Obowiązki informacyjne w RODO

Jednym z kluczowych obowiązków administratora danych, wynikających z rozporządzenia unijnego o ochronie danych osobowych (RODO), jest obowiązek informowania osób, których dane dotyczą o przetwarzaniu ich danych osobowych.

Zgodnie z RODO dane osobowe powinny być przetwarzane w sposób przejrzysty dla osoby, której dotyczą.

„Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem  danych osobowych były łatwo dostępne i zrozumiałe, oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem”

Zakres informacji, który ma być udzielany zgodnie z RODO jest obszerny, znacznie szerszy, niż przewidują to aktualne  przepisy i można je podzielić na dwie grupy:

W pierwszej grupie mieszczą się informacje:

1) identyfikujące administratora;

2) o celach przetwarzania danych oraz podstawie prawnej przetwarzania;

3) o okresie, przez który dane osobowe będą przechowywane, a gdy podanie takich informacji nie jest możliwe, kryteria ustalania tego okresu;

4) o prawie żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania;

5) o prawie wniesienia skargi do organu nadzorczego;

6) czy podanie danych osobowych jest wymogiem ustawowym albo umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

W drugiej grupie mieszczą się informacje, które administrator danych będzie miał obowiązek przekazać osobie, której dane dotyczą, jeżeli zaistnieją następujące okoliczności:

1) jeżeli administrator z państwa trzeciego wyznaczył w Polsce swojego przedstawiciela, wówczas powinien podać informacje identyfikujące tego przedstawiciela;

2) jeżeli administrator powołał inspektora ochrony danych, powinien podać dane kontaktowe takiej osoby;

3) jeżeli przetwarzanie odbywa się na podstawie zgody, administrator powinien podać informacje o prawie do cofnięcia zgody w dowolnym momencie;

4) w sytuacji, gdy przetwarzanie danych odbywa się w oparciu o prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią, administrator powinien wskazać ten interes;

5) jeżeli przetwarzanie danych (jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi bądź przetwarzanie odbywa się w oparciu o prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią), administrator powinien podać informacje o prawie wniesienia sprzeciwu wobec przetwarzania;

6)jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy i jest dokonywane w sposób zautomatyzowany, to administrator powinien przekazać podmiotowi danych informacje o prawie do przenoszenia danych;

7) jeżeli dane będą przekazywane odbiorcom, wówczas administrator powinien poinformować osobę, której dane dotyczą, o odbiorcach lub o kategoriach odbiorców danych;

8) jeżeli administrator zamierza przekazać dane do państwa trzeciego bądź organizacji międzynarodowej, powinien poinformować o zamiarze przekazania danych i warunkach tego przekazania;

9) jeżeli administrator stosuje mechanizmy podejmowania zautomatyzowanych decyzji oraz profilowania, to powinien podać informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Dodatkowo należy pamiętać, że  jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, to zgodnie z przepisami RODO przed dalszym przetwarzaniem powinien poinformować osobę, której dane dotyczą, o innym celu, oraz udzielić jej wszelkich innych stosownych informacji.

Na koniec omawiania tego istotnego obowiązku nie można pominąć faktu, iż  przepisy RODO za naruszenie przepisów dotyczących m.in. obowiązków informacyjnych przewidują możliwość wymierzenia przez organ nadzorczy administracyjnej kary pieniężnej w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Wprowadzenie tak wysokich kar pieniężnych ma mieć m.in. charakter odstraszający i skłonić administratorów danych do wypełniania obowiązków nałożonych przepisami RODO.

Wobec powyższego  nie opłaca się oszczędność informacyjna wobec osób, których dane przetwarzasz.

 

Inspektor Ochrony Danych (IOD) w świetle prawa  nie może być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań.

Jest to w mojej ocenie dość niejasne sformułowanie. Czytając zapis literalnie administrator danych nie może odwołać IOD z funkcji czy w jakikolwiek sposób ukarać za wypełnianie przez niego zadań, ale co, gdy IOD wykonuje zadania nieprawidłowo czy wręcz źle. Czy to oznacza, że przyszły IOD będzie miał status nietykalnej „świętej krowy”.

