Czy RODO działa w biznesie?

Dziś o tym, w którym kierunku skręciło RODO i że dalej w nim zmierza. A to niestety nie zadziała jako WSPARCIE biznesu. O czym na końcu.

RODO to przede wszystkim prawo – to ten kierunek, z którym się nie zgadzam

Otóż na początku wdrożeń pojawiło się wyjątkowe zainteresowanie tematem ze strony branży prawniczej. Dalej to zainteresowanie przeniosło się na kolejne przepisy prawa, które charakteryzują się dość podobnym charakterem (AML, ESG). Otóż można podywagować, podyskutować, a potem rozważać wyroki i orzeczenia, uzasadnienia do nich.

Jeśli ktoś nie wierzy, proponuję spojrzeć czego dotyczą publikacje, informacje, aktualności na wiodących stronach o RODO czy w mediach społecznościowych. Sprawdziłem, w 90% dotyczą tego, jaki sąd, jakie orzeczenie wydał, czy jaką karę nałożył organ nadzorczy.

Tyle, że nie o to w RODO chodzi, aby sobie podyskutować na sali sądowej, czy z organem na pisma, ale żeby działało. Gdy coś nie działa, to nie działa i wtedy jest kara lub sąd. I nie ma znaczenia czy dla „ożywienia” tego czegoś (tu systemu ochrony danych) napiszemy 1, 5 czy 100 polityk. Nadal będzie to życzenie, aby zadziałało. I nadal nie zadziała. I nadal będzie kara i sąd.

A co to znaczy zadziałać?

Pani Krysia nie kliknie maila nie dla siebie. Będzie wiedzieć i umieć. Skąd będzie wiedzieć? Ponieważ zostanie nauczona na szkoleniu. Szkoleniu, którego celem jest nauczyć, a nie je odbyć. Przecież IOD lub osoba nadzorująca ochronę danych osobowych albo sam szkoli, albo nadzoruje (tu nadal jest rozbieżność, czy zadaniem IOD jest szkolić czy nadzorować). W związku z tym powinna mieć co najmniej minimum pojęcia o tym czym jest andragogika, jakie są formy i metody szkoleń oraz czym się różnią w zależności, czy celem szkolenia jest nabycie wiedzy, czy nabycie umiejętności. Jest ogromna różnica między opowiedzeniem i wyświetleniem, gdzie w Outlooku włącza się pole UDW – ukryte do wiadomości, a pokazaniem jak je włączyć.

Dyskusji o metodach i formach szkolenia, zasadach budowania systemów zarządzania wiedzą, systemów szkolenia jakoś nie widzę na forach dla IOD, czy nawet na konferencjach. Trudno też o artykuły merytoryczne, które mogłyby wesprzeć IOD w realizacji funkcji.

IOD zadań ma zdecydowanie więcej. Np. audyty. Audyt nie jest kontrolą, więc znów nawet jeśli tylko się nadzoruje, warto wiedzieć że nie chodzi w nim (audycie) o prostą kontrolę (inspekcję), której celem jest sprawdzenie, czy przepis czy wymaganie z polityki są realizowane. Istotą jest poszukanie, czy jest DOBRZE I SKUTECZNIE realizowane, a jeśli nie to DLACZEGO? Walka o to, aby zadziałało, jak nie ma szans zadziałać jest z góry skazana na porażkę, niezależnie ile protokołów niezgodności wystawimy. Czy będzie ich jak z politykami – 1, 10, czy 100.

Dyskusje o audytach. Jedna mi się przypomniała, w której konkluzją było to, że IOD tak audytów nie robi. Tak, to znaczy mniej więcej (nawet nie w pełni) zgodnych z normą ISO 19011, bo… to za dużo roboty (czytaj za niski abonament). I po co tu wnioskować dlaczego, jak ważne jest, że przepis nie jest spełniony. Można podsumować, że jeśli już dyskusje się pojawiają, to nie o audytach, a o kontroli przestrzegania.

IOD ma również nadzór lub podział zadań (znów rozbieżność w opiniach). A kiedy zadziała podział zadań? Gdy będą jasne, zrozumiałe i … sensowne. Gdy osoba, która je ma wykonać będzie wiedziała nie tylko co może lub powinna, ale będzie miała też narzędzia zarówno organizacyjne jak i techniczne. Organizacyjne to stosowne uprawnienia i możliwości działania. A techniczne, po prostu będzie mieć czym.

Dyskusji o wadach i zaletach różnych struktur i form opisów stanowisk, przypisania ról i funkcji również nie widzę w przestrzeni i środowisku ochrony danych. Wyższości (lub niższości) opisu kompetencyjnego vs klasyczny również. A przecież to z nich wynikają dalej wyposażenie (w upoważnienia, środki pracy) jak i wymagane szkolenia. Cóż, nadal dyskusji o organizacji nie ma.

Mamy jeszcze całą masę innych rzeczy, zadań, czynności, które IOD powinien nadzorować, oceniać i wskazywać, nie sposób ich wszystkich wymienić w krótkim felietonie. Może się czytelnik zastanowić, dlaczego o tym wszystkim piszę. Wszak szkolenia i struktury to HR (tak się wielu wydaje, poza HR-em), audyt to komórki compliance, zabezpieczenia to odpowiednio IT, strażak czy ochroniarz.

TAK!!! 3 x TAK!!!

Wtedy RODO jest „wrośnięte” w organizację (ładniej mówi – zintegrowane). Wtedy też biznes zaczyna traktować je jako coś oczywistego, codziennego. Ot dodatkowy kawałek zagadnień, ale wcale nie wymagań. Szkolenia do pracy są przeprowadzane, więc poszerzenie np. BHP o RODO nie jest problemem. Dla niewtajemniczonych, ochrona przeciwpożarowa to nie BHP, a jednak jest omawiana w ramach szkolenia wstępnego i okresowego. Mało tego, poza tym, że może być w instruktażu ogólnym, może też pojawić się w stanowiskowym. Z tych dwóch składa się szkolenie wstępne BHP.

HEREZJA!!! BHP i RODO!!!

Pewnie kilka osób tak pomyśli. Więc wróćmy do tego biznesu i tego jak przekonać oraz „wrośnięcia” w organizację. Studium przypadku:

Linia produkcyjna, praca premiowana za wydajność (tzw. akord) rejestracja wyników na indywidualnych kartach operatorów linii. Po zakończeniu pracy brygadzista zbiera karty, podpisuje (potwierdza) i przekazuje do kadr.

Pewnego dnia nie dotarło do kadr kilka kart osób, które wykonywały pracę. Kluczowych o tyle, że była to końcówka miesiąca i wynik z pracy z tej zmiany przesądzał o tym czy będzie premia miesięczna czy nie. Ze względu na zawartość kart doszło do incydentu, który został zaklasyfikowany jako naruszenie ochrony danych osobowych. Utrata danych, w wyniku której osoby otrzymały mniejsze wynagrodzenia. Skutek dla osoby oczywiście możemy dalej rozpatrywać, ale nie o to w dzisiejszym przypadku chodzi.

Wyłączcie na moment myślenie prawnicze. Niezależnie, czy jesteście prawnikami, czy zostało wam narzucone.

W zmianie zrobił się tzw. „kwas” (atmosfera w pracy). Brygadzista został oskarżony o to, że „zgubił” karty z zemsty na jednej z pracownic, która się nie chciała z nim umówić na kawę. A pozostałe karty to tak dla zmyłki. Wielu osobom znów włączy się zagadnienie prawne, mobbing i inne. Ale to nie o to chodzi!

Czy procedura wzmocniona przez IOD (lub managera ochrony danych osobowych / informacji), która wzmogłaby nadzór nad taką kartą, ze szczególnym przeszkoleniem brygadzistów i wskazaniem potencjalnych sankcji mogłaby wesprzeć pracodawcę w tym, aby w zmianie nie nastąpił „kwas”? Czy atmosfera w zmianie wspiera wydajność, efektywność pracy? Czy może jak jest „kwas” to zamiast robić robotę, zmiana dyskutuje, sytuacja się zaognia i efekt biznesowy jest.. delikatnie mówiąc słabszy?

Znam wiele procesów, procedur i polityk, które gdy tylko otworzymy oczy i odejdziemy od prawno-RODO podejścia, a zaczniemy myśleć procesami biznesowymi, to nie dość, że system „wrośnie” w organizację. On jeszcze będzie potrafił ją wspierać. W projektowaniu procesów nazywa się to identyfikacją celów lub efektów synergicznych.

Krótkie, hasłowe podsumowanie studium przypadku:

Biznes nie jest realizowany po to aby NIE MIEĆ KARY (za utratę danych i za mobbing)! Biznes jest realizowany po to aby przynosić zysk, być efektywny i skuteczny. Gdy atmosfera w zespole jest OK, nie mamy takich zdarzeń, które ją psują, a w efekcie wydajność pracy.

