RODO (GDPR)

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

RODO/GDPR zostało przyjęte 27 kwietnia 2016 r. i zastąpi Dyrektywę 95/46/WE z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Zgodnie z prawem UE, Rozporządzenie ma zasięg ogólny. Oznacza to, że wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Co za tym idzie: implementacja do porządku prawnego nie jest niezbędna, a 28 maja 2018 r. RODO zacznie obowiązywać w całej UE.

GDPR ma doprowadzić do jak największego ujednolicenia prawa ochrony danych osobowych w UE, ponieważ forma rozporządzenia zapewnia wyższy poziom harmonizacji przepisów o ochronie danych pomiędzy poszczególnymi państwami członkowskimi.

GDPR reguluje nie tylko przetwarzanie danych osobowych wewnątrz Unii Europejskiej, ale odnosi się również do przekazywania danych osobowych poza terytorium UE. Dodatkowo regulacją zostali objęci także administratorzy danych spoza Unii, prowadzący swoją działalność na terytorium UE (m.in. amerykańskie firmy takie jak Facebook). GDPR w znaczący sposób zwiększa kontrolę osób fizycznych nad dotyczącymi ich danymi.

Zgodnie z założeniem GDPR, każde państwo członkowskie ustanawia własny organ nadzorczy w zakresie ochrony danych. Organy te współpracują natomiast w ramach Europejskiej Rady Ochrony Danych (zastąpi ona tzw. Grupę Roboczą Art. 29), a także w ramach "mechanizmu kompleksowej współpracy" (ang. "one-stop-shop"). W przypadku, kiedy administrator danych osobowych działa w kilku państwach członkowskich, w oparciu o lokalizację tzw. głównej jednostki organizacyjnej wskazuje się organ wiodący.

 

GDPR wprowadza nowe uprawnienia osób, których dane dotyczą:

- Prawo do przenoszenia danych (art. 20);

- Prawo do bycia zapomnianym (art. 17).

Rozszerzony został także obowiązek informacyjny (art. 12-14), który administrator danych musi zrealizować wobec osoby, której dane dotyczą.

 

GDPR uregulowało dodatkowo kwestie profilowania (art. 22). Osoba, której dane dotyczą, w określonych przypadkach będzie miała teraz m.in. uprawnienie do żądania ludzkiej interwencji, tak aby dotycząca jej decyzja nie była oparta wyłącznie na algorytmie.

 

Art. 25 GDPR wprowadza także nowe rozważania związane z ochroną danych osobowych w fazie projektowania oraz jako ustawienie domyślne (tzw. zasady Privacy by Design i Privacy by Default).

Privacy by Design oznacza, że administrator danych, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych.

Privacy by Default oznacza, że administrator ma obowiązek wdrażać odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.

 

Dodatkowo GDPR wprowadza podejście oparte na ryzyku (ang. risk-based approach), w którym obowiązki w zakresie ochrony danych są zróżnicowane w zależności od ryzyka, jakie wynika z konkretnych czynności przetwarzania danych. Administrator danych sam decyduje więc jakie organizacyjne i techniczne środki powinien zastosować dla ochrony danych osobowych.

Obowiązkiem administratorów danych będzie zgłaszanie w ciągu 72 godzin od stwierdzenia do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Dodatkowo może także pojawić się konieczność zawiadomienia osoby, której prawa lub swobody mogą zostać naruszone. 

 

GDPR wprowadza także administracyjne kary finansowe za nieprzestrzeganie przepisów:

Karze do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) podlegają następujące naruszenia przepisów:

- Naruszenie obowiązków administratora i podmiotu przetwarzającego wymienionych w RODO, jak np.: brak weryfikacji wyrażenia zgody przez opiekuna dziecka, które nie ukończyło jeszcze 16 roku życia, na przetwarzanie jego danych osobowych, brak prowadzenia rejestru operacji przetwarzania, brak powołania Inspektora Ochrony Danych w przypadkach obligatoryjnych, brak informowania organu nadzorczego o naruszeniach w zakresie ochrony danych osobowych, nieprzestrzeganie obowiązków związanych z certyfikacją przedsiębiorcy przez stosowny podmiot;

- Naruszenie obowiązków podmiotu certyfikującego wymienionych w RODO;

- Naruszenie obowiązków podmiotu monitorującego związanych z podjęciem stosownych działań w przypadku stwierdzenia naruszenia przez danego przedsiębiorcę zatwierdzonego kodeksu postępowania;

do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) podlegają następujące naruszenia przepisów:

- Naruszenie podstawowych zasad przetwarzania, w tym warunków zgód na przetwarzanie określonych w RODO;

- Naruszenie praw osób, których dane są przetwarzane;

- Naruszenie przepisów dotyczących przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;

- Nieprzestrzeganie nakazu tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienie dostępu organowi nadzorczemu;

- Naruszenie obowiązków wynikających z przepisów krajowych danego państwa członkowskiego, uchwalonych na podstawie RODO;

- Nieprzestrzeganie środków naprawczych nałożonych przez organ nadzorczy.

 

GDPR a zespoły CERT/CSIRT

Wejście w życie GDPR zbiega się w czasie z terminem implementacji Dyrektywy NIS (9 maja 2018 r.), która nakłada na państwa członkowskie obowiązek wyznaczenia CSIRT, do którego notyfikowane będą incydenty z sektorów takich jak energetyka, transport, bankowość. Warto więc podkreślić pewne trudności, jakie mogą napotykać zespoły CSIRT w związku z nową regulacją w zakresie danych osobowych.

Przede wszystkim adres IP jest uznawany za dane osobowe, jeśli podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących ten adres IP z innymi danymi pozwalającymi zidentyfikować konkretną osobę. W związku z tym każdy zespół CERT/CSIRT może przetwarzać dane osobowe.

 

Dodatkowo, prawo do bycia zapomnianym (art. 17), obowiązek powiadamiania (art. 19), prawo do przenoszenia (art. 20) oraz prawo do sprzeciwu (art. 21) mogą w wyraźny sposób obniżyć efektywność CSIRT w zapobieganiu incydentom i zagrożeniom.

 

Zgodnie z art. 23 GDPR można ograniczyć zakres obowiązków i praw wynikających z Rozporządzenia, "jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym: a) bezpieczeństwu narodowemu; b) obronie; c) bezpieczeństwu publicznemu; d) zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom; e) innym ważnym celom leżącym w ogólnym interesie publicznym Unii".

Dodatkowo motyw 49 odnosi się wprost do przetwarzania danych osobowych "w zakresie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji - tj. zapewnienia odporności sieci lub systemu informacyjnego na danym poziomie poufności na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych - oraz bezpieczeństwa związanych z nimi usług oferowanych lub udostępnianych poprzez te sieci i systemy przez organy publiczne, zespoły reagowania na zagrożenia komputerowe, zespoły reagowania na komputerowe incydenty naruszające bezpieczeństwo".