Czy można wdrożyć RODO raz na zawsze?
Przede wszystkim na samym wstępie warto już podkreślić, że nie jest możliwe wdrożenie przepisów rozporządzenia RODO raz na zawsze. Każdy system prawny działa podobnie do żywego organizmu nieustannie, choć powoli, ewoluując. Rozwiązania, które działały, kiedy RODO wchodziło w życie, dzisiaj mogą być już nieaktualne lub niewystarczające.
Doskonałym przykładem takiej ewolucji jest Consent Mode Version 2, czyli zmiany w zakresie plików cookies, które obowiązują od 6 marca 2024 r. Przedsiębiorcy, którzy zignorowali wytyczne w tym zakresie, z dnia na dzień zaczęli przetwarzać dane osobowe swoich klientów bez podstawy prawnej, narażając się tym samym na wysokie kary.
Na stronie UODO co pewien czas publikowane są nowe wytyczne i zalecenia w przedmiocie tego, w jaki sposób stosować przepisy RODO. Dotyczą one m.in. zgłaszania naruszeń ochrony danych zgodnie z RODO (wytyczne 9/2022) oraz certyfikacji jako narzędzia do przekazywania danych (wytyczne 7/2022) w zgodności z rodo i przepisami ochrony danych osobowych plus rodo compliance z zakresu ochrony danych osobowych czy pełnienie funkcji punktu kontaktowego dla systemu ochrony danych osobowych przez standaryzację dokumentacji wymaganej przez prawo ochrony danych osobowych w programie rejestry rodo i lex compliance rodo przez spełnienie zasady rozliczalności i sprawną realizację zasady rozliczalności dla przepisów prawa z ochroną danych osobowych.
Ważne jest więc nie tylko to, czy przedsiębiorca wdrożył RODO zgodnie z obowiązującym rozporządzeniem, ale też to, czy na bieżąco adaptuje procesy w swojej organizacji do zachodzących zmian.
Na czym polegają procedury compliance w zakresie RODO?
Mianem procedur compliance określa się działanie w zgodzie z obowiązującymi przepisami oraz standardami etycznymi obowiązującymi w danej branży. Jest to niezwykle szerokie pojęcie, dlatego w praktyce wyróżnia się wiele różnych compliance sektorowych. Mogą one dotyczyć m.in. procedur AML, zgodności z wytycznymi organu nadzoru KNF dla instytucji płatniczych czy dopasowania prowadzonej działalności do rozporządzeń DMA/DSA.
Compliance w zakresie RODO dotyczy wszystkich procesów, procedur i dokumentacji, do których przeprowadzenia lub do których sporządzenia jest zobligowany przedsiębiorca objęty zakresem rozporządzenia o ochronie danych osobowych.
Co obejmuje compliance w odniesieniu do RODO?
Działania compliance w zakresie RODO można podzielić na cztery kluczowe obszary:
- zgodność z prawem i transparentność przetwarzania danych osobowych;
- bezpieczeństwo danych osobowych;
- odpowiedzialność i zarządzanie danymi osobowymi;
- uprawnienia osób, których dane dotyczą.
Przyjrzyjmy się każdemu z tych wątków po kolei, co składa się na zgodność działań z prawem w każdym z nich.
Zgodność z prawem i transparentność
Pierwszym krokiem powinno być ustalenie, jakie dane osobowe są zbierane w organizacji. Firmy zatrudniające minimum 250 pracowników mają obowiązek sporządzić rejestr czynności przetwarzania. Zaleca się też prowadzenie takiego zestawienia przez mniejsze podmioty, ponieważ ułatwia to realizację pozostałych obowiązków wynikających z RODO. Najlepszym sposobem na monitorowanie zgodności w tym zakresie będzie przygotowanie raportu DPIA (ang. Data Privacy Impact Assessment). W treści takiego raportu należy wskazać:
- jakie dane osobowe i w jaki sposób są przetwarzane;
- kto ma dostęp do danych osobowych (dotyczy to także podmiotów trzecich);
- jakie działania podejmuje administrator, aby chronić dane osobowe;
- jak długo będą przetwarzane dane osobowe i co stanie się z nimi po tym czasie.
Kolejnym etapem jest ustalenie podstaw dla przetwarzania danych osobowych. W zależności od kategorii tych danych podstawy zostały wskazane w art. 6 RODO (dla danych zwykłych) oraz art. 9 RODO (dla danych szczególnych. Należy pamiętać, że w przypadku wskazania zgody jako podstawy, osoba, której dane dotyczą, zawsze może taką zgodę cofnąć. Z kolei powołanie się na uzasadniony interes wymaga przeprowadzenia testu Privacy Impact Asessment.
Elementem transparentności jest też przygotowanie polityki prywatności. To dokument, który zawiera informacje dotyczące m.in. tego, kto, w jakim zakresie i na jakiej podstawie przetwarza dane osobowe, a także jakie prawa ma osoba, której dane są przetwarzane. Polityka prywatności powinna być łatwo dostępna dla odbiorcy jeszcze przed rozpoczęciem przetwarzania jego danych osobowych.
