Jakie zmiany wprowadzić w dokumentacji w związku z rozporządzeniem ogólnym

Unijne rozporządzenie ogólne o ochronie danych osobowych, a tak właściwie rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE będzie bezpośrednio stosowane w państwach członkowskich od 25 maja 2018 r.

Administrator danych nie może czekać na rozpoczęcie obowiązywania ogólnego rozporządzenia z założonymi rękami. Już teraz należy zastanowić się:

• co trzeba zmienić w swoim podmiocie związku z rodo;
• jak dokonać zmiany (samodzielnie czy z pomocą innych podmiotów);
• kiedy przeprowadzić zmiany (harmonogram działań);
• czy i w jaki sposób wpłynie to na procesy biznesowe (np. czy konieczne jest jakieś współdziałanie z klientami).

W dokumentacji ochrony danych osobowych będzie trzeba wprowadzić zmiany w związku z tym, że rozporządzenie reguluje (inaczej niż do tej pory lub całkowicie na nowo) m.in.:

• ochronę danych osobowych w grupie kapitałowej;
• warunki wyrażenia zgody na przetwarzanie danych prywatnych;
• prawo do przenoszenia danych do innego usługodawcy;
• zgłaszanie naruszenia ochrony danych osobowych i prawo osoby, której dane dotyczą, do informacji o naruszeniu ochrony danych.

Regulacje europejskie pozwolą na łatwiejsze zorganizowanie procesów przetwarzania danych osobowych w grupach kapitałowych. Jeżeli w takiej grupie przetwarza się dane osobowe, to ma ona prawo wyznaczyć jednego inspektora ochrony danych dla wszystkich przedsiębiorstw. W ramach grupy będą wówczas również obowiązywać jednolite, wiążące reguły korporacyjne. W przypadku międzynarodowej grupy kapitałowej istnieje też możliwość, wybrania przez nią jednego państwowego organu ochrony danych osobowych dla wszystkich przedsiębiorstw grupy. Jest to tzw. one-stop-shop.

Inspektor ochrony danych to w zasadzie odpowiednik dzisiejszego administratora bezpieczeństwa informacji. Rozporządzenie ogólne da możliwość powołania jednego wspólnego inspektora ochrony danych nie tylko dla grupy kapitałowej, ale także dla:

• grupy przedsiębiorstw nienależących do tej samej grupy kapitałowej – jeśli można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej;
• kilku organów lub podmiotów publicznych – z uwzględnieniem ich struktury organizacyjnej i wielkości;
• zrzeszeń lub innych podmiotów reprezentujących określone kategorie administratorów.

W razie powołania wspólnego inspektora ochrony danych, w dokumentacji ochrony danych osobowych powinny się znaleźć dokumenty potwierdzające wspólny wybór (np. uchwały zarządów poszczególnych spółek). Będzie trzeba w nich określić także, na jakich zasadach inspektor świadczy swoje usługi dla poszczególnych ADO (np. na podstawie umowy o pracę lub umowy zlecenia).

Zgodnie z ogólnym rozporządzeniem inspektor ochrony danych powinien zostać wyznaczony nie tylko u administratora danych osobowych, ale także w tzw. podmiocie przetwarzającym. Jest to w zasadzie obecny procesor z art. 31 ustawy o ochronie danych osobowych, a więc podmiot, któremu administrator danych osobowych powierzył ich przetwarzanie.

Już obecnie, zwłaszcza w wieloletnich umowach o współpracę, w których kwestia danych osobowych jest poruszana (np. jedna ze stron powierza drugiej stronie przetwarzanie danych osobowych) warto obok administratora bezpieczeństwa informacji dopisywać np. taki zwrot: „lub inspektora ochrony danych”.

Jeżeli w regulacjach wewnętrznych spółki zamieszczane są odniesienia do administratora bezpieczeństwa informacji, to warto rozważyć zdefiniowanie go jako także „inspektora ochrony danych” lub „wspólnego inspektora ochrony danych” – przez objęcie wszystkich tych „strażników danych” jedną definicją. Pozwoli to na prawidłowe przygotowanie terminologiczne aktów wewnętrznych.