W wytycznych dotyczących IOD opublikowanych przez Grupę Art. 29 d/s Ochrony Danych czytamy:

„Zgodnie z normalnymi regułami, przepisami karnymi i prawa pracy, jak w przypadku każdego innego pracownika, IOD może zostać odwołany w uzasadnionych sytuacjach z przyczyn innych niż wykonywanie obowiązków IOD (np. kradzież, nękanie fizyczne i psychiczne, molestowanie seksualne, ciężkie naruszenie obowiązków).”

W mojej ocenie, jeśli IOD będzie pracownikiem administratora danych będzie on podlegał takim samym regułom oceny jak inni pracownicy określonym w kodeksie pracy również w zakresie prawa pracodawcy do rozwiązania stosunku pracy tak za wypowiedzeniem jak i bez wypowiedzenia.

Sformułowany w treści rozporządzenia zakaz odwoływania oraz karania przez administratora oraz podmiot przetwarzający za wypełnianie swoich zadań należy interpretować w kontekście w/w wspomanianych wytycznych. Przykładowo  „IOD może uznać określone przetwarzanie za wysoce ryzykowne i zalecić administratorowi lub podmiotowi przetwarzającemu, ale administrator lub podmiot przetwarzający nie zgadza się z oceną IOD. W takiej sytuacji IOD nie może zostać odwołany ani karany za udzielenie określonego zalecenia.”

Nie zmienia to faktu, że pracodawca czyli podmiot powołujący IOD nie zostaje pozbawiony prawa oceny jego pracy  i wyciągania wniosków co do jakości tej pracy czy wręcz wyciagania konsekwencji związanych z nienależytym wykonywaniem obowiązków przez Inspektora.

W świetle rozporządzenia skoro to adminstrator danych powołuje IOD jak również weryfikuje komptencje IOD do pełnienia tej funkcji to oczywistym w mojej ocenie jest korelat tego uprawnienia tj. prawo do oceny jakości pracy IOD jak również prawo do rozliczania go w przypadku niewłaściwego wykonywania tychże obowiązków.

Zważywszy na fakt, że wykwalifikowany IOD ma stanowić fundament dla przestrzegania przepisów RODO w organizacji oraz zważywszy na fakt, że odpowiedzialność za to przestrzeganie spoczywa na ADO nie sposób sobie wyobrazić, aby ADO nie posiadał prawa do odwołania inspektora w przypadku braku oczekiwanych kompetencji oraz doświadczenia.

O wiedzy fachowej Inspektora Ochrony Danych osobowych pisałam Tutaj, kładąc nacisk na wysoki poziom tej wiedzy.

Już po napisaniu artykułu zadzwonił do mnie ABI zaznaczając, że jest świeżo nominowanym ABI, z pytaniem o poradnik dla początkującego ABI. Ów ABI został najpierw powołany i dopiero potem rozpoczął zdobywanie wiedzy niezbędnej dla wykonywania obowiązków.

Czy osoba, tak jak w tym przypadku nie dysponująca od początku odpowiednią wiedzą, jest w stanie zapewnić zgodność przetwarzania danych osobowych z przepisami o ochronie danych osobowych, czy podoła wyzwaniom stawianym przez nowe prawo ochrony danych osobowych, czy wreszcie administrator danych zapewni mu środki i narzędzia niezbędne do należytego wykonywania tych zadań. Mam spore  wątpliwości.

Powoływanie ABI w taki, jak opisany wyżej, sposób jest kolejnym dowodem na ignorancję administratorów danych w sferze prawa ochrony danych osobowych. A co tam powołamy sobie ABI a potem będziemy go szkolić lub sam się będzie szkolił, najlepiej w internecie.