Warto w tym miejscu wskazać na art. 12 RODO, zgodnie z którym administrator powinien przekazywać wyjaśnienia w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie jasnym i prostym językiem, w szczególności, gdy informacje są kierowane do dziecka. Cytowanie fragmentów rozporządzenia lub odwoływanie się wyłącznie do numerów artykułów z pewnością nie spełnia tego wymogu.
Bezpieczeństwo danych osobowych
Organizacje przy opracowywaniu procesów, które wiążą się z przetwarzaniem danych osobowych, powinny kierować się polityką „data protection by design and by default”. Oznacza to, że ochronę danych osobowych trzeba planować i uwzględniać już od najwcześniejszych etapów projektowania produktu, usługi lub procesu.
Przy przetwarzaniu danych należy kierować się zasadami określonymi w art. 5 RODO. Oznacza to minimalizację przetwarzania, ograniczenie celu, ale też integralność i poufność. Unijny ustawodawca nie wskazuje, w jaki sposób zrealizować te wymagania, pozostawiając daleko idącą swobodę tak długo, jak administrator w ramach zasady rozliczalności gwarantuje spełnienie wymienionych założeń.
Compliance w zakresie bezpieczeństwa powinien zacząć się od oceny zasobów (np. IT, osobowych, technologicznych), jakimi dysponuje firma, a także oceny zakresu i skali przetwarzania danych osobowych. Stosowane zabezpieczenia powinny być skorelowane z tym, jak „intensywnie” są przetwarzane dane. Zaleca się stosowanie szyfrowania i pseudonimizacji. Na szczęście obecnie większość narzędzi, jak usługi chmurowe, programy pocztowe, komunikatory są wyposażone w szyfrowanie typu end-to-end.
Nawet jeśli firma przeznacza bardzo duże zasoby na zwiększenie bezpieczeństwa w zakresie ochrony danych osobowych, nadal ludzki błąd może doprowadzić do naruszenia w tym zakresie. Dlatego tak ważne jest uzupełnienie nowoczesnych technologii o politykę bezpieczeństwa oraz regularne szkolenia pracowników w zakresie ochrony danych. Warto zwracać uwagę na takie kwestie, jak:
- szyfrowanie dwuskładnikowe;
- korzystanie z szyfrowanego połączenia z siecią za pomocą VPN;
- wykorzystywanie i aktualizację programów antywirusowych;
- bezpieczeństwo poczty i szyfrowanie wiadomości;
- zabezpieczania urządzeń przy pomocy silnych haseł.
Firmy powinny pamiętać także o konieczności przeprowadzenia DPIA, jeżeli dany rodzaj przetwarzania – ze względu na swój charakter, zakres, kontekst i cele – z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Trzeba upewnić się, czy wewnętrzne procedury przewidują konsultację takiego przetwarzania z IOD, a w określonych przypadkach również z organem nadzorczym.
Wreszcie, w ramach compliance, należy zweryfikować, czy organizacja w należyty sposób zarządza ryzykiem i incydentami związanymi z naruszeniem danych osobowych. Kluczowe znaczenie ma:
- zgłoszenie incydentu organowi nadzorczemu w odpowiednim terminie;
- przekazanie informacji o naruszeniu przez procesora do administratora (w przypadku zawarcia umowy o przetwarzanie danych osobowych);
- stworzenie procedury informowania osób, których dane dotyczą o naruszeniu;
- wytypowanie sytuacji, kiedy naruszenie nie wymaga informowania osób, których dane zostały narażone na potencjalne niebezpieczeństwo.
Odpowiedzialność i zarządzanie danymi osobowymi
Częścią polityki „data privacy by design and by default” jest również wytypowanie osoby, która będzie odpowiedzialna za nadzór nad zgodnością funkcjonowania organizacji z przepisami RODO. Funkcję compliance officera można powierzyć np. kancelarii prawnej z doświadczeniem w stosowaniu przepisów dotyczących ochrony danych osobowych. Osoba odpowiedzialna za compliance powinna mieć wgląd w całą dokumentację, a także wgląd w to, jak poszczególne rozwiązania są stosowane w praktyce.
Jeżeli część procesów przetwarzania danych jest powierzone podmiotowi trzeciemu, trzeba upewnić się, że gwarantuje on przestrzeganie określonych standardów integralności i poufności informacji. Zamiast korzystać z gotowych wzorców takich umów o powierzenie, lepszym rozwiązaniem będzie skonstruowanie kontraktu od nowa.
Firmy, które mają siedzibę poza obszarem stosowania RODO, ale przetwarzają dane w obrębie jednego lub wielu państw członkowskich, powinny wyznaczyć przedstawicieli do kontaktu z organami nadzorczymi.
