25 maja 2018 r. zaczną obowiązywać nowe zasady przetwarzania danych. Porównując je z tymi ujętymi w obecnie obowiązującej ustawie o ochronie danych osobowych, możemy przekonać się o zakresie wprowadzonych zmian i nowych obowiązkach dla administratorów danych. Czy czeka nas wiele zmian? O tym w dzisiejszym artykule.
Zasady przetwarzania danych wg UODO
Art. 26 obowiązującej obecnie ustawy o ochronie danych osobowych (dalej zwanej UODO) zawiera 5 zasad, z którymi przetwarzanie danych musi być zgodne. Mowa o zasadach:
- Legalności – przetwarzanie danych powinno odbywać się z zachowaniem przynajmniej jednej z przesłanek określonych w art. 23 UODO (np. zgoda, wykonanie umowy);
- Celowości – zwana również zasadą związania z celem – zbieranie danych powinno być dokonywane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami;
- Merytorycznej poprawności – administrator jest obowiązany zapewnić poprawność danych, tj. aby były zgodne z prawdą, pełne (kompletne) i aktualne;
- Niezbędności – administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych. Takiej oceny powinien dokonać najpóźniej w momencie ich zbierania;
- Ograniczenia czasowego – administrator ma obowiązek przechowywania danych w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż to jest niezbędne do osiągnięcia celu przetwarzania. Potem (np. wykonaniu zawartej umowy, upływie wskazanego w przepisach prawa okresu przechowywania danych) dane powinny zostać usunięte lub zanonimizowane.
Zasady przetwarzania danych wg RODO
Wprowadzające przyszłoroczne zmiany rozporządzenie o ochronie danych osobowych (dalej zwane RODO) w art. 5 wskazuje na 7 zasad, jednak niektóre mogą wydawać się znajome 😉 Warto porównać ich opisy, by zauważyć, jak są do siebie podobne. W wielu przypadkach doprecyzowania szczegółowych obowiązków ujętych w kolejnych artykułach RODO wynikają z praktyki organów ochrony danych potwierdzonych orzecznictwem sądów krajowych i europejskich. Warto porównać ich opisy, by zauważyć, jak są do siebie podobne.
- zgodność z prawem, rzetelność i przejrzystość – dane muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
- ograniczenie celu – dane muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
- minimalizacja danych – dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
- prawidłowość – dane muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
- ograniczenie przechowywania – dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
- integralność i poufność – dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Szósta zasada nie jest do końca taką nowością. Dziś w przepisach UODO odpowiada jej art. 36 ust. 1, który określał obowiązek administratora i podmiotu przetwarzającego dane:
Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
W siódmej zasadzie stwierdzono, iż administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). To tutaj zachodzi jedna z większych zmian w podejściu do ochrony danych osobowych. Od 25 maja przyszłego roku administrator będzie miał swobodę w wyborze środków organizacyjnych i technicznych, które wykorzysta do zabezpieczenia przetwarzanych danych klientów, pracowników i współpracowników. Tak długo, jak będzie w stanie wykazać organowi nadzorczemu spełnianie wymogów RODO, będzie działał zgodnie z prawem.
Co dalej z polityką bezpieczeństwa?
Dziś, pod rządami art. 36 ust. 2 ustawy państwo wymaga, by administrator prowadził dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę. W rozporządzeniu wykonawczym Ministra Spraw Wewnętrznych i Administracji z 2004 r. ustalono minimalne zasady ochrony danych. Każdy administrator musi opracować dokumentację ochrony danych w postaci:
- polityki bezpieczeństwa oraz
- instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Wymagane jest np. zmienianie haseł dostępowych do baz zawierających dane osobowe co 30 dni. Określono także, jakie poziomy bezpieczeństwa są wymagane dla poszczególnych kategorii danych. Spełnienie tych wymogów ma na celu zapewnić zgodność z przepisami prawa. To te dokumenty w pierwszej kolejności interesują inspektorów GIODO. Ale czy działania takie są wystarczające do zapobiegania nowym zagrożeniom związanym z przetwarzaniem?
Od 25 maja 2018 r. nie będzie obowiązku prowadzenia dokumentacji papierowej i tworzenia dokumentów na podstawie rozporządzenia z 2004 r.
Niektórych może zaskoczyć, iż rozporządzenie to było zmieniane dokładnie … zero razy. Z jednej strony można stwierdzić, że nie było takiej potrzeby, bo zasady w niej ujęty były neutralne technologicznie. Ale z drugiej, czy w tym czasie nie zmienił się model przetwarzania danych (np. rozwiązania chmurowe stosowane na szeroką skalę) oraz zakres informacji zbieranych o klientach i współpracownikach?
Polityka prywatności – czy wciąż będzie konieczna?
Obok dokumentacji technicznej dziś wielu usługodawców internetowych przygotowuje także politykę prywatności. Ten dokument zawiera informacje o usługodawcy, celach przetwarzania danych oraz prawach przysługujących klientom. Ten szczególny sposób realizacji obowiązków informacyjnych nadal będzie musiał być realizowany. Każdy administrator musi informować o prowadzonych przez siebie operacjach przetwarzania danych. Czytelna i zrozumiała polityka prywatności pomoże uniknąć potencjalnych zapytań o sposób przetwarzania danych od osób, których dane dotyczą.
Zasady przetwarzania danych wg RODO – podsumowanie
Przetwarzanie informacji jest obecne na każdym kroku naszego życia. Czy nowe zasady i wynikające z nich obowiązki spowodują wzrost bezpieczeństwa naszych danych i spadek liczby przypadków nadużyć? Będzie to zależeć przede wszystkim od samych administratorów oraz organów powołanych do ścigania nieprawidłowości. Z odpowiedzią na to pytanie będziemy musieli jeszcze poczekać. Poza przestrzeganiem przepisów RODO przez podmioty zaangażowane w przetwarzanie będzie to także zależne od Ministerstwa Cyfryzacji, które przygotowuje projekt nowej ustawy o ochronie danych. Będzie on przede wszystkim regulował pozycję organu ochrony danych – dziś Generalnego Inspektora Ochrony Danych Osobowych (LINK) (mogliście już o nim przeczytać na naszych łamach).
Obok działań państwa oraz przedsiębiorców ważna będzie także postawa każdego z nas:
czy będziemy chcieli korzystać z nowych uprawnień i w ten sposób samodzielnie kontrolować nasze dane i ich wykorzystanie?
O tym i metodach realizacji obowiązku informacyjnego przeczytacie w kolejnych artykułach w naszym serwisie.
***