W aktualnym stanie prawnym nie ma obwiązku powoływania ABI, po co więc powoływać ABI, który nie dysponuje odpowiednią wiedzą i doświadczeniem. Niewykluczone, że administratorzy danych powołują ABI w przeświadczeniu istnienia takiego obowiązku.

Zadziwiający jest też fakt, że osoby często przypadkowe nie mające odpowiedniej wiedzy a bywa, że żadnej wyrażają zgodę na pełnienie funkcji ABI i przyjmują związaną z tym odpowiedzialność.

Trudno wyobrazić sobie, aby na stanowisko głównego księgowego pracodawca zatrudnił osobę, która nie ma odpowiedniego wykształcenia, doświadczenia i wiedzy. Trudno też sobie wyobrazić, aby jakikolwiek pracownik przyjął na siebie obowiązki głównego księgowego nie mając wcześniej do czynienia z księgowością.

Jednak okazuje się z funkcją ABI jest inaczej i gdy szef wskazuje jakiegoś przypadkowego pracownika jako kandydata na ABI to pracownik ów taką ofertę przyjmuje, może i  nie do końca chętnie, ale się godzi. Czasami wręcz uważa, że może to być dla niego korzystne i wzmocni jego pozycję w firmie a czasami ne ma wyboru.

W aktualnym stanie prawnym nie ma obowiązku powołania ABI i nie należy tego czynić wybierając  przypadkową osobę do pełnienia tej funkcji. W szczególności z uwagi na nowe prawo ochrony danych osobowych, które już wkrótce wejdzie w życie a  które wymusi zmianę stosunku administratorów danych do obowiązków w zakresie ochrony danych osobowych.

ABI to przyszły Inspektor Danych Osobowych i w świetle nowego prawa ma stanowić fundament nowego, skutecznego systemu ochrony danych osobowych. Jednakże solidny fundament oznacza przede wszystkim odpowiednią wiedzę i doświadczenie.

Rozpoczęcie stosowania, od 25 maja 2018 r., przepisów ogólnego rozporządzenia o ochronie danych (RODO) oznacza, że obowiązki i odpowiedzialność administratorów danych za zgodne z prawem przetwarzanie danych osobowych znacznie się zwiększą.

Tym zaś, którzy nie będą respektowali nowych zasad ochrony danych, grozić będą wysokie kary finansowe. Stąd też sprostanie nowym wymogom, m.in. dzięki wsparciu kompetentnego inspektora ochrony danych, mającego zarówno bogatą wiedzę teoretyczną, jak i konkretne umiejętności praktyczne, nabiera coraz większego znaczenia.

Jednakże świadomośc powyższego jest jeszcze wśród przedsiębiorców bardzo słaba, stąd w dalszym ciągu przypadkowe powołania ABI, którzy nie są oraz nie będą w stanie zapewnić wymaganej przez przepisy RODO  zgodności przetwarzania danych.

Odpowiedzialność za niestosowanie lub nieprawidłowe stosowanie RODO i konsekwencje w postaci kar finansowych spocznie na administratorach danych a nie osobach sprawujących funkcje Inspektora Danych Osobowych.

W wytycznych Grupy Roboczej Art. 29 dotyczących DPO czytamy:

„Choć artykuł 37(5) nie wskazuje konkretnych kwalifikacji zawodowych, jakie należy brać pod uwagę wyznaczając DPO, to jednak istotne jest, by DPO posiadał odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych i praktyk, jak również dogłębną znajomość RODO

i dalej

Zalecana jest również wiedza biznesowa i sektorowa dotycząca administratora. DPO powinien również posiadać odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych”.

Jak widać powyżej wymagania wobec przyszłego DPO są duże w szczególności w zakresie znajomości przespisów o ochronie danych osobowych tak europejskich jak i krajowych. Tutaj wymagana jest dogłębna znajomości.

Zalecana jest również wiedza w zakresie przetwarzania danych w systemach informatycznych oraz stosowanych zabezpieczeń u administratora danych. Nie oznacza to w mojej ocenie, że DPO musi zdobyć szczegółową czy techniczną wiedzę dotyczącą  bezpieczeństwa systemów informatycznych czy znać treść norm regulujących te zagadnienia.