Prawnik… na złe czasy

Jest pewien czynnik, który powoduje, że RODO i systemy związane z ochroną danych (nie tylko) są postrzegane jako coś, co nie wspiera biznesu w jego codziennym działaniu. Tak, jak umowy, są tworzone nie na dobrą współpracę, a na złe czasy (słowa prawnika). RODO postrzegane jako problem prawny, podsycane nadmiarem już informacji o karach, orzeczeniach sądów w opinii wielu zaradzających jawi się jako coś, czego się trzeba bać. Do czego trzeba się przygotować (do wojny najpierw z organem, a potem znów z organem, ale na sali sądowej). W ten sposób trudno jest zbudować zaufanie do tego, że jest to fajne rozwiązanie, które wspiera szacunek dla naszych klientów, partnerów, pracowników i innych osób, związanych z organizacjami. Że tam są zaszyte naprawdę sensowne i ciekawe rozwiązania, które wesprą to, co chce (lub musi) robić wiele firm.

Społecznie odpowiedzialny biznes.

W roku 2010 obowiązywała Ustawa o ochronie danych osobowych w poprzednim wydaniu. Polityki Bezpieczeństwa Danych Osobowych, które tworzyłem zaczynały się od słów:

Zarząd…, świadomy zagrożeń związanych z przetwarzaniem danych osobowych, w celu ochrony pracowników, kontrahentów, klientów, wdraża niniejszą Politykę Bezpieczeństwa Danych Osobowych.

Od tego zaczynało się zrozumienie, że może to być świetny element marketingu, zwłaszcza w tych firmach. Kosmetyki czy farmacja. Producenci marek, które widać na co dzień na półkach.

Może warto?

PS podobnie jest z BHP i innymi systemami. Akurat BHP to świetny przykład. Jeśli jest wdrażane „bo Kodeks Pracy…” to jest to droga przez mękę. Ale jeśli spojrzymy na organizacje, które przeszły do wyższego poziomu świadomości i zaczęły robić dni bezpieczeństwa to nagle okazuje się, że to BHP nie jest takie straszne. Mało tego, pani Ania opatrzyła dziecku dłoń po oparzeniu. Umiała, bo nauczyła się na dniach bezpieczeństwa.

Może warto…?

Reklama

RODO w biznesie

Istotą Programu, w którym zajmiemy się rozważaniem danych osobowych i ich ochrony, a właściwie ochrony osoby fizycznej w związku z przetwarzaniem jej danych osobowych jest wsparcie dla poprawnego wdrażania systemów, które spełniają dwa podstawowe cele:

  • Wsparcie biznesu w działaniach związanych z podstawowym zakresem działania
  • Redukcja kosztów wdrożeń i utrzymania przez poszukanie synergii

W wielu przypadkach wdrożeń system ochrony danych osobowych stał się systemem ochrony przed karami i decyzjami Prezesa Urzędu Ochrony Danych Osobowych. Jest to całkowicie nieprawidłowe i rozbieżne z celami RODO podejście. Podejście, które w założeniu ma chronić osobę, której dane dotyczą.

Kluczowym dla zrozumienia wagi RODO w biznesie jest to, że dotyczy najważniejszego „elementu” biznesu, którym jest człowiek. Osoba, której dane dotyczą.

Niezależnie czy jest to nasz pracownik, klient, osoba, która poleca nasze produkty, dostawca. Wszędzie, w każdej relacji biznesowej występuję człowiek, jako przedstawiciel. I to on ma być chroniony jako osoba, której dane dotyczą, a nie tylko jego dane. Troska o dane jest wyrazem szacunku i poszanowania zarówno relacji jak i osób, które je budują i podtrzymują. Cała reszta, a więc deklaracje, polityki, klauzule to tylko elementy realizujące te relacje.

Metody realizacji Programu zostały zaplanowane w taki sposób, aby osiągnąć maksymalny efekt. Dlatego przedsięwzięcia są kierowane zarówno do osób zawodowo zajmujących się ochroną danych osobowych, w tym IOD, specjalistów ochrony danych osobowych i osób, którym przypisano te zadania jak i przedstawicieli biznesu, którzy korzystają z tych usług. Najważniejszym elementem jest wzajemne zrozumienie potrzeb, oczekiwań oraz efektu, który musi zostać osiągnięty.

Metody i formy realizacji Programu:

  • Artykuły branżowe kierowane zarówno do dostawców usług jak i biznesu
  • Webinaria w formie wykładów z interakcją – dla osób zawodowo zajmujących się ochrona danych, w zakresie identyfikacji obszarów do działania synergicznego oraz wsparcia biznesu (celów biznesowych).
  • Szkolenia dedykowane, w tym szkolenia interaktywne w biurach, zakładach pracy, fabrykach, urzędach i instytucjach identyfikujące obszary w których RODO może być realnym wsparcie dla biznesu.
  • Inne formy mogą się pojawić w trakcie rozwoju programu.

Niebawem więcej informacji.

Informacja o logo:

Zegarek jest tym, co może obrazować biznes. Pokazuje czas, ale użytkownik nie zdaje sobie sprawy z tego, jak wiele trybów i trybików musi wykonać swoją pracę aby uzyskać efekt. Efekt jest – wiemy, która jest godzina, dzień miesiąca, czy tygodnia.

Bezpieczeństwo zapewnione jest przez kopertę (utrata zniszczenie mechanizmu), a utrata (zagubienie) przez bransoletę lub pasek i zapięcie.

Reklama

#RODOrozkminka – harmonogram

Przygotowując cykl edukacyjny o którym pisaliśmy tutaj natknęliśmy się na pewne rafy. To dobrze, bo gorzej, jeśli „miłe są początki”, bo z reguły złego początkami są. Rafy, na jakie się natknęliśmy to… pewnego rodzaju skomplikowanie RODO, a dokładniej filozofia autorów. Otóż uznali oni, że jak coś można zamieszać, to można. Więc zamieszali.

I tak podstawy prawne przetwarzania opisali radośnie w artykułach 6 i 9, gdzie w tle „użytkownik RODO” musi sam ogarnąć, że w art. 6 chodzi (co do zasady) o dane zwykłych kategorii (takich nieszczególnych), bo już w art. 9 chodzi o dane szczególnych kategorii (co napisano).

Natomiast kategoria z art. 10 nie ma nazwy, my nazywamy je danymi „super-szczególnych-kategorii”, ale… już nie znajdziecie w nim (tym artykule) żadnej przesłanki do przetwarzania. Po prostu jest to pewna kategoria i określone nadzory (lub przepis), ale o ile prawodawca poczynił wyłom dla art. 9 określając kategorie danych (takie typy danych) o tyle w art. 6 typów nie ma, są tylko podstawy, a z kolei w art. 10 są już typy, ale podstaw nie ma. Zamotane? Nie, to nie nasz artykuł, to RODO.

Pisząc ten artykuł nasz naczelny RODOmaniak rozmarzył się i… pomyślał, że jakże miło by było, gdyby ktoś opisał:

  • Co to są dane, które są przetwarzane w oparciu o art. 6 (te zwykłych kategorii. Np. wybrać katalog z definicji danych osobowych i przypisać, oczywiście z zastrzeżeniami).
  • Co to są dane szczególnych – już mamy.
  • Co to są dane super-szczegolnych-kategorii też już mamy.

A następnie gdyby opisać, co jest przesłanką przetwarzania danych

  • Kategorii zwykłych
  • Kategorii szczególnych
  • Kategorii super-szczególnych

Jeśli ktoś nie zrozumiał, chodzi o pewien porządek w akcie prawnym, w którym:

  1. Wartościujemy dane (z punktu widzenia osoby). Czyli wskazujemy podstawowe wartości (wagę, ważność, poszukajcie innego słowa) danych osobowych, żeby wiedzieć które są ważne, które ważniejsze, a które że… o rany
  2. W każdej z tych kategorii wskazujemy podstawy prawne przetwarzania, czyli kiedy można.

Takie to proste… i na bazie aktualnego aktu prawnego do zrobienia w dwa popołudnia.

Nie o tym jednak nasz felieton, a o tym, że z powodu braku konsekwencji prawodawcy choćby w tak podstawowych tematach, trudno będzie nam w naszym cyklu #RODOrozkminka przejść „po zagadnieniu”.

Po długiej, bardzo burzliwej i gorącej dyskusji uznaliśmy, że cykl będzie realizowany artykuł po artykule. Jeśli pojawi się powiązanie z innymi przepisami RODO (a pojawi się na pewno), to do tematu powrócimy w momencie „rozkminiania” kolejnego przepisu.

Co przeważyło?

