W dniu 14 kwietnia 2016 roku ostatecznie zakończono trwające ponad 4 lata prace nad reformą ochrony danych osobowych w Unii Europejskiej. W tym dniu Parlament Europejski przyjął ogólne rozporządzenie o ochronie danych osobowych[1], w skrócie zwane również RODO/GDPR, które będzie stosowane już za około rok czyli 25 maja 2018 r.
Uzasadnieniem wprowadzenia nowych ram prawnych była z jednej strony potrzeba unifikacji zasad ochrony danych osobowych we wszystkich państwach członkowskich Unii Europejskiej. Z drugiej strony przyczyną reformy było dostosowanie zasad przetwarzania danych do aktualnego stanu wiedzy technologicznej. Dlatego też RODO w istotny sposób zmienia obowiązki administratorów danych osobowych, których realizacja może stanowić dla administratorów danych nie lada wyzwanie.
Największym wyzwaniem jakiemu będą musieli sprostać administratorzy danych jest zapewnienie zabezpieczenia danych osobowych, które będą adekwatne w stosunku do zagrożeń. RODO wprowadza w tym zakresie podejście oparte na ryzyku (ang. risk-based approach).
Nowe przepisy odchodzą od jednakowego traktowania wszystkich podmiotów w zakresie obowiązku zabezpieczania danych osobowych. Nakazują one dostosowanie zabezpieczeń do ryzyk związanych z przetwarzaniem danych osobowych, które u każdego z administratorów mogą być inne. Zastępują one w tym zakresie obecne podejście legalistyczne, które szczegółowo określa zabezpieczenia, jakie powinni wdrożyć administratorzy danych osobowych, by być zgodni z prawem. W praktyce podejście oparte na ryzyku oznacza, że administratorzy będą musieli samodzielnie oceniać pod względem ryzyka procesy przetwarzania danych, posiadane systemy informatyczne, a także swoich kontrahentów oraz dobierać odpowiednie zabezpieczenia w stosunku do zagrożeń z nimi związanych.
Podejście to może być najbardziej efektywnym narzędziem ochrony danych, a także zapewniać najwyższy stopień ochrony w stosunku, zarówno do zagrożeń, jak i możliwości administratorów danych. Umożliwia ono wszystkim administratorom danych samodzielne zdecydowanie o zaangażowaniu środków w obszarach, w których ryzyko naruszenia zabezpieczeń czy praw osób, których dane dotyczą jest dla nich największe. Dzięki niemu organizacje mogą priorytetyzować zadania oraz odpowiednio kierować zasoby w celu minimalizacji największych ryzyk.
W stosunku do podejścia legalistycznego, podejście oparte na ryzyku wymaga bardziej całościowego spojrzenia na ochronę danych osobowych, a nie ograniczania się tylko do wdrożenia zabezpieczeń określonych przez prawo. Brak precyzyjnych wytycznych ze strony ustawodawcy unijnego jest spowodowany częstą zmianą zagrożeń oraz sposobów ochrony przed nimi. Środki zabezpieczeń powinny gwarantować „odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność)”[2]. Ustawodawca unijny wskazał przykładowe środki służące zapewnieniu bezpieczeństwa. Są nimi:
Podejście oparte na ryzyku, mimo jego wielu zalet posiada też jedną poważną wadę - jest mocno subiektywne. Samodzielne dostosowywanie przez administratorów danych zabezpieczeń do ryzyka, bez posiadania przez nich odpowiednich wytycznych może być w dużej mierze dokonywane niewłaściwe. Ma to znaczenie w szczególności w przypadku małych i średnich przedsiębiorców, których świadomość w zakresie ochrony danych osobowych jest wciąż na dość niskim poziomie. Podmioty te mogą mieć duże problemy przy identyfikacji ryzyka związanego z ochroną danych, a także z dobraniem odpowiednich zabezpieczeń w stosunku do nich. W tym też zakresie mogą zdarzać się sytuacje, w których przedsiębiorcy mimo dołożenia należytej staranności w zakresie zabezpieczeń i tak staną się ofiarami incydentów godzących w ochronę danych.
Powyższy problem został zauważony również podczas prac nad projektem nowych polskich przepisów. Projekt polskiej ustawy wdrażającej RODO[3] przyznaje przyszłemu organowi nadzorczemu uprawnienia do opracowywania niewiążących wykazów dobrych praktyk dotyczących odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO oraz polską ustawą. Rozwiązanie to należy uznać za słuszne oraz zgodne z duchem podejścia opartego na ryzyku. Zapewni ono administratorom danych poczucie pewności stosowania prawa, przy czym będzie również bardziej elastyczne i łatwiejsze do zmian niż uregulowanie tej kwestii w nowej ustawie.
Ogólne rozporządzenie jako nowość wprowadza również sankcje finansowe za jego nieprzestrzeganie. Sankcje mają być nakładane w trybie administracyjnym przez organy nadzoru. Kary finansowe mogą sięgać aż do 20 000 000 EUR lub 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Za brak wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa przetwarzania danych osobowych administratorzy danych mogą zostać ukarani maksymalnie do 10 000 000 EUR lub 2 % całkowitego rocznego światowego obrotu. Należy jednak pamiętać, że kary mają charakter wtórny. Są one dopiero konsekwencją nieprzestrzegania prawa, nawet tego które jest nie do końca klarowne.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, s. 1).
[2] Zgodnie z artykułem 5 ust. 1 lit. f) RODO.
[3] https://mc.gov.pl/files/projekt_ustawy_o_ochronie_danych_osobowych_28.03.2017.pdf
Autor:
Maciej Chodorowski
Prawnik, ekspert ds. ochrony danych osobowych w firmie doradczej Omni Modo. Absolwent WPiA UMCS w Lublinie. Doświadczenie zawodowe zdobywał w firmach konsultingowych zajmujących się bezpieczeństwem informacji. Redaktor naczelny portali e-ochronadanych.pl oraz gdpr.pl oraz autor bloga JakChronicInformacje.pl. Współautor publikacji: „Ogólne rozporządzenie o ochronie danych osobowych – wybrane zagadnienia” – autor rozdziału: „Nowe prawa i obowiązki administratorów bezpieczeństwa informacji (inspektorów ochrony danych) w świetle najnowszych opinii wydanych przez Grupę Roboczą Art. 29”. W Omni Modo obsługuje podmioty z szeroko pojętej branży produkcyjnej, e-commerce oraz kreatywnej. Specjalizuje się w przetwarzaniu danych osobowych w marketingu internetowym oraz w problematyce powiązań danych osobowych z tajemnicą przedsiębiorstwa.