Ważne jest jednak, aby posiadł ogólną wiedzę teoretyczną oraz praktyczną dotyczącą przetwarzania danych w systemach informatycznych u administratora danych, potrafił dokonać kwalifikacji prawnej stosowanych sposobów przetwarzania danych w szczególności z zakresu nowych technologii.

Na koniec należy podkreślić, iż  w świetle RODO powołanie DPO także nie będzie obowiązkowe i nie należy tego czynić bez szczegółowej analizy  procesów przetwarzania danych osobowych u danego administratora ze szczególnym uwzględnieniem ryzyka tego przetwarzania dla praw i wolności osób fizycznych.

Inspektor Danych Osobowych ma konkretne przepisami określone zadania do wypełnienia. Nie jest i nie może być tylko figurantem pozorującym zgodność przetwarzania danych osobowych. Jego działania muszą być realne i skuteczne a administrator danych jest zobowiązany mu to umożliwić.

Powoływanie na stanowisko Inspektora Danych Osobowych osób niekompetentnych w świetle RODO będzie działaniem bardzo ryzykowanym, gdyż  nieprawidłowe wykonywanie zadań przez Inspektora to ryzyko kar finansowych dla administratora danych.

„My Friend Cayla” „bez wiedzy rodziców może nagrywać i transmitować rozmowy dziecka i innej osoby” pojawiła się na ryku zabawek niemieckich, gdzie na skutek protestów rodziców oraz interwencji niemieckiego organu d/s ochrony danych osobowych, została wycofana.

Lalki zaczynają natomiast pojawiać się m.in. w ofertach naszych serwisów aukcyjnych i niektórych internetowych sklepów z zabawkami na polskim rynku, stając się dla polskich dzieci i ich rodziców takim samym źródłem zagrożenia. Podobnie zresztą jak inne zabawki podłączone do sieci – ostrzega dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych (GIODO).

GIODO radzi, aby interaktywne zabawki były przez rodziców wybierane ze szczególną ostrożnością, gdyż przy nieodpowiednio zabezpieczonym łączu Bluetooth, otoczenie dziecka mogą podsłuchiwać obce osoby.

Jak czytamy na stronach GIODO interaktywne zabawki zwane „CloudPets, mogą komunikować się bezprzewodowo z najbliższym w otoczeniu urządzeniem, np. smartfonem, i dalej za jego pośrednictwem poprzez aplikację CloudPets App przesyłać komunikaty do innych podobnych zabawek w dowolne miejsce na świecie. Komunikaty te mogą być ponadto przechowywane w chmurze obliczeniowej, z którą łączy się wspomniana aplikacja.

Nasze dzieci aktualnie bardzo szybko stają się posiadaczami smartofonów, tabletów, szybciej niz ich rodzice uczą się korzystać ze zdobyczy nowych technologii. Z jednej strony umiejętności te cieszą a z drugiej mogą stać się źródłem potencjalnych zagrożeń, gdyż za wzrostem umiejętności nie idzie świadomość czyhających na dziecko zagrożeń.

Kto by pomyślał, że niewinna zabawka lalka może szpiegować dziecko i jego otoczenie, dlatego reakcja niemieckiego urzędu d/s ochrony danych osobowych była tak zdecydowana a lalki wycofane ze sprzedaży.

Pamiętajmy, że jest to tylko przykład udowodnionej ingerencji w prywatność osoby fizycznej tym bardziej nagłośniona, że dotyczy dzieci. Jednakże problem dotyczy również dorosłych, do których kierowane są bardziej wyrafinowane rozwiązania technologiczne w formie np. aplikacji mobilnych różnego rodzaju, przetwarzających dane osobowe często w sposób nieadekwatny do potrzeb.

