RODO – to słowo w ostatnich miesiącach budzi strach i przerażenie wśród wielu polskich przedsiębiorców. Media co rusz podsycają atmosferę grozy i niepewności informując o drakońskich karach za niezastosowanie się do nowych przepisów o konieczności spełnienia masy obowiązków, zatrudnienia armii pracowników do przetwarzania danych i reorganizacji pracy w firmie. Słyszą i czytają to także operatorzy ISP żywo zainteresowani tym tematem z uwagi na przetwarzanie danych swoich abonentów. W przeciągu ostatniego miesiąca dostałem kilkadziesiąt pytań w formie maili i komentarzy na blogu dotyczących RODO. W związku z powyższym poprosiłem Panią Mecenas Jowitę Kanię-Stachura, autorkę bloga http://www.wszystkoorodo.pl/, o odpowiedź na kilka najważniejszych pytań dotyczących wprowadzenia RODO. Czy jest się czego bać w związku z wejściem w życie nowych przepisów? Zapraszam do lektury.
Czym właściwie jest RODO i na czym polega jego wdrożenie?
RODO to potocznie używany skrót odnoszący się do Rozporządzenia UE o strasznie długiej nazwie ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Wdrożenie RODO to nic innego jak dostosowanie obowiązujących w danej jednostce procedur ochrony danych osobowych do wymagań tego Rozporządzenia i do wyznaczonych przez nie standardów z zakresu sposobu przetwarzania danych osobowych.
Jakie obowiązki nakłada RODO na przedsiębiorcę telekomunikacyjnego?
Najprościej jest odpowiedzieć „różne”. A tak na poważnie, to jednym z motywów przyświecających twórcom RODO było założenie, że wymagania związane ze sposobami przetwarzania danych osobowych powinny być adekwatne do sposobu przetwarzania, zakresu przetwarzania i w końcu do ryzyka naruszenia praw i wolności osób fizycznych w trakcie przetwarzania. Oznacza to, że obowiązki przedsiębiorcy telekomunikacyjnego zależeć będą od jego wielkości, ilości przetwarzanych danych, rodzajów tych danych itd. Wbrew pozorom takie podejście jest lepsze niż dotychczasowe „sztywne standardy”. Każdy zdroworozsądkowo rozumie, że taki Facebook powinien zdecydowanie bardziej przyłożyć się do zabezpieczenia danych 2 miliardów użytkowników, niż drobny przedsiębiorca.
Pomimo wszystko, można stwierdzić prawie „w ciemno”, iż przedsiębiorca telekomunikacyjny będzie zobowiązany sporządzić rejestr czynności przetwarzania, analizę ryzyka, bardzo prawdopodobnie powinien również powołać Inspektora Ochrony Danych Osobowych, czyli dotychczasowego ABIego oraz dokonać oceny skutków przetwarzania danych dla praw i wolności osób fizycznych. Powiem więcej, najwięksi z przedsiębiorców telekomunikacyjnych będą zobowiązani do skonsultowania się z Prezesem Urzędu Ochrony Danych, czyli z dotychczasowym Generalnym Inspektorem Ochrony Danych. Można powiedzieć, że przedsiębiorcy telekomunikacyjni, to będzie ta kategoria podmiotów, które będą musiały wykonać więcej czynności celem dostosowania się do RODO niż pozostali.
Od czego zacząć wdrażając nowe przepisy w firmie?
Zdecydowanie od identyfikacji danych i od analizy, gdzie są one przetwarzane i jakie są ich kanały przepływu. Przedsiębiorca powinien „wejść w buty” swojego klienta i bogatszy o wiedzę o RODO niejako szukać danych osobowych. Najpierw należy sprawdzić jakie dane posiadamy, jakie są kategorie danych, jak dane pozyskujemy, w jaki sposób klient, kontrahent itp. trafia do naszej bazy, w jakim celu przetwarzamy jego dane, jak je przechowujemy, czy je komuś przekazujemy, jak długo je przechowujemy i w końcu jak je usuwamy i co robimy z nośnikami danych. Podstawą jest więc zorganizowanie i uporządkowanie danych już posiadanych oraz zrozumienie co się z nimi w rzeczywistości dzieje. Pozostała praca będzie już znacznie łatwiejsza.