Przepisy rozporządzenia RODO nakładają obowiązek wyznaczenia Inspektora Ochrony Danych w konkretnych przypadkach wymienionych w art. 37. Niemniej jednak warto rozważyć wytypowanie IOD, nawet jeśli nie jest to niezbędne. Do głównych zadań Inspektora Ochrony Danych należy:
- ocena ryzyka w związku z procesami przetwarzania danych osobowych;
- doradztwo przy sporządzaniu DPIA;
- współpraca z organem nadzoru oraz reprezentowanie organizacji w razie kontroli Prezesa Urzędu Ochrony Danych Osobowych.
Należyta ochrona interesów osób, których dane dotyczą
Compliance w zakresie RODO powinien obejmować także ocenę tego, w jaki sposób administrator realizuje swoje obowiązki względem osób, których dane przetwarza. Przede wszystkim będzie to:
- prawo do informacji – każda osoba ma prawo uzyskać informacje, jakie jej dane są przetwarzane, przez jaki czas i na jakiej podstawie; może też żądać otrzymania kopii tych informacji;
- prawo do korekty danych – osoba, której dane dotyczą, może żądać uzupełnienia niekompletnych informacji lub ich skorygowania;
- prawo do „bycia zapomnianym” – obejmuje możliwość żądania niezwłocznego usunięcia danych osobowych osoby, której te dane dotyczą. Odmowa usunięcia jest dopuszczalna wyłącznie w sytuacjach, o których mowa w art. 17 ust. 3 RODO;
- prawo do ograniczenia zakresu przetwarzania danych osobowych – w tej sytuacji administrator nadal może przechowywać dane osobowe;
- prawo do żądania zaprzestania przetwarzania danych osobowych – czynności przetwarzania należy w takim przypadku wstrzymać niezwłocznie, chyba że administrator jest w stanie wykazać istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
Organizacja powinna zbadać także, czy jej procesy obejmują profilowanie. Jeżeli tak, niezbędne będzie przekazanie stosownej informacji (w przypadku profilowania zwykłego) albo uzyskania zgody (w przypadku profilowania kwalifikowanego) na stosowanie zautomatyzowanych algorytmów.
Czy można łączyć funkcję Inspektora Ochrony Danych oraz compliance officera w zakresie RODO?
Kuszącą wizją może wydawać się połączenie ze sobą stanowisk IOD oraz compliance officera w zakresie RODO. Dzięki temu firma mogłaby ograniczyć wydatki związane z zapewnieniem zgodności. Dlaczego jednak należy wystrzegać się takiej strategii?
Warto pamiętać, że zarówno Inspektor Ochrony Danych oraz compliance officer wykonują wiele czynności, które mogłyby być ze sobą sprzeczne. W efekcie zakres obowiązków nigdy nie byłby zrealizowany w pełni. Dodatkowo praca specjalisty z zakresu zgodności polega m.in. na ocenie tego, jak działa IOD, więc ta sama osoba oceniałaby swoją własną pracę. Dla firmy to duże niebezpieczeństwo powstania luki w integralności ochrony danych osobowych.
Nie należy też zapominać o ogólnym zakazie wynikającym z art. 38 ust. 6 RODO, zgodnie z którym IOD może pełnić inne funkcje w organizacji, ale nigdy nie może powodować to powstania konfliktu interesów.
Dlaczego prawidłowe wdrożenie przepisów rozporządzenia RODO jest tak istotne?
Oczywiście firma może zadać sobie pytanie, czy utrzymanie stałej zgodności z RODO jest niezbędne. Czy nie wystarczy zrobić tego raz i uznać sprawę za załatwioną?
W praktyce takie podejście jest bardzo ryzykowne. W przypadku kontroli Prezesa UODO to administrator musi wykazać, odwołując się do zasady rozliczalności, że wypełnił wszystkie obowiązki ciążące na nim zgodnie z przepisami. Niedopełnienie powinności wiąże się nie tylko z ryzykiem roszczeń odszkodowawczych osób, których dane dotyczą, ale przede wszystkim z możliwością nałożenia surowych kar administracyjnych przez organ nadzoru. Wysokość sankcji może sięgnąć nawet 20 milionów euro lub 4% całkowitego światowego rocznego obrotu organizacji.
Kancelaria Prawna RPMS świadczy kompleksową obsługę prawną w zakresie ochrony danych osobowych. Wspierając naszych klientów, nadzorujemy wdrażanie RODO, dopasowując procesy i dokumentację do specyfiki branży. Pomagamy też utrzymać zgodność z obowiązującymi przepisami oraz wytycznymi organu nadzoru.
Pytania i odpowiedzi
Nie ma takiego obowiązku. Funkcję IOD może pełnić także osoba fizyczna lub inna organizacja na podstawie umowy o świadczenie usług.
Takie żądanie jest dopuszczalne na mocy art. 20 RODO. Dane powinny być przekazane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. plik .xml lub .pdf).
Warto rozważyć zweryfikowanie zgodności za każdym razem, kiedy zmieniają się dostawcy usług kluczowych z punktu widzenia organizacji (np. software house dostarczający oprogramowanie lub usługę chmurową),a także kiedy organizacja zmienia swoją strukturę (np. w wyniku przekształcenia).
Zaufali nam: