RODO (GDPR)

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

RODO/GDPR zostało przyjęte 27 kwietnia 2016 r. i zastąpi Dyrektywę 95/46/WE z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Zgodnie z prawem UE, Rozporządzenie ma zasięg ogólny. Oznacza to, że wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Co za tym idzie: implementacja do porządku prawnego nie jest niezbędna, a 28 maja 2018 r. RODO zacznie obowiązywać w całej UE.

GDPR ma doprowadzić do jak największego ujednolicenia prawa ochrony danych osobowych w UE, ponieważ forma rozporządzenia zapewnia wyższy poziom harmonizacji przepisów o ochronie danych pomiędzy poszczególnymi państwami członkowskimi.

GDPR reguluje nie tylko przetwarzanie danych osobowych wewnątrz Unii Europejskiej, ale odnosi się również do przekazywania danych osobowych poza terytorium UE. Dodatkowo regulacją zostali objęci także administratorzy danych spoza Unii, prowadzący swoją działalność na terytorium UE (m.in. amerykańskie firmy takie jak Facebook). GDPR w znaczący sposób zwiększa kontrolę osób fizycznych nad dotyczącymi ich danymi.

Zgodnie z założeniem GDPR, każde państwo członkowskie ustanawia własny organ nadzorczy w zakresie ochrony danych. Organy te współpracują natomiast w ramach Europejskiej Rady Ochrony Danych (zastąpi ona tzw. Grupę Roboczą Art. 29), a także w ramach "mechanizmu kompleksowej współpracy" (ang. "one-stop-shop"). W przypadku, kiedy administrator danych osobowych działa w kilku państwach członkowskich, w oparciu o lokalizację tzw. głównej jednostki organizacyjnej wskazuje się organ wiodący.

 

GDPR wprowadza nowe uprawnienia osób, których dane dotyczą:

- Prawo do przenoszenia danych (art. 20);

- Prawo do bycia zapomnianym (art. 17).

Rozszerzony został także obowiązek informacyjny (art. 12-14), który administrator danych musi zrealizować wobec osoby, której dane dotyczą.

 

GDPR uregulowało dodatkowo kwestie profilowania (art. 22). Osoba, której dane dotyczą, w określonych przypadkach będzie miała teraz m.in. uprawnienie do żądania ludzkiej interwencji, tak aby dotycząca jej decyzja nie była oparta wyłącznie na algorytmie.

 

Art. 25 GDPR wprowadza także nowe rozważania związane z ochroną danych osobowych w fazie projektowania oraz jako ustawienie domyślne (tzw. zasady Privacy by Design i Privacy by Default).

Privacy by Design oznacza, że administrator danych, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych.

Privacy by Default oznacza, że administrator ma obowiązek wdrażać odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.

 

Dodatkowo GDPR wprowadza podejście oparte na ryzyku (ang. risk-based approach), w którym obowiązki w zakresie ochrony danych są zróżnicowane w zależności od ryzyka, jakie wynika z konkretnych czynności przetwarzania danych. Administrator danych sam decyduje więc jakie organizacyjne i techniczne środki powinien zastosować dla ochrony danych osobowych.

Obowiązkiem administratorów danych będzie zgłaszanie w ciągu 72 godzin od stwierdzenia do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Dodatkowo może także pojawić się konieczność zawiadomienia osoby, której prawa lub swobody mogą zostać naruszone. 

 

GDPR wprowadza także administracyjne kary finansowe za nieprzestrzeganie przepisów:

Karze do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) podlegają następujące naruszenia przepisów:

- Naruszenie obowiązków administratora i podmiotu przetwarzającego wymienionych w RODO, jak np.: brak weryfikacji wyrażenia zgody przez opiekuna dziecka, które nie ukończyło jeszcze 16 roku życia, na przetwarzanie jego danych osobowych, brak prowadzenia rejestru operacji przetwarzania, brak powołania Inspektora Ochrony Danych w przypadkach obligatoryjnych, brak informowania organu nadzorczego o naruszeniach w zakresie ochrony danych osobowych, nieprzestrzeganie obowiązków związanych z certyfikacją przedsiębiorcy przez stosowny podmiot;

- Naruszenie obowiązków podmiotu certyfikującego wymienionych w RODO;

- Naruszenie obowiązków podmiotu monitorującego związanych z podjęciem stosownych działań w przypadku stwierdzenia naruszenia przez danego przedsiębiorcę zatwierdzonego kodeksu postępowania;

do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) podlegają następujące naruszenia przepisów:

- Naruszenie podstawowych zasad przetwarzania, w tym warunków zgód na przetwarzanie określonych w RODO;

- Naruszenie praw osób, których dane są przetwarzane;

- Naruszenie przepisów dotyczących przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;

- Nieprzestrzeganie nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienie dostępu organowi nadzorczemu;

- Naruszenie obowiązków wynikających z przepisów krajowych danego państwa członkowskiego, uchwalonych na podstawie RODO;

- Nieprzestrzeganie środków naprawczych nałożonych przez organ nadzorczy.

 

GDPR a zespoły CERT/CSIRT

Wejście w życie GDPR zbiega się w czasie z terminem implementacji Dyrektywy NIS (9 maja 2018 r.), która nakłada na państwa członkowskie obowiązek wyznaczenia CSIRT, do którego notyfikowane będą incydenty z sektorów takich jak energetyka, transport, bankowość. Warto więc podkreślić pewne trudności, jakie mogą napotykać zespoły CSIRT w związku z nową regulacją w zakresie danych osobowych.

Zgodnie z treścią rozporządzenia mianem administratora określa się właściwy organ, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, natomiast podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę organizacyjną lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Zatem zespół CSIRT/CERT jest administratorem w momencie gdy przetwarza dane na podstawie otrzymanego mandatu. W przypadku gdy zespół CSIRT/CERT działa w imieniu organów ścigania lub innych zespół CSIRT/CERT, (np. poprzez zapewnienie pomocy technicznej) wtedy pełni rolę podmiotu przetwarzającego, ponieważ nie decyduje bezpośrednio o celach i sposobach przetwarzania danych osobowych.

Także udostępnianie i wymianę informacji pomiędzy zespołami CSIRT można uznać za przetwarzanie danych osobowych.

Oznacza to, że w zakresie zgłaszania incydentów zespoły typu CSIRT podlegają dwóm reżimom: temu wprowadzonemu przez Dyrektywę NIS i temu właściwemu RODO. Poniższe tabele prezentują wymagania w zakresie notyfikacji incydentów dla obu aktów prawnych.

 

 

RODO

 

Rodzaj incydentu

Podmiot notyfikujący

Odbiorca zgłoszenia

Termin

Naruszenie danych osobowych

Podmiot przetwarzający

Administrator

Bez zbędnej zwłoki

Naruszenie danych osobowych

Administrator

Właściwy organ ochrony danych

Bez zbędnej zwłoki, w miarę możliwości do 72 godzin od momentu otrzymania zgłoszenia

Naruszenie danych osobowych z dużym ryzykiem zagrożenia dla praw i wolności osób fizycznych

Administrator

Osoby, których dane dotyczą

Bez zbędnej zwłoki

 

 

Dyrektywa NIS

 

Rodzaj incydentu

Podmiot notyfikujący

Odbiorca zgłoszenia

Termin

Incydent mający znaczny wpływ na ciągłość usług kluczowych

Operatorzy usług kluczowych

Właściwy organ ochrony danych lub zespół CSIRT

Bez zbędnej zwłoki

Incydent mający znaczny wpływ na świadczenie usługi

Dostawcy usług cyfrowych

Właściwy organ ochrony danych lub zespół CSIRT

Bez zbędnej zwłoki

 

W związku z tym warto zadbać o właściwe przygotowanie nie tylko w zakresie implementacji Dyrektyw NIS, ale i RODO, oraz dokonać dokładnej oceny zakresu w jakim zespół CSIRT może dokonywać przetwarzania danych osobnych w obrębie własnego constituency, a także czy jest procesorem (przetwarza dane osobowe), czy administratorem. Konieczne jest także dokumentowanie sposobu zbierania, przechowywania i przetwarzania danych osobowych, dokładnej analizy okresu i zasad przechowywania danych roboczych, anonimizacji danych osobowych, gdzie istnieje konieczność uzyskania zgody osoby, której te dane dotyczą. Natomiast w czasie procesu przekazywania danych konieczna będzie ocena nie tylko constituency swojego zespołu CSIRT, ale także CSIRT któremu dane te mają być przekazywane.