Argumentacja była dość prosta. Przykład zgody. Jest to przesłanka, czyli podstawa przetwarzania danych osobowych. Jest, jako podstawa prawna niezależna od warunków wyrażenia zgody. Innymi słowy zgoda jako podstawa ma określone formy i sposoby jej wyrażenia, a nie odwrotnie. Nie możemy uznać, że zgoda nie jest właściwą podstawą, jeśli została wyrażona z naruszeniem artykułów opisujących warunki wyrażenia zgody. To czynność wyrażenia będzie błędnie dokonana, a więc niezgodność pojawi się w zupełnie innym zakresie i obszarze. Sama podstawa będzie nadal prawidłowa.

Niezrozumiałe? Cóż, zapraszamy na nasze spotkania. Zaczynamy już 14 września i co środę (z pewnymi wyłączeniami) widzimy się o godzinie 18:00 do… teoretycznie 19:00, może 19:30, ale nie obiecujemy. Ramowy harmonogram na wrzesień i październik:

  • 14 września 2022 – art. 5. Co to są zasady fundamentalne (principles), czego dotyczą i czym jest magiczna „rozliczalność”. Albo może… „to demonstrate” – cytując wersję angielską? Skupimy się na przygotowaniu klasyfikacji wymagań do grup opisanych w artykule 5, ze szczególnym uwzględnieniem przygotowania rozliczalności. Tak, jak w swoich dokumentach robią to organy nadzorcze (zbierają drobiazgi, aby pokazać naruszenie z art. 5 – bo to górna półka kar).
  • 19 września 2022ROZLICZALNOŚĆ. Czym jest, do czego mamy ją wykazać i jak spełnić? Te trzy pytania będą podstawą do #RODOrozkminki zmierzającej do jednego z najważniejszych i najbardziej mglistych wymagań RODO.
  • 28 września 2022 – art. 6 odsłona 1. W pierwszej odsłonie skupimy się na zgodzie oraz stronie umowy. Przesłanki jako przesłanki są dość proste, więc nie będziemy tutaj pisać doktoratów, ważne aby zwrócić uwagę na to, aby były realne, prawdziwe i udokumentowane (działaniem, nie tylko zapisanym papierem).
  • 5 października 2022 – art. 6 odsłona 2. Tu już wejdziemy na nieco wyższe poziomy. Ustępy „C” i „E” są do siebie dość podobne, jednak w zakresie stosowania mają nieco wymagań odrębnych. Dużym problemem jest zrozumienie realizacji interesu publicznego lub sprawowania władzy (oddane poza ową władzę). Te dwie przesłanki łączymy, bo łączy je… nie, nie tylko RODO. W naszym świecie mamy wiele przykładów realizacji interesów publicznych, w których podmioty (administratorzy) nadal błędnie wskazują podstawę.
  • 12 października 2022 – art. 6 odsłona 3. Na koniec zostawimy sobie ust. D (łatwiejszy) oraz F – czyli prawnie uzasadniony interes… Powalczymy ze zrozumieniem czym ów interes jest i udowodnieniem (to demonstrate czyli rozliczalność), że naprawdę jest. A jako smaczek – czy administracja może korzystać z tej podstawy prawnej?
  • 19 października 2022 – art. 7 i 8 – czyli jak wyrazić zgodę (i ją udokumentować). Opcje wyrażenia zgody, dokumentowanie, zgoda przez wejście za żółtą linię… Pamiętacie? O tym właśnie będziemy mówić, szukać wymagania i sposobu potwierdzenia jego spełnienia. Będzie też o obowiązkach wobec nieco młodszych interesariuszy.
  • 26 października 2022 – art. 9 – odsłona 1. Na koniec października zrobimy coś mocnego, efektowego i efektywnego. Poza zgodą zajmiemy się również podstawą prawną do przetwarzania danych z … alkomatu. Świetny przykład. Albo czy wolno nam posiadać kamery w różnych miejscach, które są „prawie zakazane” na mocy przepisów prawa pracy.

Zapisy i informacje – info@rodomaniacy.pl.

Reklama

Prawnie uzasadniony interes administratora

W ostatni czasie mamy wysyp ciekawych orzeczeń sądów, które wskazują na dość sporo „pomyłek” (nie mam lepszego słowa) polskiego organu nadzorczego w dziedzinie RODO, a więc Prezesa Urzędu Ochrony Danych Osobowych.

Dzisiejszy odcinek (nie)oczywistych (nie)oczywistości będzie poświęcony zagadnieniu przesłanki, a więc podstawy przetwarzania danych osobowych, opisanej w art. 6.1.f RODO:

przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią

Pominę kwestię „niezbędne”, zostawiając na inna publikację. Dziś postaram wyjaśnić, skąd mogą się brać wnioski, jakie pojawiły się zarówno w postępowaniu jak i później były omówione w uzasadnieniu do orzeczenia sądu.

Interpretacja PUODO, jaka została podważona to to, że prawnie uzasadniony interes powinien być określony w przepisie prawa.

Niby oczywista oczywistość: do przetwarzania danych osobowych z mocy prawa i w mechanizmie opisanym wyżej wystarczająca jest przesłanka 6.1.c – przetwarzanie dokonywane jest w celu spełnienia obowiązków wynikających z przepisu prawa.

Rys historyczny, RODO jako akt prawny dojrzalszy

RODO jest następcą dyrektywy na podstawie której wydana była pierwsza polska Ustawa o ochronie danych osobowych z 1997 roku (UODO 1997). W tamtym stanie prawnym, obowiązującym do magicznego maja 2018 funkcjonowała przesłanka prawna z art. 23.1.3

Przetwarzanie danych jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

Istotą tej przesłanki było to, że zarówno uprawnienie jak i obowiązek określane były w przepisie prawa.

Przykłady:

  • Prawo Pracy – pracodawca miał prawo żądać (obecnie żąda) określonych danych od kandydata.
  • Ochrona osób i mienia – pracownik ochrony ma prawo do np. legitymowania osoby w celu ustalenia tożsamości.

W trakcie zmiany podstaw prawnych z UODO 1997 na RODO część związana z realizacją obowiązku prawnego została przeniesiona do art. 6.1.c – a więc obowiązek prawny. Natomiast wszelkie pozostałe uprawnienia – do 6.1.f. Przy czym jak widać stanowisko organu jest takie, jak w poprzednim stanie prawnym, a więc aby pojawiło się prawo do przetwarzania danych, powinno ono być określone w przepisie prawa.

Jak widać sąd nie podzielił stanowiska organu (i dobrze), ponieważ istotą przesłanki z 6.1.f jest właśnie takie kształtowanie przetwarzania danych osobowych, aby można było korzystać z tych, które są nam niezbędne do prowadzenia działalności gospodarczej.

Elementem, który przemawia za taką interpretacją jest dodanie obowiązku wskazania owego prawnie uzasadnionego interesu, a więc nie jest to „bo mi się kiedyś przyda”, a konkretnie do czego tych danych potrzebujemy, w trakcie zbierania danych (lub przy pierwszym kontakcie). O obowiązkach informacyjnych jeszcze na pewno napiszę.

Podsumowanie

Warto podsumować, to co niby jest oczywistością, ale dla wielu jednak nie:

  • Przetwarzanie w oparciu o przepis prawa i w celu realizacji tego przepisu – podstawą jest 6.1.c.
  • Przetwarzanie w jakimkolwiek celu, ale uzasadnionym prawnie (nie znaczy to, że to uprawnienie ma być sprecyzowane w przepisie) – art. 6.1.f. Obowiązek dodatkowy – sprecyzowanie tego celu oraz poinformowanie o nim. Ponieważ tutaj pojawiają się uprawnienia osoby, której dane dotyczą.
Reklama

Zrozumieć RODO – cykl edukacyjny

Zrozumieć RODO” to nasz slogan, który można wyczytać pod logo. Nie jest pustym hasłem. Od samego początku działalności portalu, czy szerzej – inicjatywy, stawiamy na rozumienie RODO. Istoty wymagań, w oparciu o nasze ponad 22 letnie doświadczenie w ochronie danych osobowych.

Analizując wiele orzeczeń sądów administracyjnych, czy to na poziomie wojewódzkim czy krajowym (NSA) można dojść do wniosku, że mimo ponad 4 letniego obowiązywania RODO (zastosowania od 25 maja 2018), a 6 lat od wejścia w życie, nadal wiele zagadnień jest niezrozumiałych. To niezrozumienie, czy też próby interpretacji czasem są tak odległe od istoty, ducha, czy celu wydania aktu prawnego, że wydaje się to aż niemożliwe. A jednak.

Dlatego od września 2022 rozpoczynamy cykl edukacyjny, na który złożą się dwa, długofalowe działania:

  • Zrozumienie wymagań RODO, prowadzone w formie webinariów poświęconych konkretnemu wymaganiu, z punktu widzenia audytora RODO. W mediach społecznościowych możliwe do znalezienia pod hasztagiem #rozkimnkaRODO.
  • Cyklu, w którym w formie krótkich filmików na naszym kanale na YouTube postaramy się wyjaśnić, czy coś jest oczywistą oczywistością, nieoczywistą oczywistością czy oczywistą nieoczywistością w ochronie danych osobowych.