Rozwaga i ostrożność w korzystaniu z nowinek technologicznych w internecie to odruchy rzadko spotykane u użytkowników. Być może dlatego, że wyobrażenie potencjalnego niezbepieczeństwa jest abstrakacją. Trudno sobie wyobrazić, że z samego klikania może zrodzić się coś dla nas niedobrego tak samo jak niewiargodne jest, że lalka może być prawdziwym szpiegiem.

lalka

 

Wiemy już, że dzisiejszego ABI zastąpi DPO czyli inspektor ochrony danych osobowych. Wprawdzie jego powołanie w organizacji nie w każdym przypadku będzie obowiązkiem, jednakże każdy administrator danych osobowych powinien przeanalizować ewentualną potrzebę powołania DPO w swojej organizacji.

Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań.

Wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być to poziom współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki.

Słowem poziom wiedzy DPO powinien być wprost proporcjonalny do poziomu skomplikowania przetwarzania danych w ramach danej jednostki. Wyższy poziom skomplikowania implikuje wyższy poziom fachowości ABI.

Rekrutacja odpowiedniego dla swojej organizacji DPO spoczywa na administratorze danych, który ponosząc odpowiedzialnośc za zagodność przetwarzania z prawem będzie musiał podołać i temu obowiązkowi.

Powołanie kompetentnego DPO to w mojej ocenie jedna z najważniejszych o ile nie najważniejsza czynność administratora danych osobowych, gdyż to DPO będzie stał na straży  zgodności przetwarzania danych osobowych z przepisami. I to od jego wiedzy, kompetencji oraz doświadczenia będzie zależał poziom zgodności przetwarzania w jednostce.

Z mojego doswiadczenia wynika, iż stan wiedzy z zakresu ochrony danych osobowych w większości firm jest bardzo niski. ABI w chwili obecnej jest chyba jedyną osobą w firmie, która ma jakąś wiedze na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Niestety często nie jest to wiedza w mojej ocenie odpowiednia, z czego sami ABI doskonale zdają sobie sprawę.

W mojej ocenie odpowiednia wiedza i doświadczenie DPO jest jedną z najbardziej kluczowych kwestii nie tylko w kategoriach „być lub nie być”  DPO ale i „być lub nie być” dla administratora danych, który finalnie będzie finansowo odpowidał za błędy swojego DPO.

Reasumując wybór przez administratora danych osobowych DPO bez odpowiedniej wiedzy na temat prawa oraz praktyk w dziedzinie ochrony danych osobowych, może firmę bardzo dużo kosztować.

Dotychczas w polskim porządku prawnym dotyczącym ochrony danych osobowych brakowało tak naprawdę sankcji za brak zgodności przetwarzania danych osobowym z prawem. Brak sankcji przekładał się na stosunek administratorów danych do wymaganych prawem obowiązków, które w ogromnej mierze były lekceważone. Tak samo ABI to częściej osoba z tzw. „łapanki” z przypadkowego rozdania niż naprawdę świadomy wybór stąd braki w zakresie odpowiedniej wiedzy ABI.

Czas szybko mija, do 25 maja 2018 r. zostało już bardzo niewiele czasu ale jednocześnie na tyle dużo, żeby ABI, którzy na poważnie myślą o swojej przyszłości w tym zawodzie dołożywszy odpowiednich starań podniesili poziom swojej wiedzy tak, by był on odpowiedni na podjęcie nowych wyzwań w dziedzinie ochrony danych, a ADO w obawie przed konskewencjami braku tej wiedzy powinien  wysiłki swoich ABI aktywnie wspierać.

Kontekst przetwarzania danych

Dokładne rozpoznanie kontekstu przetwarzania danych osobowych jest pierwszą i najważniejszą czynnością niezbędną dla dokonania oceny zgodności przetwarzania danych.

Prawo ochorny danych osobowych jest prawem kontekstowym i bez znajomości kontekstu przetwarzania danych nie ma szans na poprawne uprządkowanie w organizacji tej sfery.