Czy potrzebny jest audyt DPIA?
Może najpierw powiedzmy co to jest audyt DPIA. Jest to przeprowadzenie oceny skutków przetwarzania danych dla praw i wolności osób fizycznych, a więc taka analiza prawna, czy konkretny sposób przetwarzania może doprowadzić do negatywnych skutków dla osób fizycznych. To czy będzie ona konieczna, zależy od wystąpienia okoliczności, o których mowa w art. 35 RODO, a więc od tego, czy „rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. Tutaj mamy do czynienia z pewnym paradoksem, bo jak powiedziałam DPIA przeprowadzamy, gdy dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. Mówiąc prościej, analizę ryzyka przeprowadzamy w sytuacji zauważenia, że taki rodzaj przetwarzania rodzi ryzyko dla osób fizycznych.
Może wydawać się to swego rodzaju niefrasobliwością prawodawcy europejskiego, ale wbrew pozorom ma poważny skutek dla przedsiębiorców telekomunikacyjnych, bo jedynym skutecznym sposobem udowodnienia tego, że DPIA nie jest nam konieczne, jest de facto przeprowadzenie takiej uproszczonej oceny oddziaływania na prawa osób fizycznych. W art. 35 ust. 3 prawodawca podał nawet kilka przykładów, kiedy audyt DPIA jest obowiązkowy, w szczególności w przypadku:
systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10;
systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Każda z tych przesłanek może być spełniona w stosunku do przedsiębiorcy telekomunikacyjnego, dlatego bezpieczniej jest dokonać oceny skutków przetwarzania danych dla praw i wolności osób fizycznych i do tego zachęcam.
W jaki sposób dostosować umowy zawierane z abonentami do nowych regulacji?
To również zależy od tego, jak były one skonstruowane do tej pory. Przede wszystkim zalecam dostosowanie tych umów pod kątem udzielanych informacji osobie, która przekazuje nam swoje dane. Szczegółowy katalog takich informacji znajduje się w art. 13 RODO.
Trzeba również pamiętać, że osoby fizyczne udzielają nam przeróżnych zgód dotyczących ich danych osobowych. Dotyczą one przesyłania ofert marketingowych lub newsletterów. Zgoda udzielona przez taką osobę fizyczną także powinna spełniać stosowne kryteria, a w szczególności powinna być jednoznaczna, dobrowolna, konkretna i świadoma. W związku z tym kierowane do osoby fizycznej zapytania powinny zapewniać spełnienie tych standardów. O zgodzie pisaliśmy na blogu wszystkoorodo.pl. , który prowadzimy razem z moimi aplikantami w Kancelarii.
Kto powinien wdrażać RODO w firmie i czy niezbędne jest zatrudnienie dodatkowych pracowników odpowiedzialnych za przetwarzanie danych osobowych?
Za stan wdrożenia RODO odpowiadać będzie administrator danych osobowych, a więc najczęściej sama spółka. Oznacza to, że odpowiednie wdrożenie RODO leży przede wszystkim w interesie osób decyzyjnych. W moim przekonaniu techniczny ciężar wdrożenia RODO powinna wziąć na siebie osoba, która posiada możliwość podejmowania wiążących dla administratora danych decyzji, a więc przykładowo jeden z członków zarządu oraz osoba znająca się na technicznej budowie baz danych – najlepiej ktoś z działu IT. Oczywiście pomocne może okazać się skorzystanie z pomocy fachowej jakiegoś podmiotu zewnętrznego, który stoi poza organizacją i może służyć wiedza specjalistyczną. Taki audytor zewnętrzny dzięki odpowiedniej wiedzy i świeżości spojrzenia może bowiem pomóc lepiej zidentyfikować i zanalizować sposoby przetwarzania danych.
Odnosząc się do obowiązku zatrudnienia nowego personelu. Nie, nie mamy takiego obowiązku. Może istnieć obowiązek wyznaczenia Inspektora Ochrony Danych Osobowych, a więc takiego nowego ABIego i o tym stanowi art. 37 RODO. Jednakże funkcję IODO może pełnić zarówno osoba związana już z administratorem – jej dotychczasowy pracownik lub podmiot zewnętrzny, który będzie posiadał wiedzę fachową.