#RozkminkaRODO

#RODOrozmkinka to budowanie listy kontrolnej do RODO w zupełnie inny, nowatorski sposób. Przebieg działania:

  • Wybór przepisu prawa (artykuł, jego część lub kilka artykułów), które zawierają wymagania RODO
  • Identyfikacja wymagania, czyli próbujemy sobie odpowiedzieć „co autor miał na myśli”
  • Rejestracja wymagania
  • Dobór metod(y) audytu

Założony efekt:

Po kilku miesiącach będą złożone listy do audytowania RODO, z przypisanymi narzędziami.

Na dziś trudno powiedzieć ile takich spotkań będzie. Np. art. 5 może być realizowany jednego dnia, ponieważ jest ogólny i będzie nagłówkiem arkuszy w Excelu. Art. 13 i 14 (może 12 też) mogą być zrealizowane łącznie. Natomiast ocena procesora to może być kilka spotkań.

Każde ze spotkań planowane jest na około 1 godzinę do 1,5. Termin to środy, godzina 18:00.

(nie)oczywiste (nie)oczywistości

Ten cykl, to krótkie (do 10 minut) filmy zamieszczane na platformie YouTube. Omawiane w nich będą zagadnienia, które wydają się być oczywiste, a jednak mimo to trafiają na sale sądowe. Pochylimy się też nad zagadnieniami, które dla branży są oczywiste, a jednak… nie zawsze tak będzie.

Cykl planujemy realizować z częstotliwością co najmniej jednego zagadnienia na tydzień.

Podsumowanie

Cykl edukacyjny jako założenie ma nie tylko cel wyedukowania osób związanych z RODO czy zainteresowanych regulacją. Ma również drugi – który również był naszym sloganem (hasłem) przez „Zrozumieć RODO”. Brzmiał:

Odczarować RODO

Akt prawny, czy też sama istota regulacji nie jest ani trudna do zrozumienia i wykonania, ani nie jest tak bardzo bezsensowna, jak mogłoby się wydawać po niektórych zastosowaniach czy opiniach. Problemem jest jednak to, że zbyt wiele osób uznało, że wystarczy przeczytać (nawet kilka razy) przepisy oraz motywy i już zrozumienie się pojawia.

Niestety, jak pokazuje praktyka – to nie tak. Zapraszamy do śledzenia i bycia w kontakcie.

Reklama

Ryzyko w RODO – jak szacować skutki incydentu?

„Kowal zawinił, cygana powiesili”. Czytając niektóre uzasadnienia urzędu czy dyskusje specjalistów, trudno nie wrócić do naszej staropolskiej mądrości. Zgodnie z nią administrator danych, u którego doszło do naruszenia ochrony danych, będzie odpowiadać za naruszenia prawa, których dopuścił się lub może dopuścić zupełnie ktoś inny. W krótkim cyklu postaramy się przybliżyć, jak bardzo mylne jest to stanowisko oraz w jaki sposób poradzić sobie z oceną ryzyka do RODO.

Nie tylko skutek, też prawdopodobieństwo

Rozpatrując ryzyko, nie możemy funkcjonować w oderwaniu od rzeczywistości. Ryzyko to nie wymyślanie „co się może stać”, ale też „jak jest to prawdopodobne”. Analizując niektóre postanowienia czy dyskusje, trudno nie odnieść takiego wrażenia, że o tym prawdopodobieństwie zapomina się bardzo często. Mimo że jest poruszone w RODO i to wielokrotnie.

Przykład:

W jednym z postepowań przeciwko ubezpieczycielowi Prezes Urzędu Ochrony Danych Osobowych w uzasadnieniu wskazał, że deklaracja osoby (o usunięciu danych i zniszczeniu), która weszła w posiadanie danych nie oznacza, że zgodnie z nią dane usunie. Mimo swoich deklaracji, może jednak je zostawić i np. mieć możliwość zaciągnięcia kredytu.

Czy w kontekście tej (i wielu innych) wypowiedzi i uzasadnień powinniśmy ZAWSZE zakładać, że podmiot (osoba, organizacja), który uzyskał dane w wyniku naszego błędu, wykorzysta je w niecnych celach? Tak wynika z postanowień. Szybko wyjaśniając, to nie jest podejście najgorszego scenariusza (worst case scenario), tylko dość podobne do niego, a dokładniej pierwszy krok. O tym niebawem.

Kłóci się ono również z zasadami szacowania i oceny ryzyka, w tym w szczególności w rozważeniu kontekstu przetwarzania danych. Przypomnijmy, że kontekst to wszelkie okoliczności związane z przetwarzaniem danych osobowych, w tym również zainteresowane strony (interesariusze), a więc też nasi klienci. Ryzyko, a więc możliwość wykorzystania danych przekazanych wraz z tym, co owa osoba może zrobić, musi wynikać ze zrozumienia, kim jest nasz niezaplanowany odbiorca.

Trzymając się przykładu.

  • Czy dwie osoby, które otrzymały nieswoje polisy są przestępcami, którzy wyłudzają kredyty?
  • Czy jakiekolwiek czynniki wskazują na to, że może i by się skusili?
  • Czy zakres danych umożliwiłby uzyskanie kredytów na taką sumę, która ich zadowoli (premia za ryzyko z progiem akceptacji w tle)?

Pytań, które niestety nie zostały zadane w tym konkretnym zdarzeniu jest wiele. Mam nadzieję, że rozumiecie już o co chodzi z szacowaniem ryzyka, a więc prawdopodobieństwa wystąpienia skutku, w tym również w podejściu najgorszego scenariusza. Powtarzając wcześniejsze słowa- to nie jest konkurs na najbardziej czarny i wymyślny scenariusz.

Jest jeszcze inny aspekt. Przypisanie negatywnych cech to jeszcze nie przestępstwo. Ale już osoba, organizacja, która może być posądzona o to, że wykorzysta dane do zaciągnięcia kredytu (popełnienie przestępstwa) lub innego czynu zabronionego może poczuć się urażona. Ja na pewno bym się poczuł. A w przypadku tego konkretnego ubezpieczyciela są to tylko dwie osoby.

Co z tym kowalem?

W podejściu organu, a za nim za sprawą kopiowania założeń zawieranych w systemach ochrony danych przez fanów orzeczeń dochodzi do pewnej kuriozalnej wręcz sytuacji. Otóż administrator danych osobowych zaczyna szacować ryzyko, wynikające z przetwarzania (nawet niezamierzonego) u innego administratora. A więc skutki i prawdopodobieństwo nielegalnego i niezgodnego z prawem przetwarzania danych osobowych przez innego administratora. Wszak to choćby wspomniana ocena osób, które dane przetwarzają, będzie prowadzić do oceny, czy dane zdarzenie może zaistnieć, czy też nie.

Tylko jak się ma to do RODO, gdy administrator to osoba, która określa cele i zakres przetwarzania danych osobowych oraz szacuje ryzyko dla osób, których dane przetwarza w celu i zakresie. Ma więc możliwości (i obowiązek) oszacowania skutków, jakie nastąpić mogą w wyniku jego operacji, działań, przetwarzania, zastosowanych środków przetwarzania itd., a także szans ich wystąpienia.

Idąc tokiem podejścia, w którym rozważamy skutki, jakie mogą nastąpić w przypadku przetwarzania przez inna osobę bądź organizację (w obu przypadkach mogą to być administratorzy), nieco trudniej będzie nam:

  • wskazać cel przetwarzania danych – pozyskanie nielegalne środków. Nie wiemy, czym dysponuje ów administrator, a przecież nie zajmujemy się w ogóle pozyskiwaniem nielegalnym środków finansowych (wyłudzeniami), co oznacza, że trudniej nam będzie oszacować możliwość wystąpienia skutku;
  • oszacować ryzyka – nie wiemy, jakich środków przetwarzania używa, w jakich sieciach, lokalizacjach, jakie zabezpieczenia stosuje.

Być może ostatnie zdania brzmią nieco sarkastycznie. Ideą jest jednak uświadomienie, że o ile możemy (i powinniśmy) mieć wiedzę, KOMU przesłaliśmy dane w tym konkretnym przypadku (kontekst przetwarzania – interesariusze), o tyle ryzyka za kogoś nie możemy oszacować. I nie może go również oszacować (realnie i rzetelnie) nikt, kto do tego administratora nie zapuka i nie sprawdzi jego aktualnej sytuacji.

Jak więc sobie poradzić?

Zajrzeć do RODO. Naprawdę. I trzymać się przepisu. Przepis mówi, że powinniśmy rozważyć potencjalny skutek dla osoby, związany (tu) z ujawnieniem danych w sposób niezamierzony. Do tego warto mieć zebrane dane wcześniej (jakie dane, interesariusze) – dane zgromadzone i rozważone w procesie szacowania i oceny ryzyka.

