Po analizie skarg i pytań, które w pierwszym półroczu stosowania Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 (ogólne rozporządzenie o ochronie danych – dalej RODO) wpłynęły do Urzędu Ochrony Danych Osobowych, organ nadzorczy wydał 10 wskazówek dla administratorów pomocnych w stosowaniu RODO na co dzień. Jego treść opublikowana została na stronie internetowej PUODO 23 listopada 2018 r.
Wskazówki dedykowane są wszystkim podmiotom, które w ramach prowadzonej przez siebie działalności przetwarzają dane osobowe. Poniżej zamieszczamy treść wskazówek, które zostały opatrzone naszymi uzupełnieniami i komentarzami.
„Ustal właściwą podstawę zbierania i wykorzystywania danych osobowych
Pamiętaj, że zgoda nie jest jedyną podstawą uprawniającą do przetwarzania danych osobowych. Nie pozyskuj jej, gdy do zbierania i wykorzystywania danych osobowych, uprawnia Cię przepis prawa, lub gdy dane są niezbędne do zawarcia umowy. Takie działanie wprowadza Twoich klientów w błąd, bo przecież w takich przypadkach zgody nie mogą wycofać”.
Poprawne definiowanie podstaw prawnych jest bardzo ważnym zadaniem każdego administratora danych. Zgodnie z RODO mamy bowiem obowiązek przestrzegać zasady legalności (art. 5) i to na administratorach spoczywa wykazanie jej realizowania. Dodatkowo musimy pamiętać, że w każdym obowiązku informacyjnym musimy zamieścić podstawę prawną gromadzenia i przetwarzania danych. Jeżeli chcemy przetwarzać „zwykłe” dane osobowe, musimy spełniać jedną z przesłanek wskazanych w art. 6 RODO. W przypadku szczególnych kategorii danych (tj. dane dot. zdrowia czy wyznanie) musimy legitymować się jedną z podstaw ujętych w art. 9 RODO. W interpretacji, na którą podstawę prawną należy się powołać pomagają nam również motywy, zawarte w preambule RODO (motyw 40 – 48). Zgodę powinniśmy pozyskiwać jedynie w przypadku braku jakichkolwiek innych przesłanek legalizujących.
„Dopełniaj obowiązku informacyjnego zgodnie z nowymi zasadami
Pamiętaj, że RODO wprowadziło istotne zmiany dotyczące dopełniania tzw. obowiązku informacyjnego. Teraz musisz podać osobom, których dane przetwarzasz, więcej informacji. Jeśli wyznaczyłeś inspektora ochrony danych (IOD), musisz podać jego dane kontaktowe. Twoim obowiązkiem jest również wskazanie okresu, przez który będziesz przechowywał dane. Musisz też przekazać więcej informacji o prawach osób – m.in. o możliwości wycofania zgody oraz prawie wniesienia skargi do Prezesa UODO. Nie zapominaj też, że gdy zbierasz czyjeś dane od osób trzecich lub ze źródeł powszechnie dostępnych albo je kupujesz, stajesz się ich administratorem i również musisz dopełnić obowiązku informacyjnego. Nawet gdy jest to tylko numer telefonu lub adres e-mail”.
Obowiązek informacyjny nie jest nową instytucja prawną. Już na gruncie uchylonej ustawy o ochronie danych osobowych z 1997 roku mieliśmy obowiązek poinformować osoby, których dane przetwarzamy o tym kim jesteśmy, w jakim celu dane będą wykorzystywane oraz komu je udostępniamy. RODO zdecydowanie uszczegóławia treść klauzul informacyjnych. Katalog informacji, które przedstawić musimy osobom, których dane przetwarzamy wskazane zostały w art. 13 i 14 RODO. Zgodnie ze stanowiskiem Grupy Roboczej Art. 29 nie ma przeszkód by obowiązek informacyjny realizować „warstwowo”. Zaleca się aby pierwsza warstwa zawierała szczegóły dotyczące celów przetwarzania, tożsamość administratora oraz informację o prawach osoby, której dane dotyczą. Ważność podania tej informacji wynika bezpośrednio, w szczególności, z motywu 39 RODO.
„Komunikuj się w sposób przejrzysty
Pamiętaj, że wprowadzona przez RODO zasada przejrzystości ma być stosowana na wszystkich etapach komunikowania się z osobą, której dane są przetwarzane. Przesądza ona, że wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych mają być zwięzłe, przejrzyste i zrozumiałe oraz sformułowane jasnym i prostym językiem. Chodzi o to, żeby nie były to noty pisane przez prawników dla prawników – jak to często bywało dotąd. Mają też być łatwo dostępne. Zatem odpowiednio zorganizuj proces komunikacji z osobami, których dane przetwarzasz, i zadbaj o właściwe formułowanie kierowanych do nich przekazów i informacji. Kiedy to uzasadnione, korzystaj z możliwości warstwowego informowania – najpierw podaj podstawowe informacje i poinformuj, gdzie można zapoznać się z pozostałymi”.