Kiedy powołać Inspektora Ochrony Danych Osobowych w firmie?
Kolejny temat rzeka i kolejna kwestia, którą szczegółowo opisałam na naszym blogu wszystkoorodo.pl, Generalnie okoliczności, w których wyznaczenie IODO jest konieczne, zostały wskazane w art. 37 ust. 1 RODO, a więc wtedy, gdy:
przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Przedsiębiorcy telekomunikacyjni powinni również pamiętać, iż IODO musi wyznaczyć czasami także podmiot przetwarzający. Jeżeli więc dla jakiegoś innego podmiotu wykonujemy zlecenie i w związku z tym przekładowo dokonujemy profilowania tysięcy jego klientów, to wówczas my oraz nasz zleceniodawca zobowiązani jesteśmy posiadać IODO.
W jakiej sytuacji Operator Telekomunikacyjny będzie narażony na kary ze strony Prezesa Urzędu Ochrony Danych Osobowych?
Kwestia kar jak zauważyłam jest głównym bodźcem skłaniającym do zainteresowania się tematem RODO. Sam katalog kar jest dosyć rozbudowany i został dokładnie opisany w art. 83 RODO. Najwięcej oczywiście mówi się o karze 20 000 mln euro lub 4% obrotu rocznego, a więc o karach maksymalnych.
W moim przekonaniu przedsiębiorca telekomunikacyjny zapewne najbardziej narażony będzie jednak na działanie „wyłudzaczy”, a więc podmiotów, które celowo wyszukują braki w procesie wdrożenia RODO i proponują zawarcie z nimi ugody, po której zaniechają powiadomienia Prezesa Urzędu Ochrony Danych Osobowych. Aby zabezpieczyć się przed podobnymi sytuacjami, przedsiębiorcy powinni w szczególności zadbać o ochronę danych w trakcie bezpośredniego kontaktu z klientami, a więc zadbać o swoje umowy i o klauzule zgody.
Co dalej po wdrożeniu RODO w firmie?
Radość. A oprócz tego oczywiście cykliczne sprawdzanie, czy to, co założyliśmy działa w praktyce oraz, czy nie potrzebujemy dodatkowych zmian. Najważniejsze jednak jest posiadanie świadomości o naszych obowiązkach i organizacji naszej firmy.
Mam nadzieję, że powyższy wpis pozwoli rozjaśnić Ci, Drogi Operatorze, zagadnienie implementacji nowych przepisów dotyczących ochrony danych osobowych, a przede wszystkim da asumpt do spokojnego wdrażania RODO w Twojej firmie. Jak widać nie taki diabeł straszny, jak go malują i nie należy poddawać się wszechogarniającej histerii, ale metodycznie i merytorycznie podejść do tematu. Ze swojej strony chciałbym jeszcze przestrzec Cię przed wszelkiej maści wyłudzaczami. Ostatnio metoda wyłudzeń na RODO stała się bardzo popularna. Wiele firm dostaje maile, w których nadawca grozi powiadomieniem prokuratury i Prezesa Urzędu Ochrony Danych Osobowych, chyba że…… odbiorca zgodzi się na przeprowadzenie audytu w zakresie RODO za odpowiednią opłatą 🙂 . Odnotowano także próby sprzedaży nic nie znaczących certyfikatów gotowości na RODO. Jest to w mojej ocenie co najmniej nadużycie prawa, a często pewnie i oszustwo. Jeżeli dostaniesz taką informację powinieneś zgłosić taki przypadek organom ścigania. Po więcej informacji dotyczących RODO zapraszam Cię na blog http://www.wszystkoorodo.pl/, a Pani Mecenas Jowicie Kani-Stachurze serdecznie dziękuję za poświęcony czas.
Artykuł Ci się spodobał? Daj znać komuś, komu może się przydać!
Jeżeli chcesz skorzystać z pomocy prawnej, zapraszam Cię do kontaktu:
tel.: +48 606 342 353e-mail: m.ziolko@mz-legal.pl