Wszak rozważamy niezamierzone udostępnienie danych w naszych systemach?

Wracając do przysłowiowego kowala i cygana. Gdy komuś przez przypadek wyślę młotek, trudno mnie sądzić za formę popełnienia czynu – pomocnictwo w rozboju z użyciem niebezpiecznego narzędzia. Ten wątek również poruszymy, jednak nie w kontekście tego, JAK SIĘ BRONIĆ przed zarzutami PUODO, ale jak poprawnie prowadzić incydent, a później naruszenie.

Reklama

RODO – które dane są wrażliwe?

Autor: Łukasz Kolatorski

Ogólne rozporządzenie o ochronie danych osobowych osób fizycznych RODO wprowadziło drobną korektę w dotychczasowym podziale znanych nam od przeszło 20 lat rodzajów danych osobowych. Do momentu rozpoczęcia zastosowania RODO wyróżnialiśmy dwa rodzaje danych osobowych, funkcjonujące na gruncie wspólnotowej dyrektywy 95/46/WE z dnia 24 października 1995 roku oraz nieco rozszerzone w naszej krajowej ustawie o ochronie danych osobowych z 29 sierpnia 1997 roku.

Rys historyczny

Na gruncie poprzednich przepisów dane osobowe mogliśmy podzielić na dwa rodzaje, mianowicie: szczególne kategorie danych – dane wrażliwe/sensytywne oraz pozostałe dane, potocznie nazywane „zwykłymi”. W dyrektywie wspólnotowej z 1995 roku kategorie danych wrażliwych wyszczególnione były w art. 8 oraz odpowiednio w naszej ustawie krajowej z 1997 roku w artykule 27. Były to dane ujawniające:

  • pochodzenie rasowe lub etniczne;
  • poglądy polityczne;
  • przekonania religijne lub filozoficzne;
  • przynależność wyznaniową, partyjną lub związkową;
  • informacje o stanie zdrowia;
  • informacje o kodzie genetycznym;
  • informacje o nałogach;
  • informacje o życiu seksualnym;
  • informacje dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (definicja UODO 97).

Zmiana podejścia do rodzajów danych

Wraz z nadejściem RODO, nastąpiła drobna korekta sklasyfikowania rodzajów danych osobowych. W ogólnym rozporządzeniu oddzielono lub wydzielono, jak kto woli, dane dotyczące wyroków skazujących i naruszeń prawa, umiejscowione poprzednio w zakresie danych szczególnych kategorii. Tym samym, od ponad dwóch lat dane osobowe klasyfikujemy wg 3 rodzajów:

  1. dane szczególnych kategorii – artykuł 9 RODO,
  2. dane dotyczące wyroków skazujących i naruszeń prawa – artykuł 10 RODO,
  3. dane pozostałe, potocznie nazywane „zwykłymi”.

Dane wrażliwe

Odpowiadając na pytanie postawione w tytule, dane wrażliwe to rodzaj danych szczególnych kategorii wymienione w artykule 9 RODO. Należą do nich dane ujawniające:

  • pochodzenie rasowe lub etniczne;
  • poglądy polityczne;
  • przekonania religijne lub światopoglądowe;
  • przynależność do związków zawodowych;
  • dane genetyczne;
  • dane biometryczne, wykorzystywane w celu jednoznacznego zidentyfikowania osoby fizycznej;
  • dane dotyczące zdrowia;
  • dane dotyczące seksualności lub orientacji seksualnej.

Przesłanki dla przetwarzania dla danych wrażliwych

Dane wrażliwe możemy przetwarzać, gdy zaistnieje jedna z przesłanek wymienionych w art. 9 w ustępie 2 i 4 RODO. Dopuszczalnymi przesłankami są (wersja skrócona na potrzeby niniejszego artykułu; do analizy pełnej treści zapraszam do rozporządzenia):

  • zgoda osoby;
  • wypełnianie obowiązków i wykonywanie szczególnych praw, w określonych dziedzinach;
  • ochrona żywotnych interesów osoby;
  • przetwarzanie w ramach uprawnionej działalności;
  • sytuacje, kiedy dane zostały upublicznione przez osobę;
  • ustalenie, dochodzenie lub obrona roszczeń, albo w ramach sprawowania wymiaru sprawiedliwości przez sądy;
  • ważny interes publiczny;
  • profilaktyka zdrowotna lub medycyna pracy, zapewnienie opieki zdrowotnej lub zabezpieczenia społecznego, leczenie / zarządzanie systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego;
  • interes publiczny w dziedzinie zdrowia publicznego, zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych;
  • cele archiwalne w interesie publicznym, cele badań naukowych, historycznych lub cele statystyczne.

„Wisienka na torcie” w zakresie owianej mistycyzmem i kreowanej nadrzędności RODO nad innymi przepisami prawa, zawarta w artykule 9 ustępie 4, którą pozwolę sobie zacytować w całości:

  • Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

W ramach dobrej praktyki zalecić mogę, aby dla wybranej przesłanki przetwarzania danych szczególnych kategorii z tzw. „9”, ze względu na zastosowane przez regulatora zapisy w tym artykule (m.in.:  o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego; na podstawie prawa Unii lub prawa państwa członkowskiego) połączyć z jedną z przesłanek wynikających z artykułu 6 RODO.

Dygresja na zakończenie

Pokłosiem artykułu o danych wrażliwych jest rozróżnienie rodzajów danych osobowych sklasyfikowanych w RODO. Dlatego też pozwolę sobie na małą dygresję dotycząca treści umów powierzenia i wymagań dla ich zawartości określonej w art. 28 ustęp 3 RODO. W umowach powierzenia mamy obowiązek wpisać m.in.: rodzaj danych oraz kategorie osób, których dane dotyczą, a nie kategorie danych osobowych, które z uporem maniaka nadal są wpisywane w umowach. Gdy ograniczamy się do zapisów dla kategorii danych wynikających z artykułu 9 lub 10 RODO, to nie widzę przeszkód, ale już w przypadku możliwych kategorii danych zwykłych, pojawia się problem. Jeśli dojdzie do przetwarzania danych przez podmiot przetwarzający, to pominięcie jakiejś kategorii danych przez IOD lub prawnika administratora stanowi realne zagrożenie dla wykonania umowy, gdy ta pominięta kategoria pojawi się w procesie przetwarzania.

Reklama

Jak zgłosić naruszenie RODO?

Autor: Łukasz Kolatorski

Naruszenie ochrony danych osobowych to coś, czego zapewne każdy Administrator, Podmiot Przetwarzający czy Inspektor Ochrony Danych, chcieliby uniknąć. Niestety jest wysoce prawdopodobne, iż patrząc przez pryzmat rozwoju nowych technologii i możliwości, jakie nam dają, nie unikniemy tego typu sytuacji. W przypadku naruszeń  ochrony danych osobowych należy sobie zadać pytanie nie „czy”, ale „kiedy” i „jak” do niego dojdzie oraz „kto” będzie za to odpowiedzialny; ewentualnie „jaka będzie skala naruszenia oraz skutków” dla osób, których dane dotyczą oraz dla organizacji.

Nawet jeśli jesteście organizacją o bardzo wysokiej kulturze bezpieczeństwa i strzeżecie swoich danych niczym najlepsze na świecie służby (celowo nazwy nie wymieniam, ponieważ każda z postrzeganych za najlepsze ma swoje plusy i minusy, więc to kwestia gustu, a o nim się nie dyskutuje), to i tak do wycieku danych i naruszenia u was doszło (gorzej, jeśli o tym nie wiecie) lub dojdzie (tu nie macie pewności kiedy, jak i kto). Można jednak przyjąć założenie, że będzie to wynikało z błędu ludzkiego (wewnątrz organizacji), celowego działania (ataku z zewnątrz, np. działania hakerów lub kradzież) lub w dalszej kolejności błędu systemowego (oprogramowania), przy czym katalog pozostawiam otwarty. Znane powiedzenie mówi, że „Polak potrafi”, a za naszą specjalność można uznać wyszukiwanie luk w systemie.

Stało się… i co teraz?

Pominę aspekt rozważań teoretycznych na temat samych naruszeń, ich genezy, podstaw i całej towarzyszącej im otoczki. Zajmiemy się natomiast zgłaszaniem naruszeń. Z reguły jest to bardzo proste. Wystarczy wejść na stronę Urzędu Ochrony Danych Osobowych i w zakładce dla Administratorów mamy link do artykułu: W jaki sposób powiadomić Prezesa UODO o naruszeniu. Mamy 4 możliwości zgłoszenia, a mianowicie:

  1. Elektronicznie, poprzez wypełnienie dedykowanego formularza dostępnego bezpośrednio na platformie biznes.gov.pl, będącego odwzorowaniem formularza dostępnego w załączniku.
  2. Elektronicznie, poprzez wysłanie wypełnionego formularza na skrzynkę podawczą ePUAP: /UODO/SkrytkaESP
  3. Elektronicznie, poprzez wysłanie wypełnionego formularza (dostępnego w załączniku poniżej) za pomocą pisma ogólnego, dostępnego na platformie biznes.gov.pl (Jak znaleźć Urząd w formularzu pisma ogólnego?) lub platformie epuap.gov.pl
  4. Tradycyjną pocztą, wysyłając wypełniony formularz na adres Urzędu.