Rozporządzenie ogólne wprowadza termin „rejestrowanie czynności przetwarzania”, który oznacza w przybliżeniu to, co dotychczasowy zwrot z polskiej ustawy o ochronie danych osobowych „dokumentacja opisująca sposób przetwarzania danych”.

Zasadniczo każdy administrator będzie musiał prowadzić taki rejestr czynności przetwarzania danych osobowych, zawierający dane administratora, cele przetwarzania, kategorie odbiorców oraz opis technicznych i organizacyjnych środków bezpieczeństwa. Obowiązek ten nie będzie jednak dotyczył przedsiębiorców lub podmiotów zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują:

• może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą;
• nie ma charakteru sporadycznego lub
• obejmuje dane wrażliwe lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Nowym obowiązkiem administratora danych, który wynika z rozporządzenia ogólnego, będzie konieczność zgłaszania do organu nadzorczego wszelkich przypadków naruszenia ochrony danych osobowych. Należy je zgłosić w miarę możliwości bez zbędnej zwłoki, jednak nie później niż w terminie 72 godzin od stwierdzenia naruszenia.

Jeżeli administrator zgłosi incydent po upływie tych 72 godzin, będzie musiał wyjaśnić przyczyny opóźnienia. W związku z tym nowym obowiązkiem będzie trzeba opracować procedurę postępowania w przypadku naruszenia ochrony danych osobowych, jeżeli do tej pory takiej procedury nie było. Jeżeli taka procedura istnieje, trzeba będzie ją rozszerzyć, wskazując, kto i w jaki sposób ma zawiadomić organ nadzorczy.

Rozporządzenie ogólne w art. 35 przewiduje, że administrator ma obowiązek przeprowadzić tzw. ocenę skutków planowanej operacji przetwarzania dla ochrony danych osobowych, jeżeli wprowadza nowy rodzaj przetwarzania danych osobowych. Rozporządzenie precyzuje też, na czym ma polegać ta ocena:

• opis planowanych operacji przetwarzania,
• cele przetwarzania,
• ocena proporcjonalności operacji przetwarzania,
• ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
• środki planowane w celu zaradzenia ryzyku.

Z tych powodów dokumentacja ochrony danych osobowych będzie bogaciła się o oceny przeprowadzane w poszczególnych przypadkach wprowadzania nowych rodzajów przetwarzania danych osobowych. W dokumentacji należy także uregulować, jacy pracownicy (w zależności od struktury organizacyjnej) mają obowiązek stwierdzić, że należy przeprowadzić taką ocenę, dokonać jej i ewentualnie skontaktować się z GIODO.

Rozporządzenie ogólne ma na celu umożliwić każdemu użytkownikowi Internetu kompleksowe usunięcie informacji zgromadzonych na jego temat przez danego administratora danych. Po 25 maja 2018 r. administrator może więc otrzymać nie tylko cofnięcie zgody na przetwarzanie danych osobowych, ale także żądanie usunięcia wszelkich informacji udostępnionych przez użytkownika (zdjęć, wpisów, danych adresowych).

Oznacza to, że powinien się przygotować do możliwie szybkiego zrealizowania takiego żądania zarówno na płaszczyźnie technicznej, jak i prawnej. Konieczne będzie opracowanie pełnej procedury usuwania danych, zakładającą współpracę osób odpowiedzialnych za umowy, portal internetowy, wysyłkę materiałów reklamowych czy administrowanie forum albo blogiem.

Zgodnie z nowymi regulacjami zgoda ma być udzielona w formie oświadczenia lub wyraźnego działania, stanowiących przejaw dobrowolnego, konkretnego, świadomego i jednoznacznego przejawu woli, potwierdzającego przyzwolenie na przetwarzanie przez podmiot danych osobowych. Administrator powinien sprawdzić, czy istnieją u niego regulacje, które nie zawężają możliwości wyrażenia zgody niezgodnie z tą definicją.

Jeżeli dane osobowe danej osoby są zbierane właśnie od niej, to podczas pozyskiwania danych będzie trzeba podać tej osobie m.in. dane kontaktowe inspektora ochrony danych. Dane te powinny także znajdować się w rejestrze czynności przetwarzania danych osobowych, za który odpowiada administrator, jak również w rejestrze wszystkich kategorii czynności przetwarzania.