Spis treści
RODO (Ogólne rozporządzenie o ochronie danych) – funkcjonujące w obrocie międzynarodowym jako GDPR – obowiązuje od 25 maja 2018 r. i nakłada na administratorów oraz podmioty przetwarzające konkretne obowiązki związane z ochroną danych osobowych. Kluczowe pytanie brzmi jednak: kogo te obowiązki dotyczą w praktyce?
RODO dotyczy każdego, kto przetwarza dane osobowe
RODO obejmuje każdy podmiot, który przetwarza dane osobowe osób fizycznych – niezależnie od tego, czy robi to na dużą skalę, czy w niewielkim zakresie. Przetwarzanie to pojęcie szerokie: nie oznacza wyłącznie zbierania i przechowywania danych, ale także ich porządkowanie, modyfikowanie, udostępnianie, usuwanie, a nawet samo przeglądanie w systemie informatycznym lub w dokumentach papierowych. Innymi słowy: RODO ma zastosowanie zawsze wtedy, gdy w ramach działalności firmowej lub organizacyjnej korzystasz z danych, które identyfikują osobę albo pozwalają ją zidentyfikować.
Nie chodzi wyłącznie o „wielkie bazy danych”. Wystarczy, że zapisujesz dane klienta w mailu, prowadzisz listę uczestników wydarzenia, przyjmujesz CV, wysyłasz newsletter, obsługujesz zlecenia i fakturowanie albo przechowujesz dokumenty z danymi na dysku lub w szafie – to już jest przetwarzanie i podlegasz reżimowi RODO. Co istotne, nie ma znaczenia, czy działalność prowadzisz w Polsce czy poza UE: jeżeli oferujesz towary lub usługi osobom w UE albo w inny sposób przetwarzasz dane takich osób w ramach swojej aktywności, musisz stosować wymagania RODO.
W praktyce obowiązek wdrożenia zasad i mechanizmów zgodności dotyczy m.in. firm handlowych i usługowych przetwarzających dane klientów, kontrahentów i pracowników, pracodawców (nawet małych, bo już sama rekrutacja i obsługa kadr uruchamia przetwarzanie danych), instytucji publicznych i jednostek samorządu obsługujących mieszkańców, podmiotów prowadzących sprzedaż online i działania marketingowe (sklepy internetowe, platformy rezerwacyjne, firmy korzystające z narzędzi analitycznych i reklamowych), a także organizacji pozarządowych, fundacji i stowarzyszeń – zwłaszcza jeśli pracują z beneficjentami, wolontariuszami lub darczyńcami.
Wdrożenie RODO nie polega na skompletowaniu „zestawu dokumentów do teczki”. Sedno jest praktyczne: organizacja ma umieć wykazać, że przetwarza dane legalnie, w określonych celach i w sposób bezpieczny, a w razie incydentu potrafi zareagować szybko, uporządkowanie i w sposób dający się udokumentować.
Co to znaczy „przetwarzanie danych”?
„Przetwarzanie” to pojęcie bardzo szerokie. Obejmuje praktycznie każdą operację wykonaną na danych osobowych – zarówno w systemie komputerowym, jak i w dokumentach papierowych. Przykładowo jest to:
- zbieranie danych,
- utrwalanie (np. zapis w pliku, w mailu, w systemie),
- porządkowanie i organizowanie,
- przechowywanie,
- pobieranie i przeglądanie,
- wykorzystywanie,
- udostępnianie,
- usuwanie.
W konsekwencji: już samo zapisanie danych lub ich przeglądanie jest przetwarzaniem, a nie dopiero „wysłanie maila” czy „uruchomienie kampanii”.
Zasady przetwarzania – czyli „jak” robić to legalnie i bezpiecznie
Nawet przy właściwej podstawie prawnej nie wolno przetwarzać danych „jak popadnie”. RODO wprowadza ogólne reguły, które wyznaczają standard działania. W praktyce oznaczają one m.in.:
- legalność, rzetelność i przejrzystość,
- celowość (dane zbierane w konkretnym celu),
- minimalizację (tyle danych, ile potrzeba – bez „na zapas”),
- prawidłowość (aktualność i poprawność),
- ograniczenie przechowywania (retencja),
- integralność i poufność (bezpieczeństwo),
- rozliczalność (umiejętność wykazania zgodności).
To nie są „puste hasła”. Każda z tych zasad powinna mieć przełożenie na codzienną praktykę: procedury, uprawnienia, zabezpieczenia, standardy komunikacji, retencję.
Kto przetwarza dane: administrator i podmiot przetwarzający
Żeby system był kompletny, trzeba jeszcze ustalić role – bo od tego zależą obowiązki.
Administrator danych
Administratorem jest ten, kto decyduje o celach i sposobach przetwarzania. W praktyce będzie nim np. spółka prowadząca sklep internetowy: to ona decyduje, jakie dane zbiera, po co, jak długo je przechowuje i komu je udostępnia (np. firmie kurierskiej, operatorowi płatności, dostawcy newslettera).
Podmiot przetwarzający (procesor)
Podmiot przetwarzający działa w imieniu administratora i na jego polecenie. Nie przetwarza danych „dla siebie”, tylko po to, aby wykonać usługę. Typowy przykład to biuro księgowe: otrzymuje dane pracowników klienta i używa ich do rozliczeń – ale w ramach zleconej usługi i według ustalonych zasad. Procesor nie może dowolnie wykorzystywać tych danych do własnych celów.