Dodatkowo, na stronie UODO znajdziemy potrzebne do wykonania zgłoszenia:

  1. Wytyczne dotyczące ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego (WP 244 rew. 01);
  2. Zgłoszenie naruszenia ochrony danych osobowych – formularz alternatywny;
  3. Zgłoszenie naruszenia ochrony danych osobowych – formularz interaktywny.

Kolejny klickbajt?

W zasadzie w tym miejscu mógłbym zakończyć niniejszy artykuł, dodając, że pomocy możecie szukać w art. 33 i 34 RODO oraz motywach 85-88, ale z szacunku dla czytających tego nie zrobię. Przejdźmy zatem do analizy formularza.

  1. Typ zgłoszenia

Wskazujemy sygnaturę sprawy, przy okazji UODO sprawdza, czy mamy własny rejestr naruszeń. Określamy zgłoszenie jako kompletne, wstępne lub uzupełniające w zależności od okoliczności sprawy – informacje o naruszeniu możemy przekazywać stopniowo. Ponadto możemy poinformować, czy zgłoszenie miało miejsce dodatkowo w innym państwie oraz czy wymagane było poinformowanie innych organów, np. Policji czy któregoś z resortowych Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego.

  1. Podmiot zgłaszający

W dostępnych polach wpisujemy dane rejestrowe administratora zgłaszającego sprawę – chodzi o dane z KRS lub CEIDG oraz dane kontaktowe – w tym dane pełnomocnika i inspektora ochrony danych osobowych, jeśli został wyznaczony (tu UODO od razu sprawdzi, czy powołaliśmy IODa, gorzej dla nas, jeśli nasza działalność wymaga jego powołania, a jego brak) oraz podmiotu przetwarzającego, jeśli brał udział w zgłaszanym naruszeniu.

  1. Czas naruszenia

Opisujemy czas stwierdzenia naruszenia, to bardzo ważne w kontekście wymogu 72h na zgłoszenie od momentu jego stwierdzenia – celowo podkreślam to słowo, co wynika z zawodowej traumy po przerobieniu licznych umów powierzenia i jałowych dyskusji na temat tego, czym jest faktycznie stwierdzenie naruszenia. Ponadto sposób stwierdzenia naruszenia, datę powiadomienia przez podmiot przetwarzający oraz ewentualnie powód opóźnienia, jeśli od momentu stwierdzenia do momentu zgłoszenia upłynęło wspomniane 72h (przy rozsądnym powodzie opóźnienia, możemy złożyć zgłoszenie później). Na koniec opisujemy czas trwania naruszenia- od kiedy do kiedy miało miejsce lub wskazujemy, iż trwa nadal, co w przypadku ataków ransomware i braku odpowiednich zabezpieczeń danych jest wysoce prawdopodobną sytuacją.

  1. Charakter naruszenia

W tym miejscu opisujemy szczegółowo naruszenie, podajemy, z jakim zdarzeniem było powiązane (mamy możliwość wybrania ze wskazanych przez UODO w formularzu opcji). Jeśli naruszenie wynikło z działania złośliwego oprogramowania, możemy to w tym punkcie opisać. Dodatkowo wskazujemy przyczyny naruszenia i jego charakter oraz zaznaczamy, czy dotyczy ono dzieci, jeśli miało związek ze świadczeniem usług w ramach społeczeństwa informacyjnego (dla przypomnienia- w Polsce granicę wieku ustalono na lat 16). Swoją drogą, zapisy niniejszego punktu w formularzu można wykorzystać do podnoszenia świadomości pracowników w ramach szkoleń i akcji informacyjnych. Nie spotkałem się, aby dało się prościej zobrazować współpracownikom, co rozumieć przez naruszenie, a przede wszystkim, że to już naruszenie, a nie incydent.

  1. Lista osób i wpisów

Jak nazwa wskazuje, określamy ilościowo osoby oraz wpisy, jakich dotyczy naruszenie. Warto zapoznać się z wyjaśnieniem dla liczy wpisów.

  1. Kategorie danych osobowych

Z kolei w tym miejscu wskazujemy na kategorie danych, które UODO podzieliło wg przyjętej klasyfikacji rodzajów danych osobowych w RODO – w tym, na dane szczególnych kategorii, dane dotyczące wyroków skazujących i naruszeń prawa oraz dane podstawowe (w naszej nomenklaturze bardziej rozpoznawalne jako dane zwykłe).

  1. Kategorie osób

Wybieramy z zaproponowanych przez UODO w formularzu, ewentualnie mamy możliwość dodatkowego opisania kategorii osób zastosowanej na nasze wewnętrzne potrzeby organizacji. Tu RODO daje nam swobodę, a UODO podpowiada.

  1. Możliwe konsekwencje

Opisujemy, jakie możliwe konsekwencje naruszenia mogą dotknąć osoby, których danych dotyczy naruszenie. W tym miejscu UODO kolejny raz wychodzi naprzeciw zgłaszającym, zamieszczając listę konsekwencji do wyboru wraz z pozostawieniem miejsca do wpisania innej potencjalnej konsekwencji, jeśli taka wyszła nam przy ocenie skutków dla ochrony danych osobowych, wynikłej z analizy ryzyka dla operacji przetwarzania danych – zwłaszcza tych z użyciem nowych technologii. Ponadto wskazujemy, czy naruszenie, jakie miało miejsce, stwarza wysokie ryzyko naruszenia praw i wolności osób.

  1. Środki bezpieczeństwa i środki zaradcze

W tym punkcie mamy za zadanie opisać trzy rzeczy, odnoszące się do zastosowanych w naszej organizacji technicznych i organizacyjnych środków bezpieczeństwa, mających zabezpieczyć przetwarzane przez organizację dane osobowe. Musimy wskazać, jakie działania naprawcze podjęliśmy, aby „uszczelnić” system na przyszłość oraz wskazać, jakie środki zaradcze podjęliśmy i zaproponowaliśmy poszkodowanym po naruszeniu. W celu zminimalizowania negatywne skutków dla osób, których dane dotyczą, a które zostały dotknięte naruszeniem. Przy okazji w połączeniu z pkt. 8 mamy wstęp do punktu 10 i powiadomienia osób.

  1. Czy osoby, których dane dotyczą, zostały zawiadomione o naruszeniu?

Jeśli powaga sytuacji tego dotyczy to mamy w tym punkcie określić, czy poinformowaliśmy osoby o wycieku danych osobowych vide wymagania art. 34 RODO. Opisujemy podjęte czynności i czas, a także formę powiadomienia. W punkcie tym możemy dodatkowo wskazać, iż nie poinformowaliśmy osób, jeśli sytuacja tego nie wymaga lub że jeszcze nie analizowaliśmy potrzeby poinformowania osób, których dane dotyczą.

  1. Przetwarzanie transgraniczne

Na koniec wskazujemy – o ile dotyczy – czy naruszenie, które zgłaszamy, ma charakter przetwarzania transgranicznego. Niech Was nie zmyli fakt, iż do wyboru mamy kraje EOG, ponieważ w punkcie tym chodzi o „przetwarzanie”, a nie „przekazanie” do państw trzecich. Swoja drogą w formularzu brakuje mi osobnego miejsca do wskazania, że naruszenie miało miejsce w związku z przekazaniem danych – modne w kontekście wyroku ws. Schrems II i unieważnienia Privacy Shield oraz wykazania zastrzeżeń co do zasad ochrony danych osobowych rezydentów UE przekazywanych do USA. Można sobie jednak i z tym poradzić, opisując szczegóły, np. w punkcie 4 formularza.

Podsumowanie

Tym sposobem docieramy do końca naszego zgłoszenia. Pozostał już tylko podpis tradycyjny lub elektroniczny i możemy wysyłać formularz, a potem czekać na dalszą komunikację ze strony Urzędu. Na pewno sam fakt wystąpienia naruszenia nie będzie działał na naszą korzyść. Jednakże  fakt złożenia zawiadomienia do UODO będzie środkiem łagodzącym przy ewentualnej wysokości kary, jaką UODO może na nas nałożyć na gruncie art. 83 RODO. Co wcale nie oznacza, że musi karę nałożyć vide art. 58 RODO.

Reklama

Konsekwencje niespełnienia wymagań RODO

Autor: Łukasz Kolatorski

Myśląc o RODO, często pomijanym lub zapominanym zagadnieniem są uprawnienia naprawcze organów nadzorczych. Zazwyczaj skupiamy się na niebotycznych karach finansowych- działających na wyobraźnię 10-20 mln euro lub 2-4% całkowitych światowych obrotów organizacji.

