytanie czy i jakie dane przetwarzamy oraz czy komuś jeszcze je udostępniamy. Następnie należy dokonać weryfikacji podstaw przetwarzania, ustalić na postawie jakiej przesłanki dane przetwarzamy, czy wypełniamy ją prawidłowo, jaki jest cel przetwarzania, czy wypełniamy obowiązek informacyjny wobec osób których dane przetwarzamy i wreszcie, czy zabezpieczamy dane prawidłowo. Pamiętać przy tym należy, że zabezpieczenie danych to zarówno stosowanie środków technicznych, przede wszystkim w odniesieniu do infrastruktury informatycznej, jak i stosowanie środków organizacyjnych w ramach danej struktury organizacyjnej. Środki organizacyjne powinny określać reguły postępowania z danymi u administratora danych. Te podmioty, które są już dostosowane do obecnych wymagań powinny skupić się na analizie różnić które wynikają z RODO i dostosować się do zmodyfikowanych wymagań, w szczególności we wskazanych powyżej obszarach.
W obliczu zmian wiele podmiotów samodzielnie będzie próbowało sprostować nowym czasom i wymaganiom, inne będą zapewne poszukiwały pomocy albo poprzez zatrudnienie w swojej organizacji albo poprzez skorzystanie z profesjonalnej pomocy w ramach outsourcing. Inspektorzy ochrony danych to osoby, które z założenia mają pomóc i nadzorować proces przetwarzania danych u danego administratora, tak żeby był on legalny i minimalizował wystąpienia niepożądanych zjawisk jak utrata, kradzież czy nieplanowana modyfikacja danych. W tym miejscu należy zaznaczyć, że niektóre podmioty nie będą miały dowolności co do wyboru inspektorów ochrony danych. RODO nakłada bowiem obowiązek ich powoływania m.in. u tych administratorów, którzy są podmiotami publicznymi oraz w podmiotach, których główna działalność polega na przetwarzaniu danych na dużą skalę. Należy jednak pamiętać, że powołanie inspektora ochrony danych, tam gdzie będzie to fakultatywne, tylko na okres wdrożenia nowych regulacji może być nieprawidłową praktyką. Obowiązki administratora danych, które ma pomóc zrealizować inspektor ochrony danych muszą być bowiem realizowane w sposób ciągły. Podmioty, które celem minimalizacji kosztów poszukają teraz inspektorów ochrony danych na okres kilku miesięcy powinny wykorzystać ten czas na przeszkolenie osób, które po tym okresie będą sprawowały pieczę nad prawidłowością przetwarzania przez cały okres przetwarzania danych.
Ostateczny zakres obowiązków administratorów danych nie jest jednak znany albowiem polski ustawodawca przy okazji wprowadzenia RODO zdecydował się na przyjęcie nowej ustawy o ochronie danych osobowych. Aktualnie znajduje się ona nadal w fazie projektu, jednakże już teraz wskazuje się, że będzie ona, poza zmianami w samym organie nadzoru, powodowała również zmniejszenie obowiązków ciążących z mocy rozporządzenia na niektórych przedsiębiorcach. W konsekwencji może finalnie okazać się, że w pewnym stopniu dojdzie do zmniejszenia ochrony osób, których dane będą przetwarzane przez tych przedsiębiorców z mniejszą liczbą obowiązków. Ratio legis wprowadzanej na szczeblu Unii Europejskiej regulacji z jednej strony miało być obniżenie wymagań i kosztów stojących przed podmiotami, których głównym przedmiotem działalności nie jest przetwarzanie danych, a z drugiej strony wzmocnienie ochrony osób, których dane są przetwarzane. Niewątpliwie zamierzenie jest ze wszech miar słuszne, jednakże może okazać się trudne w realizacji i to praktyka stosowania nowych przepisów pokaże, czy zamierzenie to zostało zrealizowane.
Paweł Idźkowski
wykładowca WSB w Bydgoszczy na kierunku Prawo w biznesie
radca prawny
wspólnik w kancelarii IP Legal Idźkowski Pęsiek s.c.
Przy okazji tejże reformy prawa ochrony danych osobowych należy zwrócić uwagę na fakt, że podmioty przetwarzające dane osobowe dla własnego bezpieczeństwa, zarówno tego ekonomicznego, jak i dla swojej renomy oraz w celu dbałości o postrzeganie przez potencjalnych odbiorców, powinny włączyć regulacje ochrony danych osobowych, jako dodatkowy element, do szeroko pojętego zarządzania informacją, w tym tą stanowiącą tajemnicę przedsiębiorstwa. Co najmniej z taką samą uwagą i zaangażowaniem powinny być bowiem chronione dane osobowe, jak dane dotyczące wewnętrznych procesów, dostawców, wynagrodzeń czy know-how w ogólności.