RODO jako praktyka zarządzania ryzykiem, a nie formalność
RODO opiera się na zasadzie rozliczalności: nie wystarczy deklarować, że dane są chronione – trzeba być w stanie to udowodnić (procesami, decyzjami, zabezpieczeniami). W realiach rynkowych największym źródłem problemów nie są „spektakularne ataki”, tylko błędy operacyjne: zły adresat e-maila, nadmiar danych w dokumentach, zbyt szerokie uprawnienia w systemach, brak kontroli nad dostawcami IT.
Konsekwencje braku zgodności
Naruszenie RODO może skutkować administracyjnymi karami pieniężnymi. Maksymalny pułap to do 20 mln euro albo do 4% całkowitego rocznego światowego obrotu – w zależności od tego, która wartość jest wyższa. Niezależnie od samych kar, praktycznie równie dotkliwe bywają: koszty incydentu, spory, utrata zaufania, konieczność wdrażania zmian „pod presją”.
Kto musi powołać Inspektora Ochrony Danych (IOD)?
Obowiązek powołania IOD wynika z art. 37 RODO i dotyczy w szczególności:
- organów i podmiotów publicznych (z wyłączeniami przewidzianymi dla sądów w zakresie sprawowania wymiaru sprawiedliwości),
- podmiotów, których główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę,
- podmiotów, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (np. danych o zdrowiu) albo danych dotyczących wyroków skazujących i naruszeń prawa.
IOD pełni funkcję doradczą i nadzorczą w zakresie zgodności, ale samo jego powołanie nie „załatwia” RODO – administrator nadal odpowiada za wdrożenie i bezpieczeństwo. W praktyce dopuszczalne jest korzystanie z IOD w modelu zewnętrznym (outsourcing), o ile zapewniona jest realna dostępność i niezależność wykonywania zadań.
Kwalifikacje do pełnienia funkcji IOD
Zgodnie z art. 37 ust. 5 RODO inspektor ochrony danych (IOD) powinien być wyznaczany z uwzględnieniem kwalifikacji zawodowych – w szczególności specjalistycznej wiedzy o prawie i praktyce ochrony danych oraz zdolności do wykonywania zadań wskazanych w art. 39 RODO. Poziom tej wiedzy nie jest „sztywny” i nie wynika z jednego, ustawowego progu – należy go oceniać w odniesieniu do realiów konkretnej organizacji, w tym zwłaszcza skali, charakteru i złożoności przetwarzania (co koresponduje z motywem 97 RODO). W konsekwencji dobór IOD powinien być dokonany z należytą starannością i w sposób proporcjonalny do tego, jak „trudne” jest przetwarzanie w danej jednostce.
Jakiej wiedzy i kompetencji oczekuje się od IOD?
W praktyce IOD powinien dysponować co najmniej:
- znajomością krajowych i unijnych przepisów o ochronie danych oraz umiejętnością ich stosowania w realnych procesach,
- wiedzą o standardach i dobrych praktykach w obszarze ochrony danych (a nie tylko o brzmieniu przepisów),
- bardzo dobrą orientacją w RODO, w tym w obowiązkach administratora i podmiotu przetwarzającego oraz w mechanizmach rozliczalności,
- rozumieniem specyfiki biznesowej i sektorowej administratora (bo inaczej ocenia się ryzyka w urzędzie, inaczej w medycynie, a inaczej w e-commerce),
- znajomością procesów przetwarzania i podstaw IT: systemów, uprawnień, narzędzi komunikacji, bezpieczeństwa, a także typowych słabości operacyjnych,
- a w przypadku organów i podmiotów publicznych – również praktycznym rozeznaniem w procedurach administracyjnych i funkcjonowaniu jednostki.
Co jest priorytetem w wykonywaniu zadań IOD?
W ujęciu praktycznym rolą IOD jest wspieranie organizacji w zapewnieniu zgodności z rozporządzeniem i budowaniu „kultury ochrony danych”, co przekłada się na wdrażanie oraz utrzymywanie w działaniu kluczowych elementów systemu ochrony danych, w szczególności:
- zasad przetwarzania danych osobowych,
- mechanizmów realizacji praw osób, których dane dotyczą,
- ochrony danych w fazie projektowania oraz domyślnej ochrony danych,
- prowadzenia i aktualizacji rejestrów wymaganych przez RODO,
- wymogów bezpieczeństwa przetwarzania,
- reagowania na incydenty oraz obsługi naruszeń (w tym organizacji zgłoszeń).
Cechy osobiste istotne dla pełnienia funkcji
Poza kompetencjami merytorycznymi znaczenie mają także cechy „miękkie”, które w praktyce decydują o skuteczności: rzetelność, konsekwencja w egzekwowaniu standardów, wysoki poziom etyki zawodowej oraz umiejętność komunikowania wymagań w sposób zrozumiały dla organizacji.
Forma zatrudnienia IOD
Zgodnie z art. 37 ust. 6 RODO IOD może być:
- pracownikiem administratora lub podmiotu przetwarzającego, albo
- osobą zewnętrzną, wykonującą zadania na podstawie umowy o świadczenie usług (outsourcing).
Wybór formy zależy od potrzeb organizacji, dostępności kompetencji oraz skali i wrażliwości przetwarzania – istotne jest natomiast, aby niezależnie od modelu zapewnić realną możliwość wykonywania zadań IOD w praktyce.