Powodów takiego przedstawiania konsekwencji nieprzestrzegania RODO może być kilka m.in.: uprawnienia naprawcze nie zwiększają poczytności i klik bajtów; same organy nadzorcze po rozpoczęciu obowiązywania RODO skupiły się raczej na nakładaniu kar finansowych, niżeli na korzystaniu z owych uprawnień naprawczych.

Patrząc na te uprawnienia przez pryzmat krajowego „podwórka”, mamy ciekawy przypadek, który przy wprowadzeniu ograniczenia lub zakazu przetwarzania danych, mógłby zmienić optykę postrzegania konsekwencji nieprzestrzegania przepisów o ochronie danych osobowych osób fizycznych.

Czym są uprawnienia naprawcze?

Uprawnienia naprawcze to nic innego, jak katalog specjalnych uprawnień organów nadzorczych, z których mogą i powinny korzystać krajowe organy, zajmujące się ochroną danych osobowych osób fizycznych przebywających na terytorium UE, w przypadku kiedy w ramach prowadzonego postępowania sprawdzającego, wyjaśniającego lub kontrolnego stwierdzą niezgodności w zakresie wymogów stawianych przez RODO dla przetwarzania danych osobowych. Katalog ten możemy znaleźć w artykule 58 ust. 2 RODO. Zanim przejdę do analizy zapisów, poniżej przedstawiam wspomniany katalog:

  1. Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:

a) wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu, dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;

b) udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;

c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;

d) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;

e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;

f) wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;

g) nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych, lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;

h) cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;

i) zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy;

j) nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

Z powyższego katalogu możemy całkowicie pominąć zapis z punktu „h”, ponieważ certyfikacja na gruncie RODO na chwilę obecną znajduje się w dziale baśni i legend.

Uprawnienia naprawcze- co i kiedy?

Uprawnienia naprawcze możemy podzielić według reakcji organu nadzorczego na wysokie prawdopodobieństwo wystąpienia naruszenia lub naruszenie przepisów.

Rozpocząć należy od ostrzeżenia, co do możliwości naruszenia przepisów. To nic innego, jak wskazanie potencjalnych niezgodności dla planowanych operacji przetwarzania, które organ wychwycił na etapie prowadzonych konsultacji z administratorem lub podmiotem przetwarzającym, gdy jeden z nich zgłosił się do organu z wykorzystaniem trybu przewidzianego w art. 36 RODO, po przeprowadzeniu oceny skutków dla ochrony danych – DPIA (data protection impact asesment). W tym przypadku już na wstępie dowiadujemy się, że planowane przez nas operacje przetwarzania w kształcie, jaki zaproponowaliśmy w konsultacjach z organem nadzorczym, nie spełniają wymogów rozporządzenia, a zastosowane przez nas środki minimalizujące ryzyko naruszenia praw i wolności są nadal niedostateczne, abyśmy mogli rozpocząć przetwarzanie danych. Z punktu widzenia biznesu to zarówno źle, jak  i dobrze. Źle, bo musimy zmodyfikować nasz proces i dostosować go do przepisów, co opóźni rozpoczęcie naszych działań. Dobrze, ponieważ mamy pewność, że odpowiednio zarządzamy ryzykiem, mitygujemy je i nie narażamy się na karę finansową.

Organ nadzorczy, w ramach przeprowadzonego postępowania wyjaśniającego, sprawdzającego lub kontrolnego w momencie, gdy uzna, iż naruszone zostały przepisy RODO, może upomnieć przetwarzającego, iż ten naruszył przepisy rozporządzenia. Jest to jeden z najłagodniejszych i najmniej inwazyjnych środków naprawczych, jakie organ może zastosować. Wykorzystywany powinien być w sytuacjach, gdy okoliczności naruszenia nie stanowią istotnego zagrożenia dla praw i wolności osób, których dane dotyczą, a wychwycona niezgodność wymaga jedynie korekty ze strony przetwarzającego.

Kolejnym uprawnieniem jest nakazanie spełnienia żądania osoby, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia. W tym przypadku jeszcze nie jest źle, ale powinniśmy jako organizacja mieć się na baczności, ponieważ nie dość, że nie realizujemy wymagań rozporządzenia, to jeszcze podmiot danych – zapewne odbijając się ze swymi żądaniami od przyjętych przez nas założeń – postanowił skorzystać z pomocy organu nadzorczego, aby ten zainterweniował w jego sprawie i, co gorsza, miał rację. W tym przypadku nie mamy innego wyjścia, jak tylko spełnić żądanie osoby bez zbędnej zwłoki, aby nie sprowadzić na siebie kontroli organu nadzorczego w naszej organizacji. Istnieje duże prawdopodobieństwo, że w przypadku kontroli, gdy organ zacznie szukać, to znajdzie coś, co będzie niekorzystne dla naszej organizacji.

Następnym uprawnieniem naprawczym organów nadzorczych jest nakaz dostosowania operacji przetwarzania do przepisów rozporządzenia, gdzie w niektórych przypadkach może to zostać  „ubrane” we wskazanie sposobu i terminu wykonania. Tu zaczynają się robić dla nas, jako organizacji, schody. Organ nadzorczy może zacząć nam dyktować warunki, według których mamy spełnić jego żądanie. Dla organizacji z miernym pojęciem o ochronie danych osobowych i niedostatecznym budżetem może to być dopiero początek krętej drogi, skazanej na niepowodzenie. Szycie rozwiązań na miarę pod presją czasu, pod rygorem wymagań kogoś, kto nie zna realiów naszej działalności, może być poprzeczką zawieszoną za wysoko, potęgowaną dodatkowo przez ograniczony zasób czasu w momencie, gdy organ nadzorczy wyznaczy nam określony termin.

Zawiadomienie osoby o naruszeniu jej dóbr z reguły jest łatwą sprawą, ale tutaj istotne znaczenie odegra kontekst naszego przetwarzania i dane kontaktowe, które posiadamy. Jeśli dysponujemy mailem lub telefonem, sprawa jest w miarę prosta. Natomiast w przypadku braku wymienionych danych, rozsyłanie listów papierowych, gdy znamy tylko np. adresy korespondencyjne, może być kłopotliwe, a wręcz niewykonalne, zwłaszcza gdy te dane nie są aktualne (jeszcze gorzej dla nas, gdy wyjdzie to na jaw podczas kontroli).

Podpunkt „f” art. 58 ust. 2 to swoista „wisienka na torcie” uprawnień naprawczych organów nadzorczych. Dlaczego? Wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania – nie trzeba chyba tłumaczyć, co to oznacza. Przy „złotym strzale” organu, zastosowanie tego środka naprawczego oznacza koniec działalności firmy. Więc jeśli ktoś obawia się kary finansowej, którą ostatecznie nawet po odrzuceniu zaskarżenia jakoś się zapłaci, firma będzie działać dalej, a poniesione koszty w przyszłości się odrobi (przy założeniu, że sytuacja finansowa nie jest w tragicznym stanie), niech lepiej przewartościuje postrzeganie konsekwencji, jakie może za sobą nieść nieprzestrzeganie, a wręcz łamanie przepisów RODO z premedytacją.

Nakazanie zastosowania się do szczególnych praw podmiotu danych wynikających z art. od 16 do 19, a mianowicie: sprostowanie danych, usunięcie danych, ograniczenie przetwarzania oraz powiadomienie osoby, której dane dotyczą o wykonaniu wymienionych czynności. Prawa osób są dość obszerne, aby je streścić w jednym artykule, należy zawsze brać pod uwagę kontekst, charakter i cel przetwarzania. Natomiast wątek, na jaki należy zwrócić w tym miejscu uwagę, to obowiązek poinformowania odbiorców danych, którym te dane udostępniono m.in. nasi partnerzy, dostawcy itp.

Zbliżając się ku końcowi, żeby nie było zbyt łatwo, organy nadzorcze mogą, „oprócz” zastosowanych uprawnień naprawczych, dołożyć w uzasadnionych przypadkach karę finansową przewidzianą na mocy art. 83. Jeśli będziemy mieli szczęście, to karę otrzymamy zamiast uprawnień naprawczych.

Ostatnim uprawnieniem, które przysługuje organom nadzorczym, jest nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej. Może to być kłopotliwe pod kątem realizacji naszych podstawowych procesów wiążących się z przetwarzaniem danych, jeśli są one uzależnione od przepływu danych, abyśmy mogli prowadzić określoną działalność zarobkową.

