Nowe rozporządzenie Unii Europejskiej ws. ochrony danych osobowych

Nadal jednak istnieją podmioty, które ABI nie zgłosiły choć powinny z uwagi choćby na swój rozmiar lub kategorię przetwarzania danych osobowych. Znaczy to, że mają ABI „po staremu” czyli osobę, która pełni obowiązki, natomiast nie jest zgłoszona. Nic bardziej błędnego stać się nie może, ponieważ w takiej sytuacji ADO ponosi odpowiedzialność samodzielnie za procesy kontrolne przetwarzanie danych w przedsiębiorstwie, czego przedstawiciel ADO (dyrektor, zarząd) często spełnić nie może.

Gdyby ktoś zadał sobie trud i sprawdził te informacje, nie słyszałbym dyskusji na konferencjach i nie czytał w punktach „Czy warto zgłosić ABI?”. Przepisy poszły dalej.

W maju ukazały się dwa rozporządzenia - jako akty wykonawcze do UODO - dotyczące prowadzenia przez ABI rejestru zbiorów i zadań, które ABI powinien wykonywać w swojej funkcji. Te rozporządzenia utwierdziły większość firm, że rejestrowanie ABI nie jest dobrym pomysłem z uwagi na zakres uprawnień ABI i rodzaj wykonywanych przez niego obowiązków.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Lepiej przecież się GIODO nie rzucać w oczy, mimo że mandat przeważnie oscyluje w granicach 5000 zł (tu też słyszałem niejedną legendę o wysokości kar). Niejednokrotnie też w swojej działalności trafiałem do placówek bez zgłoszonego ABI z zapytaniem czy nie potrzebują pomocy w zakresie, choćby sprawdzenia systemu ochrony. Oczywiście spotykałem się z odpowiedzią, że „Wszystko jest w jak najlepszym porządku”.

Później z przykrością czytałem artykuły o „wpadkach” w tych podmiotach lub oglądałem nieudolne tłumaczenia urzędników w wywiadach w związku z naruszeniem zasad bezpieczeństwa. Te ostatnie są często żenujące. Dzieje się tak ponieważ ochrona danych osobowych z uwagi na niskie sankcje jest nadal bagatelizowana. Nadal przedsiębiorcy liczą, że ze względu na szeroki zakres ustawy i ograniczone „siły przerobowe” GIODO im się upiecze, mimo sygnałów o porozumieniu z PIP i powstaniu nowej delegatury GIODO na południu Polski.

Zatem pozostawiając ten stan nadal, my właściciele danych nie jesteśmy bezpieczni, jeśli tak naprawdę nie będziemy chronić się sami.

Ten poprzedni akapit był niezbędny, aby na stan obecny nanieść gigantyczną zmianę, która do nas się zbliża niczym tsunami. Mamy już w zasadzie gotowe po etapie 10 trilogów „Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych”.

Zmiany są kolosalne. Spróbuję je przybliżyć.

Rozszerza się definicja danych osobowych.

„dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej –„podmiocie danych”; osoba możliwa do zidentyfikowania to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub co najmniej jeden znak szczególny związany z jej tożsamością fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną„

Pojęcie wprowadza nam w skrócie styl życia człowieka łącznie z jego identyfikatorami „tożsamościami” nawet internetowymi jako daną osobową. Zwiększa się zatem zakres ochrony.

Wprowadzenie następujących pojęć takich jak:

„profilowanie” - oznacza każdą formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Większość systemów informatycznych w świetle tej definicji zajmuje się profilowaniem danych osobowych.

„pseudonimizacja” - oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnemu podmiotowi danych bez użycia dodatkowych informacji, o ile takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie;

Systemy identyfikacji posługujące się ID osoby fizycznej lub zamiennie kartami, np. będą się łapały na tego rodzaju definicję.

„dane genetyczne” oznaczają wszelkie dane osobowe o odziedziczonych lub nabytych cechach genetycznych osoby fizycznej, które skutkują niepowtarzalnymi informacjami o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy jej próbki biologicznej;

„dane biometryczne” oznaczają wszelkie dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

Tu mała uwaga dla firm przetwarzających kserokopię dokumentu ze zdjęciem bez podstawy prawnej. Nie róbcie tego.

„dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej w tym o uzyskaniu usług opieki zdrowotnej ujawniające informacje o stanie jej zdrowia

Jak widać buduje nam się dosyć pokaźny zbiór danych osobowych z podziałem na ich rodzaje.

W art. 5 mamy zasady przetwarzania danych osobowych

„Celowość” - Zasada przetwarzania danych tylko i wyłącznie z uzasadnionym celem.

„Minimalizacja danych” - Zasada przetwarzania danych tylko niezbędnych w zakresie ilościowym i treściomym. Pozdrawiam w tym momencie niektóre urzędy.

„Ścisłość” - Zasada według której wszelkie dane budzące wątpliwości swojej konieczności istnienia w procesie przetwarzania w kontekście celu powinny zostac niezłocznie usunięte.

„Limity przechowywania” - Dane powinny być przechowywane jedynie przez okres niezbędny do osiągnięcia celu.

„Integralność i poufność” - Przetwarzanie zapewniające bezpieczeństwo tego procesu przy użyciu odpowiednich środków technicznych i organizacyjnych.

