Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO) – General Data Protection Regulation (GDPR)

RODO/GDPR zostało przyjęte 27 kwietnia 2016 r. i zastąpiło Dyrektywę 95/46/WE z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Rozporządzenie w znaczący sposób zwiększyło kontrolę osób fizycznych nad dotyczącymi ich danymi.

Wejście w życie RODO/GDPR i konieczność zapewnienia skutecznego stosowania jego przepisów było dużym wyzwaniem legislacyjnym. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) nie powiela ani nie implementuje rozwiązań RODO, lecz uzupełnia nowe regulacje w zakresie ochrony danych osobowych, aby odpowiadały przepisom i standardom przyjętym na poziomie UE.  Najważniejsze zmiany to:

  • Utworzenie urzędu Prezesa Urzędu Ochrony Danych Osobowych (PUODO), który zastąpił Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Prezesa powołuje i odwołuje Sejm, za zgodą Senatu, na czteroletnią kadencję. Funkcję można pełnić maksymalnie dwie kadencje,
  • Wprowadzenie jednoinstancyjnego postępowania administracyjnego przed PUODO.
  • Ustanowienie Rady do Spraw Ochrony Danych Osobowych. Jest to ośmioosobowy organ doradczy PUODO, powoływany przez prezesa na dwuletnią kadencję.
  • Nałożenie na administratorów danych osobowych i podmioty przetwarzające (procesorów), będące podmiotami publicznymi, obowiązku powołania do 31 lipca 2018 inspektora danych osobowych.
  • Określenie warunków i trybu udzielania akredytacji podmiotowi certyfikującemu.
  • Określenie sposobu zatwierdzania kodeksu postępowania.
  • Określenie trybu postępowania w sprawach o naruszenie zasad ochrony danych osobowych oraz trybu kontroli przestrzegania przepisów i zasady odpowiedzialności cywilnej i karnej.
  • Ograniczenie, w stosunku do zapisów RODO/GDPR, wysokości administracyjnych kar pieniężnych nakładanych na niektóre jednostki budżetowe (jednostki sektora finansów publicznych, instytuty badawcze i NBP — do 100 tys. złotych, zaś instytucje kultury — do 10 tys.).

Główne zmiany RODO zwiększające kontrolę osób nad danymi

  • Wprowadzenie nowych uprawnień dla osób, których dane dotyczą: prawo do przenoszenia danych i prawo do bycia zapomnianym.
  • Rozszerzenie obowiązku informacyjnego, który administrator danych musi zrealizować wobec osoby, której dane dotyczą.
  • Uregulowane kwestii profilowania – osoba, której dane dotyczą, w określonych przypadkach będzie miała teraz m.in. uprawnienie do żądania ludzkiej interwencji, tak aby dotycząca jej decyzja nie była oparta wyłącznie na algorytmie.
  • Wprowadzenie nowego rozwiązania związanego z ochroną danych osobowych w fazie projektowania (Privacy by Design) oraz jako ustawienie domyślne (Privacy by Default)
    • Privacy by Design oznacza, że administrator danych ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, które będą chronić dane osobowe. Środki te mają uwzględniać m.in. stan wiedzy technicznej, charakter, zakres i cele przetwarzania, a także ryzyko naruszenia ochrony tych danych.
    • Privacy by Default oznacza, że administrator ma obowiązek wdrażać odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania.
  • Wprowadzenie podejścia opartego na ryzyku (risk-based approach), w którym obowiązki dotyczące ochrony danych są zróżnicowane w zależności od ryzyka, jakie wynika z konkretnych czynności przetwarzania danych. Administrator danych sam decyduje więc, jakie organizacyjne i techniczne środki powinien zastosować dla ochrony danych osobowych.
  • Wprowadzenie obowiązkowego zgłaszania przez administratorów danych do właściwego organu nadzoru, w ciągu 72 godzin, przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Dodatkowo może także pojawić się obowiązek zawiadomienia osoby, której prawa lub swobody mogły zostać naruszone.
  • Wprowadzenie administracyjnych kar finansowych za nieprzestrzeganie przepisów:
    • Karze do 10 mln euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa), podlegają następujące naruszenia przepisów:
      • Naruszenie obowiązków administratora i podmiotu przetwarzającego wymienionych w RODO, jak np.: brak sprawdzenia wyrażenia zgody przez opiekuna dziecka, które nie ukończyło 16 roku życia, na przetwarzanie jego danych osobowych; brak rejestru operacji przetwarzania; brak powołania Inspektora Ochrony Danych w przypadkach obligatoryjnych; brak informowania organu nadzorczego o naruszeniach ochrony danych osobowych; nieprzestrzeganie obowiązków związanych z certyfikacją przedsiębiorcy przez stosowny podmiot.
      • Naruszenie obowiązków podmiotu certyfikującego wymienionych w RODO.
      • Naruszenie obowiązków podmiotu monitorującego związanych z podjęciem stosownych działań w przypadku naruszenia przez danego przedsiębiorcę kodeksu postępowania.
    • Karze do 20 mln euro, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa), podlegają następujące naruszenia przepisów:
      • Naruszenie podstawowych zasad przetwarzania, w tym warunków zgód na przetwarzanie określonych w RODO.
      • Naruszenie praw osób, których dane są przetwarzane.
      • Naruszenie przepisów przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej.
      • Nieprzestrzeganie nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych, orzeczonego przez organ nadzorczy lub niezapewnienie dostępu organowi nadzorczemu.
      • Naruszenie obowiązków wynikających z przepisów krajowych, uchwalonych na podstawie RODO.
      • Nieprzestrzeganie środków naprawczych nałożonych przez organ nadzorczy.

RODO a zespoły CERT/CSIRT

Nowe prawo w zakresie danych osobowych jest także pewnego rodzaju wyzwaniem dla zespołów CSIRT. Zgodnie z treścią rozporządzenia, mianem administratora określa się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Natomiast podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę organizacyjną lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Zespół CSIRT jest więc administratorem w każdym momencie, gdy przetwarza dane osobowe. Jeśli zespół działa w imieniu organów ścigania lub innych zespół CSIRT (np. zapewnia pomoc techniczną), pełni rolę podmiotu przetwarzającego, ponieważ nie decyduje samodzielnie o celach i sposobach przetwarzania danych osobowych. Także udostępnianie i wymianę informacji pomiędzy zespołami CSIRT można uznać za przetwarzanie danych osobowych.

Oznacza to, że przy zgłaszania incydentów zespoły typu CSIRT podlegają dwóm reżimom: temu wprowadzonemu przez Dyrektywę NIS i temu właściwemu RODO/GDPR. Poniższe tabele prezentują wymagania notyfikacji incydentów dla obu aktów prawnych.

RODO/GDPR

NIS

W związku z tym, zespół CSIRT powinien przeprowadzić analizę, w jakim zakresie może przetwarzać dane osobowe w obrębie własnego constituency, a także czy jest procesorem (przetwarza dane osobowe) czy administratorem. Konieczne jest także dokumentowanie sposobu  przetwarzania danych osobowych, dokładna analiza okresu i zasad przetwarzania danych roboczych czy anonimizacja danych osobowych. Natomiast podczas przekazywania danych osobowych konieczna będzie ocena nie tylko constituency swojego zespołu CSIRT, ale także CSIRT, któremu dane te mają być przekazywane.

Kompetencje CSIRT poziomu krajowego w tym zakresie reguluje Ustawa o krajowym systemie cyberbezpieczeństwa.


TAGI Prawo, Unia Europejska,