Podsumowanie

Myśląc o RODO jako przepisach i wymaganiach, nie ograniczajmy się jedynie do postrzegania rozporządzenia poprzez pryzmat samych kar finansowych. Co zatem mogę Wam polecić? Pamiętajcie o solidnym przeglądzie Waszych procesów oraz dodatkowo o kilku poniżej zawartych punktach:

  1. Ilu prawników, inspektorów czy specjalistów, tyle będzie opinii i punktów widzenia – dodatkowo to, jak wspomniana osoba podejdzie do sprawy, zależy również od Was- w jaki sposób sprawę przedstawicie, tzn. co powiecie, a czego nie.
  2. Zwykle obowiązują dwie zasady- po pierwsze organ nadzorczy wie wszystko najlepiej, po drugie jest autorytetem.
  3. Jeśli nie będziecie się zgadzać z decyzją organu nadzorczego i dojdziecie do etapu sądowego, zawsze pogodzić Was i Waszych reprezentantów z organem nadzorczym może sędzia, który może zauważyć więcej niż organ nadzorczy – tu przyda się analiza pierwszej nałożonej w Polsce kary z RODO.
  4. Niezależnie od szybkich i lukratywnych zysków, jakie może przynieść Wam niedozwolone przetwarzanie, przeanalizujcie dobrze własne ryzyko i oszacujcie potencjalne straty; będzie dobrze, jak w najlepszym przypadku wyjdziecie na zero.
Reklama

Zrozumieć wymagania RODO

Jednym z większych problemów w stosowaniu RODO jest rozumienie jego wymagań. Mimo że są dość precyzyjnie opisane w artykułach, a wyjaśnione dodatkowo w motywach (oznaczone w nawiasach na początku aktu prawnego), wciąż stosowane bywają założenia i przekonania wypracowane przez 20 lat obowiązywania wcześniejszych rozwiązań prawnych.

Wykładnia słownikowa

Zaskakujące jest to, że wielu specjalistów RODO stosuje wykładnię słownikową, a więc dokładnie, wręcz co do przecinka, czytają akt prawny, który jednak w swoim założeniu jest napisany nieco inaczej niż polskie przepisy. Przypomnijmy, akt ten jest prawem europejskim, stosowane są do niego zasady europejskie. W Polsce zasady tworzenia przepisu prawnego (co powinien zawierać, czego nie powinien) określa natomiast tzw. technika prawodawcza. Jest ona szeregiem zasad zebranych w załączniku do Rozporządzenia Prezesa Rady Ministrów z dnia 20 czerwca 2002 r. w sprawie “Zasad techniki prawodawczej”.

Z powodu różnic w podejściu do aktów prawnych w różnych krajach i tego, że RODO musi być aktem uniwersalnym, możliwym do stosowania w krajach o różnym sposobie stanowienia i stosowania prawa, wykorzystanie naszych krajowych metod do „rozumienia” bywa nieco zdradliwe. Jednym z takich przykładów jest „wykładnia” jednego z prawników, dotycząca obowiązku podjęcia działań związanych z naruszeniem ochrony danych osobowych. Cytat z przepisu:

Art. 34.1 Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Otóż na podstawie literalnego i wręcz dosłownego przeczytania przepisu, zdaniem tego specjalisty nie wymaga poinformowania takie naruszenie, które dotyczy naruszenia praw jednej osoby. Ponieważ w przepisie jest napisane, że musi być wysokie ryzyko naruszania praw lub wolności osób, nie osoby.  Pozostawiamy czytelnikom zestawienie tej interpretacji z celem wdrożenia RODO, motywami wyjaśniającymi cel i zasady stosowania w tym też art. 33 i 34 RODO.

Reasumując ten krótki wstęp, RODO sprawia problemy interpretacyjne, utrudniające identyfikację wymagań, a więc tego, co należy zrealizować, czy jaki stan osiągnąć.

RODO jako kompletny poradnik?

RODO jest napisane w taki sposób, aby było kompletnym poradnikiem wdrożenia. Przypomina nieco normy ISO, które w jednym zeszycie zawierają zarówno wymagania do wdrożenia (requirements), jak i przewodnik, i poradnik (guidline). W zakresie wymagań natomiast skupia się na realizacji zasad fundamentalnych, zawartych w art. 5. Pozostałe artykuły, a w niektórych przypadkach całe rozdziały zawierają uszczegółowienie co do przedsięwzięć, jakie należy wdrożyć, aby uzyskać zgodność z przepisem, a w efekcie (to jest istotniejsze) ochronę osoby fizycznej w związku z przetwarzaniem jej danych osobowych,

Jednym z ciekawszych wymagań w RODO jest rozliczalność, co do której bywają problemy z wykazaniem. Zacytujmy przepis z art. 5 (jeden z fundamentów):

 Art. 5.2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Pozostając przy koncepcji, w której art. 5 stanowi fundamenty, a pozostałe przepisy określają, co należy robić, przyjrzyjmy się obowiązkowi rozliczalności. W trakcie jednego z warsztatów na szkoleniu Audytor RODO uczestnicy wybrali jako ćwiczenie zrozumienie wymagań art. 24. Zacytujmy:

Art. 24.1.   Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Co administrator ma zrobić? (zadania):

  • Przetwarzanie ma się odbywać zgodnie z rozporządzeniem (RODO),
  • Administrator musi udowodnić (wykazać), że tak się dzieje.

Jak ma to zrobić? (wymagania ogólne):

Wdrażając odpowiednie środki:

  • Techniczne,
  • Organizacyjne

Jak je dobrać (wymagania szczegółowe):

Uwzględniając:

  • Charakter przetwarzania,
  • Kontekst przetwarzania,
  • Cele przetwarzania,
  • Ryzyko naruszenia praw i wolności.

Spory zestaw wymagań praktycznie do każdego przepisu. Dla próby w trakcie szkolenia wykonaliśmy identyfikację wymagań z art. 12 RODO. Wstępnie miał być 13, ale jako że art. 13 jest przepisem instrukcyjnym, precyzyjnie określającym zawartość treści informacji dla osoby, wróciliśmy do art. 12.

Wymaganie art. 12.1

Co jest treścią wymagania z art. 12.1? Wbrew pozorom nie jest to dostarczenie informacji zwięzłej, jasnej, przejrzystej. Zacytujmy przepis:

12.1.   Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem (…)

Ta część przepisu wymaga, aby administrator podjął odpowiednie środki do uzyskania efektu. Dlaczego wymaganiem tym nie jest efekt w postaci zrozumienia? Ponieważ ten jest określony jako cel wynikający z zasad fundamentalnych RODO, art. 5.1.a.

Zasady fundamentalne mają określone sposoby wykonania, działania, wymagania, co do realizacji w dalszych przepisach RODO. Warto też pamiętać o art. 5.2 oraz 24, czyli o rozliczalności. W tym konkretnym aspekcie administrator musi „rozliczyć” podjęcie środków. Najczęstszą niezgodnością w tym zakresie jest brak jakiegokolwiek działania zmierzającego do tego, aby informacje były zrozumiałe, zwięzłe i napisane prostym i jasnym językiem. Użycie języka prawniczego, np. nazwanie informacji klauzulą informacyjną, przeniesienie bez wyjaśnienia definicji z przepisu w sytuacji, gdy odbiorcą komunikatu (osobą, której dane są przetwarzane) jest osoba bez wykształcenia prawniczego, z  wykształceniem ogólnym, jest tylko dowodem na niezrozumiałość komunikatu. Aby poprawnie określić niezgodność i wskazać rekomendacje, konieczne jest pozyskanie informacji, co administrator zrobił, aby ten komunikat był zrozumiały dla odbiorcy. Analogicznie do tego toku rozumowania pisane są uzasadnienia do decyzji i wskazane naruszenia z przepisów prawa przez organy nadzorcze. Wskazują one często naruszenie konkretnego przepisu z dalszej części RODO, jednocześnie odnosząc się do zasad fundamentalnych z art. 5 jako skutku.

Jak napisaliśmy na początku – RODO jest poradnikiem i wymaganiem w jednym.

Podsumowanie.

Zrozumienie wymagań jest kluczowe do poprawnego audytowania oraz poprawnego wdrożenia systemu ochrony danych osobowych w organizacji. Popularnie nazywa się to „wdrożeniem RODO”. Jednak to nie przepisy prawa są wdrażane, a system opracowany przez twórcę, spójny z organizacją, biorący pod uwagę kontekst, charakter i cele przetwarzania, wiedzę techniczną oraz wyniki pochodzące z szacowania i oceny ryzyka.

Przy tej ilości parametrów do spełnienia naturalnym efektem jest to, że system w każdej organizacji jest inny. Podobieństwo występuje jedynie w przebiegu procesu wdrożenia, a więc konkretne czynności, jakie należy wykonać, aby zidentyfikować wszystkie te parametry, uwzględnić je w założeniach do projektu, a następnie wdrożyć, a więc doprowadzić do stanu, w którym system będzie działał.

Reklama

#RODOmaniacy w Social

941FaniLubię
2,327ObserwującyObserwuj
29SubskrybującySubskrybuj
- Advertisement -

Ostatnio dodane