Tu mała anegdota na przestrogę. Po pewnym włamaniu przy użyciu systemów informatycznych obejrzałem wypowiedź pewnego naczelnika odpowiadającego za bezpieczeństwo sieci w urzędzie. Użył on w wywiadzie sformułowania „Na ten czas procedury bezpieczeństwa były odpowiednie” . Nie idźcie tą drogą. Nie o to chodzi w tym zapisie. Systemy bezpieczeństwa muszą się stale rozwijać. Nieustannie musi być szacowane ryzyko a „odpowiednie” procedury to procedury skuteczne. Tak należy to rozumieć. Jeśli zaliczycie włamanie z naruszeniem bezpieczeństwa danych znaczy to, że procedury były nieodpowiednie a w stosunku do odpowiedzialnej za bezpieczeństwo osoby powinny zostać wyciągnięte konsekwencje związane z zaniedbaniem.

Znika Administrator Bezpieczeństwa Informacji, a jego miejsce zajmuje Inspektor Ochrony Danych. Coraz bardziej Wam to przypomina ustawę o ochronie informacji niejawnych? Jeśli tak to słusznie, gdyż w tym kierunku to zmierza.

Inspektor Ochrony Danych w przeciwieństwie do ABI przestaje być funkcją fakultatywną. Należy go powołać w każdym przypadku, kiedy wymaga tego kategoria, cele przetwarzanych danych osobowych na duża skalę, w jednostkach publicznych,

Inspektorem Ochrony Danych wyznaczany jest na podstawie kwalifikacji zawodowych wiedzy fachowej na temat prawa i praktyk związanych z ochrona danych osobowych. Może on być członkiem personelu Administratora Danych lub wykonywać działania na podstawie umów o świadczenie usług.

Administrator Danych jest zobowiązany do publikowania danych Inspektora Danych Osobowych oraz do zgłoszenia go do organu nadzorczego. W przypadku naszego kraju organem nadzorczym jest GIODO. Zwróćmy uwagę, że w stosunku do przepisów obowiązujących pojawiają się dane kontaktowe do Inspektora Ochrony Danych.

Bezpieczeństwo przetwarzania danych

Mając na uwadze najnowocześniejsze rozwiązania i koszt wdrażania oraz uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz zagrożenie o różnym prawdopodobieństwie i różnej powadze dla praw i wolności osób fizycznych, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiadający zagrożeniu, w tym w stosownym przypadku między innymi:

a)pseudonimizację i szyfrowanie danych osobowych;

b)zdolność do zapewnienia na bieżąco poufności, integralności, dostępności i odporności systemów usług przetwarzających dane osobowe;

c)zdolność do szybkiego przywrócenia dostępności danych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d)regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Z samego kontekstu art. 30 wynika, że prace nad przetwarzaniem są cykliczne. W samej definicji jest zawarta analiza ryzyk, pomiary, testy.

Tu wracamy do początku mojego artykułu i pytania „Czy warto powołać ABI?” Bez odpowiedniej osoby, ukierunkowanej i związanej z ochrona danych osobowych wydaje mi się to niemożliwe zwłaszcza w dużych zakładach pracy. Wyobraźmy sobie Dyrektora lub Zarząd spółki wykonujących te czynności.

Z ciekawych zmian w ustawie doczytałem się stosowania kodeksów lub certyfikacji w celu zapewnienia zgodności przetwarzania danych osobowych. Rozumiem, że kodeksy będą produkcji GIODO. Certyfikacja będzie natomiast nabijać kabzę Unii Europejskiej. Na szczęście ta ostatnia jest dobrowolna.

Możemy również przeczytać w treści rozporządzenia, że Inspektora Ochrony Danych może powołać grupa firm, która przetwarza dane w jednym celu. Czyli np. kilka lub kilkanaście gabinetów lekarskich. Dosyć sensowne i ekonomiczne posunięcie. Dzięki niemu uwolnimy ochronę danych w przedsiębiorstwach, którym dziś się nie opłaca powoływać ABI z uwagi na ich wielkość, koszty itd.

Ciekawym artykułem jest również tak zwane „prawo do zapomnienia”, czyli wniosek o usunięcie danych u administratora. Wynika z niego, że obowiązkiem Administratora Danych będzie również poinformowanie o takim wniosku i prośba o usunięcie wszystkich administratorów, którzy wnioskowali o udostępnienie tych danych w cyklu ich „życia”.

Na koniec gwóźdź programu czyli kary. Zgodnie z artykułem powinny być „odstraszające”. I tu Unia nas nie zawiodła. Kary za naruszenie ochrony danych osobowych mają oscylować od 10 mln euro do 20 mln euro (jakieś 80 - 100 mln zł). Biorąc pod uwagę współpracę z innymi organami nadzorczymi, takimi jak PIP czy powstanie regionalnego Biura GIODO, jestem ciekaw efektów tak wysokiej kary za naruszenie prywatności i wolności osoby gwarantowanej przez konstytucję.

Na koniec pragnę zachęcić do lektury strony GIODO. Tam jest plan kontroli na rok 2016 oraz plan sprawozdań wynikających z nowelizacji UODO, która weszła w życie 1 stycznia 2015 r.