Wiele podmiotów nie spełnia wymagań dotychczas nałożonych przez prawo w zakresie danych osobowych wcale, a od momentu obowiązywania RODO nieprawidłowe przetwarzanie danych może skutkować zastosowaniem nowych przewidzianych prawem sankcji, w szczególności w postaci administracyjnych kar pieniężnych, które de facto w dalszym efekcie po ich nałożeniu pociągną za sobą straty wizerunkowe i spadek zaufania do podmiotu niewłaściwie przetwarzającego dane. Brak przestrzegania regulacji spotkać może się również z odpowiedzialnością cywilną i karną, a zatem w dobrze pojętym interesie administratorów powinno być gruntowne przenalizowanie stanu ich organizacji w aspekcie ochrony danych i wdrożenie odpowiednich środków skutkujących prawidłowym przetwarzaniem. Pierwszym krokiem w celu zwiększania świadomości istotnym jest zdanie siebie sprawy przez administratorów danych, że przetwarzanie danych osobowych, które co do zasady obliguje stosowanie przepisów o ochronie danych osobowych, to każda czynność na danych którą wykonujemy. Już samo ich pozyskanie i przechowywanie uznawane jest za przetwarzanie. Niestety ustawodawca unijny nie artykułuje expressis verbis konkretnych i jasnych rozwiązań co do sposobów postępowania przy przetwarzaniu danych, w tym w zakresie zabezpieczenia tych danych, z drugiej zaś strony wyposaża krajowe organy nadzoru w potężny instrument wobec administratorów, którzy nieprawidłowo przetwarzają dane, czyli wspomniane finansowe kary administracyjne.
Na nieco ponad 100 dni przed dniem kiedy RODO będzie miało zastosowanie, dostrzegalne jest pewne zwiększone zainteresowanie i mobilizacja w celu podjęcia działań zmierzających do właściwego przetwarzania danych osobowych. W tych podmiotach, które dotychczas nie przetwarzały legalnie danych działania powinny zostać podjęte znacznie szybciej i być bardziej dogłębne, ale na pewno nie powinny nie robić nic te podmioty, które dostosowane były do dotychczasowej regulacji. Konieczne wydaje się być zatem w pierwszej kolejności zidentyfikowanie wszystkich obszarów przetwarzania danych, czyli odnalezienie odpowiedzi na pytanie czy i jakie dane przetwarzamy oraz czy komuś jeszcze je udostępniamy. Następnie należy dokonać weryfikacji podstaw przetwarzania, ustalić na postawie jakiej przesłanki dane przetwarzamy, czy wypełniamy ją prawidłowo, jaki jest cel przetwarzania, czy wypełniamy obowiązek informacyjny wobec osób których dane przetwarzamy i wreszcie, czy zabezpieczamy dane prawidłowo. Pamiętać przy tym należy, że zabezpieczenie danych to zarówno stosowanie środków technicznych, przede wszystkim w odniesieniu do infrastruktury informatycznej, jak i stosowanie środków organizacyjnych w ramach danej struktury organizacyjnej. Środki organizacyjne powinny określać reguły postępowania z danymi u administratora danych. Te podmioty, które są już dostosowane do obecnych wymagań powinny skupić się na analizie różnić które wynikają z RODO i dostosować się do zmodyfikowanych wymagań, w szczególności we wskazanych powyżej obszarach.
W obliczu zmian wiele podmiotów samodzielnie będzie próbowało sprostować nowym czasom i wymaganiom, inne będą zapewne poszukiwały pomocy albo poprzez zatrudnienie w swojej organizacji albo poprzez skorzystanie z profesjonalnej pomocy w ramach outsourcing. Inspektorzy ochrony danych to osoby, które z założenia mają pomóc i nadzorować proces przetwarzania danych u danego administratora, tak żeby był on legalny i minimalizował wystąpienia niepożądanych zjawisk jak utrata, kradzież czy nieplanowana modyfikacja danych. W tym miejscu należy zaznaczyć, że niektóre podmioty nie będą miały dowolności co do wyboru inspektorów ochrony danych. RODO nakłada bowiem obowiązek ich powoływania m.in. u tych administratorów, którzy są podmiotami publicznymi oraz w podmiotach, których główna działalność polega na przetwarzaniu danych na dużą skalę. Należy jednak pamiętać, że powołanie inspektora ochrony danych, tam gdzie będzie to fakultatywne, tylko na okres wdrożenia nowych regulacji może być nieprawidłową praktyką. Obowiązki administratora danych, które ma pomóc zrealizować inspektor ochrony danych muszą być bowiem realizowane w sposób ciągły. Podmioty, które celem minimalizacji kosztów poszukają teraz inspektorów ochrony danych na okres kilku miesięcy powinny wykorzystać ten czas na przeszkolenie osób, które po tym okresie będą sprawowały pieczę nad prawidłowością przetwarzania przez cały okres przetwarzania danych.
Ostateczny zakres obowiązków administratorów danych nie jest jednak znany albowiem polski ustawodawca przy okazji wprowadzenia RODO zdecydował się na przyjęcie nowej ustawy o ochronie danych osobowych. Aktualnie znajduje się ona nadal w fazie projektu, jednakże już teraz wskazuje się, że będzie ona, poza zmianami w samym organie nadzoru, powodowała również zmniejszenie obowiązków ciążących z mocy rozporządzenia na niektórych przedsiębiorcach. W konsekwencji może finalnie okazać się, że w pewnym stopniu dojdzie do zmniejszenia ochrony osób, których dane będą przetwarzane przez tych przedsiębiorców z mniejszą liczbą obowiązków. Ratio legis wprowadzanej na szczeblu Unii Europejskiej regulacji z jednej strony miało być obniżenie wymagań i kosztów stojących przed podmiotami, których głównym przedmiotem działalności nie jest przetwarzanie danych, a z drugiej strony wzmocnienie ochrony osób, których dane są przetwarzane. Niewątpliwie zamierzenie jest ze wszech miar słuszne, jednakże może okazać się trudne w realizacji i to praktyka stosowania nowych przepisów pokaże, czy zamierzenie to zostało zrealizowane.
Paweł Idźkowski
wykładowca WSB w Bydgoszczy na kierunku Prawo w biznesie
radca prawny
wspólnik w kancelarii IP Legal Idźkowski Pęsiek s.c.