Co do zasady kontekst przetwarzania danych osobowych w tej samej branży będzie podobny, jak na przykład w sektorze zdrowia, w którym przetwarzanie danych osobowych odbywa się w kontekście (celu) udzielania świadczeń zdrowontych. Podmioty udzielające tych świadczeń korzystają często z takich samych lub podobnych sposóbów przetwarzania danych osobowych.

Jednak w wielu sytuacjach szczególnych ocena zgodności przetwarzania wymaga rozłożenia na czynniki pierwsze badanej sytuacji zwłaszcza, gdy przetwarzanie wykonywane jest przy pomocy nowych technologii dostarczanych przez podmioty trzecie, co obecnie jest regułą.

W dużych organizacjach projekty biznesowe prowadzone są przez zespoły  osób a współpraca często polega na podziale zadań pomiędzy tymi osobami. Nie tak dawno spotkałam się z sytuacją w której prawnik poproszony o ocenę sposobu przetwarzania danych osobowych nie miał dostępu do wszystkich umów, które dla tej oceny miały istotne znaczenie z tej prostej przyczyny, że weryfikacja części umów nie wchodziła w zakres jego kompetencji.

Pamiętajmy, że rozpoznanie kontekstu ma kluczowe znaczenie dla poprawnej oceny. Ten kontekst to może być treść zawartych umów, bez znajomości których nie mamy szans na zdefiniowanie procesów przetwarzania jak i uczestników tego przetwarzania.

Zgodnie z rozporządzeniem unijnym administrator danych powinien włączać inspektora ochrony danych osobowych we wszystkie projekty, z którymi związane jest przetwarzanie danych. Takie włączanie inspektora ma mu ułatwić oraz umożliwić poznawanie kontekstu przetwarzania danych osobowych, co kluczowe jest dla należytego wykonywania zadań przez inspektora danych osobowych.

Konteksty przetwarzania danych są różnej wagi i o różnym stopniu skomplikowania od prostych stanów faktycznych po bardzo złożone czasami wymagające dużej wiedzy, doświadczenia a także umiejętności interpretowania przypisów różnych aktów prawnych.

Postulat ogólnego rozporządzenia unijnego w sprawie ochrony danych osobowych, aby inspektor ochrony danych osobowych dobrze znał swoją branże jest bardzo trafiony, gdyż  inspektor znający dobrze specyfikę swojej branży ma duże szanse na podołanie bowiązkom nałożonym na niego przez rozporządzenie.

Inspektorzy ochrony danych, dysponujący odpowiednią wiedzą i umiejętnościami, będą stanowić fundament nowego, skutecznego systemu ochrony danych osobowych. Stąd podnoszenie ich kwalifikacji to jeden z priorytetów GIODO.

Więcej przeczytasz  Tutaj.

Jedną z głównych przyczyn reformowania prawa ochrony danych osobowych była wola stworzenia bezpiecznego i jednolitego rynku cyfrowego. Wymiana dóbr i usług przez internet lub za jego pośrednictwem jest nieodzownym elementem naszych czasów, ale pomimo zalet niesie też istotne zagrożenia.

W chwili obecnej prowadzenie biznesu bez internetu i możliwości, które on daje  jest prawie niemożliwe.  Z drugiej strony sami konsumenci są istotnym uczestnikiem internetowej wymiany dóbr i usług coraz więcej kupując przez internet, korzystając z różnego rodzaju portali społecznościowych, grup dyskusyjnych czy aplikacji mobilnych.

Wymiana pomiędzy usługodawcami a usługobiorcami wymaga wchodzenia w relacje biznesowe i prawne, z którymi związana jest często konieczność przetwarzania danych osobowych. Nowe technologie w swojej dynamice nieustannie dostarczają nowych sposobów przetwarzania danych.

Technologie nie są już jedynie wykorzystywane do obsługi prostej transakcji sprzedaży, ale też do innych celów takich jak na przykład monitorowanie czy profilowanie usługobiorców na podstawie dostępnych danych. Najogólniej profilowanie polega na obserwacji zachowań użytkownika w internecie i na tej podstawie przewidywaniu jego zachowań, preferencji czy decyzji.