RODO wiele miejsca poświęca sposobom komunikacji z osobami, których dane dotyczą. Tam gdzie jest to zasadne zaleca się również posługiwanie się formami graficznymi. Zgodnie z art. 5 RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
„W każdej sytuacji dbaj o respektowanie praw osób
Pamiętaj o realizacji praw osób, których dane przetwarzasz. Zadbaj o to także wówczas, gdy w Twoim imieniu działa podmiot zewnętrzny, z którym zawierasz umowę powierzenia przetwarzania danych osobowych swoich klientów. Jeśli np. prowadzi dla Ciebie działania marketingowe, zadbaj o to, by informował Cię o wnoszonych sprzeciwach lub wnioskach o sprostowanie danych. Warto, by odpowiednie postanowienia w tej sprawie znalazły się w umowie, którą z nim zawierasz. Twoi klienci na pewno to docenią”.
Brak realizacji uprawnień osób, których dane są przetwarzana zagrożone jest najwyższym możliwym wymiarem kary przewidzianym w RODO. Konieczne jest wdrożenie odpowiednich procedur w tym zakresie. Żądania bowiem mogą spływać na każdy adres e-mail ujawniony na stronie internetowej. Pracownicy administratora powinni być poinformowani w jaki sposób należy na nie reagować.
„Pamiętaj, że zgoda może być wycofana w każdym momencie
RODO wprost wskazuje, że osoba, której dane przetwarzasz na podstawie zgody, może w dowolnym momencie ją cofnąć i nie powinno to rodzić dla niej żadnych negatywnych konsekwencji (np. podwyższenia opłaty za usługi). O tym prawie musisz ją poinformować. Dopilnuj, aby cofnięcie zgody było równie łatwe jak jej udzielenie”.
Warunki, jakie powinna spełniać zgoda na przetwarzania danych osobowych uregulowane zostały w art. 7 i 8 RODO. Dodatkowo, warto również odnieść się do motywu 32 RODO, który precyzuje te wymagania. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy. Wycofanie zgody jest bezwzględnym prawem osoby, której dane dotyczą. Jeżeli nie posiadamy innej podstawy przetwarzania, bezwarunkowo musimy zaprzestać działań i form przetwarzania, na które została ona wyrażona.
„Naruszenia ochrony danych zgłaszaj do Prezesa UODO, a gdy trzeba informuj o nich również osoby, których dane zostały naruszone
W przypadku naruszenia ochrony danych osobowych (np. ich wycieku, zagubienia czy przypadkowego udostępnienia osobie nieuprawnionej) jako administrator musisz bez zbędnej zwłoki – w miarę możliwości, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia – zgłosić je Prezesowi Urzędu Ochrony Danych Osobowych. Wyjątek to sytuacja, gdy jest mało prawdopodobne, by zdarzenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Gdy ryzyko naruszenia tych praw i wolności jest wysokie, musisz również powiadomić osoby, których dane zostały naruszone. Udziel im wskazówek co do dalszego postępowania, pomocnych w podjęciu przez nich działań zapobiegających lub ograniczających negatywne konsekwencje naruszenia, np. ryzyko kradzieży tożsamości”.
W kontekście sformułowanej przez Urząd Ochrony Danych Osobowych wskazówki należy podkreślić, iż nie powinniśmy wahać się nad ewentualnym zgłoszeniem naruszenia. Zgodnie z art. 83 RODO, zgłoszenie naruszenia działa tak naprawdę na korzyść administratora. Jest to bowiem przesłanka łagodząca w kontekście ewentualnej kary – organ nadzorczy „decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na: (…) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie”. O obowiązkach związanych z naruszeniami ochrony danych traktują w szczególności art. 33 i 34 RODO.
„Nie twórz niepotrzebnej dokumentacji
Zasada rozliczalności zobowiązuje Cię do wprowadzenia wewnętrznych procedur, które mają zapewnić przestrzeganie RODO oraz to, abyś był w stanie wykazać, że prawidłowo przetwarzasz dane osobowe. Pamiętaj, że dla udowodnienia różnych działań, np. pozyskania zgody, nie zawsze musisz gromadzić dokumentację w formie papierowej i zbierać podpisy osób, które Ci jej udzieliły. Może też być ona nagrana lub zapisana w systemie informatycznym. Także przyjęte przez Ciebie i wdrożone procedury potwierdzone oświadczeniami pracowników mogą stanowić wystarczający dowód”.
Liczy się jakość, a nie ilość. RODO nie obliguje nas do posiadania żadnej konkretnej dokumentacji. Zgodnie z art. 24 RODO, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, administrator wdraża odpowiednie polityki ochrony danych. Z pewnością najważniejszymi procedurami będzie określenie postępowania z naruszeniami oraz zasady realizowania uprawnień osób, których dane dotyczą. Pamiętajmy jednak, iż to na administratorze ciążyć będzie konieczność udowodnienia, że w konkretnym przypadku zgoda została wyrażona oraz wykazanie, że zasady określone w RODO są realizowane. Tam gdzie istnieje taka możliwość należy wdrożyć rozwiązania systemowe.
