Mniej niż rok do RODO. Czy jesteś na to gotowy? Część 4.

Redakcja, 9 sierpnia 2017, 22:40

W kolejnym artykule przygotowującym naszych czytelników do wejścia w życie przepisów o RODO zamieszczamy odpowiedź na dalsze pytania, które postawiliśmy przed pracownikami biura Generalnego Inspektora Danych Osobowych. 

Oceną tego, czy dane są odpowiednio zabezpieczone zajmie się pracownik urzędu ochrony danych osobowych. W jaki sposób będą odbywać się kontrole? Będą wybiórcze? Pewnego dnia urzędnik po prostu zapuka do drzwi warsztatu/sklepu?

Na obecnym etapie prac nad reformą systemu ochrony danych osobowych wskazać można, że organy nadzorcze, odpowiedzialne w poszczególnych państwach członkowskich za monitorowanie stosowania unijnego rozporządzenia o ochronie danych osobowych, są uprawnione do wykonywania swoich zadań w sposób całkowicie niezależny, na co wskazuje m.in. motyw 117 rozporządzenia.

Do uprawnień organów nadzorczych należy m.in.: prowadzenie postępowań w formie audytów ochrony danych; uzyskiwanie od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań; uzyskiwanie dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego (art. 58 rozporządzenia).

Tym samym każdy organ nadzorczy, w tym GIODO, jest uprawniony do korzystania z powyższych uprawnień, także w zakresie kontroli zgodności przetwarzania danych osobowych z prawem. Niemniej podkreślić należy, że nie wszystkie kwestie są wprost i szczegółowo uregulowane w przepisach rozporządzenia.

Część zagadnień będzie podlegała doprecyzowaniu w przepisach prawa polskiego. Jednym z takich obszarów jest m.in. procedura kontroli, w tym sposób jej prowadzenia, co zostanie określone w przepisach nowej ustawy o ochronie danych osobowych, nad którą obecnie pracuje Ministerstwo Cyfryzacji. Na tym etapie prac jest jeszcze za wcześnie, by mówić o szczegółach.

Nie możemy oczekiwać, że mniejszych przedsiębiorców będzie stać na wprowadzenie w swojej firmie zaawansowanych systemów zabezpieczeń. Mogą zatem paść np. ofiarą ataku hakerskiego, którego efektem będzie wyciek danych. Co właściciel firmy powinien zrobić w takiej sytuacji i jakie grożą mu konsekwencje?

Zgłaszanie naruszeń ochrony danych (o czym stanowi art. 33 rozporządzenia) dla większości administratorów danych będzie zupełnie nowym obowiązkiem. Od 2013 r. takie incydenty zgłaszają do GIODO operatorzy telekomunikacyjni, którzy zdążyli już w tym czasie wypracować procedury wykrywania, analizy i zgłaszania naruszeń ochrony danych.

Począwszy od 25 maja 2018 r. obowiązek ten będzie jednak spoczywał na podmiotach ze wszystkich branż.

Zaznaczyć należy, że naruszenie ochrony danych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Pamiętać jednak należy, że nie każde naruszenie będzie wymagało poinformowania GIODO. Zgłosić taki incydent trzeba będzie jedynie wtedy, gdy może on skutkować ryzykiem naruszenia praw i wolności osób, np. prowadzić do kradzieży lub fałszowania tożsamości, straty finansowej, naruszenia dobrego imienia czy też naruszenia tajemnic prawnie chronionych.

W takim przypadku naruszenie należy zgłosić do GIODO nie później niż 72 godziny po stwierdzeniu (wykryciu) incydentu, gdyż brak odpowiedniej i szybkiej reakcji może mieć bardzo negatywne konsekwencje dla osób, których dane dotyczą.

Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin należy dołączyć wyjaśnienie przyczyn opóźnienia. Zgłoszenie naruszenia ochrony danych osobowych musi co najmniej:

  • opisywać charakter naruszenia ochrony danych osobowych oraz w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym – w stosownych przypadkach – środki w celu zminimalizowania jego ewentualnych negatywnych skutków
    Jeżeli – oraz w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki

Administrator danych zobowiązany będzie dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.

Zgodnie z art. 34 rozporządzenia, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki ma również o takim naruszeniu zawiadomić osobę, której dane dotyczą. Powyższe zawiadomienie nie jest wymagane, gdy:

  • administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające osobom nieuprawnionym odczyt danych osobowych
  • administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą
  • wymagałoby ono niewspółmiernie dużego wysiłku; w takim przypadku wydany zostanie publiczny komunikat lub zastosowany zostanie podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Za nieprzestrzeganie zasad ochrony danych osobowych rozporządzenie przewiduje wysokie kary finansowe. Z samego założenia mają być one bowiem skuteczne, proporcjonalne i odstraszające. To powinno przyczynić się do zachowania większej dbałości o to, by dane były przetwarzane zgodnie z prawem. Zgodnie z treścią rozporządzenia, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku.

Decydując, czy należy nałożyć taką karę oraz ustalając jej wysokość, zwraca się należytą uwagę na takie czynniki, jak charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody, umyślny lub nieumyślny charakter naruszenia, działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich, wszelkie wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego, stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, kategorie danych osobowych, których dotyczyło naruszenie, sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.

Pod uwagę brane będzie również stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji oraz wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Kolejna, ostatnia już, dawka informacji pozyskanych bezpośrednio u źródła w przyszłym tygodniu.

Komentarze

Brak komentarzy