„Masz prawo profilować, ale pamiętaj o ograniczeniach
RODO nie wprowadza zakazu profilowania. Pamiętaj jednak, że jeśli tego dokonujesz, musisz poinformować o tym osobę, której dane dotyczą, i wskazać konsekwencje takiego działania. Gdy jednak na podstawie profilowania podejmujesz zautomatyzowane decyzje (bez udziału człowieka), wywołujące skutki prawne lub istotnie wpływające na osobę, musisz mieć na to jej zgodę, chyba że działanie to legalizuje niezbędność do zawarcia lub wykonania umowy albo fakt, że jest to dozwolone prawem UE lub państwa członkowskiego”.
Zgodnie z art. 4 pkt 4 RODO, profilowanie to „dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”. Pierwszym wymogiem jest spełnienie obowiązku informacyjnego, a więc wskazanie podmiotowi danych, że proces ten ma miejsce, jakie są jego konsekwencje i czy dzieje się to w sposób zautomatyzowany (art. 13 i 14 RODO). Kolejnym obowiązkiem administratora danych jest umożliwienie osobie, której dane dotyczą wniesienia sprzeciwu wobec profilowania (art. 21 ust. 1 i 2 RODO). Obowiązek ten odnosi się do każdej kategorii profilowania (zarówno z udziałem czynnika ludzkiego, jak i zautomatyzowanego). W przypadku sprzeciwu na profilowanie w celach marketingowych, bezwzględnie należy zaprzestać takich dalszych działań. Osoba, której dane dotyczą ma również prawo do uzyskania informacji o dokonywanym profilowaniu (15 ust. 1 lit h RODO) oraz nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa (art. 22 RODO).
„Zainwestuj w fachowego IOD
Nawet jeśli nie masz takiego obowiązku, to rozważ wyznaczenie inspektora ochrony danych (IOD). Jako fachowiec wesprze Cię w prawidłowym zorganizowaniu procesów przetwarzania danych osobowych, chroniąc przed roszczeniami klientów czy sankcjami ze strony organu nadzoru. Jeśli już to zrobiłeś, zadbaj, aby jego dane kontaktowe były łatwo dostępne”.
Inspektor Ochrony Danych, w przeciwieństwie do wcześniejszej konstrukcji Administratora Bezpieczeństwa Informacji, w niektórych przypadkach bezwzględnie musi być powoływany (art. 37 RODO). Jest on de facto „koroną zabezpieczeń”, gdyż jego zadaniem jest bieżące czuwanie nad przetwarzaniem danych osobowych w firmie/ organizacji. IOD może być pracownikiem administratora albo osobą zewnętrzną. Zgodnie z art. 11 ustawy o ochronie danych osobowych „Podmiot, który wyznaczył inspektora, udostępnia dane inspektora (…), niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności”. Dodatkowo dane kontaktowe do IOD mamy obowiązek zamieszczać w każdym obowiązku informacyjnym.
„Uważaj na oszustów
Straszenie wysokimi karami lub wzywanie do wniesienia opłaty to popularne metody działania oszustów, którzy w łatwy sposób chcą zarobić na RODO! Bądź czujny i nie daj się nabrać! Czytaj uważniej korespondencję przychodzącą. Sprawdź, przez kogo została przesłana i czego dotyczy. Jeśli miałaby pochodzić od Urzędu Ochrony Danych Osobowych, zweryfikuj, czy zawiera wymagane elementy, np.: właściwą nazwę urzędu, poprawne adresy, autentyczne podpisy, a urzędowa pieczęć jest oryginalna. Od kontrolera żądaj okazania upoważnienia do kontroli i legitymacji służbowej. Jeśli chcesz skorzystać ze wsparcia działających na rynku firm, sprawdzaj ich wiarygodność i doświadczenie, a szkolenia i kursy na temat ochrony danych osobowych wybieraj z rozwagą”.
Powyższa przestroga niestety jest bardzo zasadna. Coraz częściej zdarzają się sytuacje przesyłania przedsiębiorcom „wezwań do uiszczenia grzywny” np. przez „Głównego Inspektora Nadzoru Ochrony Danych Osobowych”. Podmioty tego typu korzystają z nośności informacji o potencjalnych karach – do 20 mln euro lub 4% światowego obrotu przedsiębiorstwa (w zależności, która kwota jest wyższa).
Źródło: https://uodo.gov.pl/pl/171/578
Pozostałe komentarze i artykuły odnoszące się do oficjalnie wydanych poradników i wskazówek odnajdą Państwo pod poniższymi linkami:
RODO – poradnik dla sektora FINTECH (wydany przez Ministerstwo Cyfryzacji)
10 wskazówek, jak korzystać z praw gwarantowanych przez RODO – doświadczenia z pierwszego półrocza (wydany przez Urząd Ochrony Danych Osobowych)
Gotowi na RODO – podręcznik (wydany przez Urząd Ochrony Danych Osobowych)
Dokumentacja przetwarzania danych osobowych zgodnie z RODO – wytyczne UODO (wydany przez Urząd Ochrony Danych Osobowych)