Wielość operacji na danych osobowych związana z rozwojem nowych technologii jest nieograniczona i trudna do przewidzenia. Z tym rozwojem nieodłącznie związana jest ingerencja w prywatność osób fizycznych. Dla zapewnienia bezpieczeństwa tym osobom, ktore uczestniczą w cyfrowej wymianie dóbr i usług zostało powołane rozporządzenie o ochronie danych osobowych osób fizycznych.

Z moich obserwacji wynika, iż świadomość reformy prawa ochrony danych osobowych stale się zwiększa, ale jest wciąż bardzo mała.  W dalszym ciągu obserwowuję podjeście do ochrony danych osobowych jako kwestii mniejszej wagi, często niezrozumiałej i abstrakcyjnej.

Nowe rozporządzenie wprowadza jako istotnę novum podejście oparte na ryzyku, co oznacza, że to administrator danych po ocenie ryzyka dla przetwarzania danych będzie odpowiedzialny za dobór odpowiednich środków zapewniających bezpieczeństwo danych w jego organizacji. Skalowanie ryzyka dla przetwarzania danych nie oznacza jednak skalowania odpowiedzialności, gdyż odpowiedzialność dla wszystkich podmiotów jest taka sama.

Zgodnie z rozporządzeniem operacje na danych z użyciem nowych technologii czy polegające na monitorowaniu czy tworzeniu profili z reguły stwarzają ryzyko dla przetwarzania danych. Z tego powodu dla tych operacji rozporządzenie przewiduje szereg mechanizmów prawnych, których celem jest zapewnienie bezpieczeństwa dla przetwarzania danych.

Rok 2017 jest rokiem, w którym wymagania nowego prawa ochrony danych osobowych powinny być wdrażane przez organy tak prywatne jak i publiczne. W szczególności dotyczy to nowych projektów, wdrażania nowych systemów informatycznych czy aplikacji, gdyż już na etapie projektowania powinny być wdrażane środki służące ochronie danych osobowych osób fizycznych. Umożliwiłoby to w przyszłości administratorom danych korzystającym z takich narzędzi wywiązywanie się z obowiązków rozporządzenia.

Na stronie GIODO czytamy:

„Konieczność podawania wielu, nieraz intymnych danych, podczas rejestracji w przychodni lub poradni lekarskiej, bez zapewnienia ich poufności i poszanowania prywatności, to sytuacje, na które do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) wciąż skarżą się pacjenci.”

Stąd w planie kontroli przeprowadzanych przez inspektorów GIODO ujęto ten właśnie sektor.

Dzięki temu możliwe będzie dokonanie oceny przetwarzania danych osobowych w większej liczbie placówek opieki zdrowotnej, niezależnie od tego, czy są prowadzone przez podmioty publiczne, czy prywatne.

W mojej opinii w branży medycznej jest wiele do zrobienia w zakresie zapewnienia zgodności przetwarzania danych osobowych. Ochrona danych medycznych rozpoczyna się od realnego zrozumienia i świadomości dotyczacej tajemnicy zawodowej zobowiązującej do zachowania w tajemnicy wszelkich informacji dotyczących pacjenta.

Tajemnica danych medycznych dotyczy nie tylko osób wykonujących zawody medyczne, ale także osób z nimi współpracujących na przykład w zakresie wsparcia IT dla systemów informatycznych funkcjonujących w placówkach medycznych.

Dane o stanie zdrowia jako wrażliwe dane osobowe podlegają dodatkowo ochronie w świetle ustawy o ochronie danych osobowych. Zgodnie z nimi administrator danych zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych i zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem.

Na koniec krótki przypadek z życia. Ostanio znajoma opowiadała mi, że z łatwością mogła zapoznać się z dokumentacją medyczną osoby, która w tym samym, co ona dniu korzystała z usług medycyny estetycznej w renomowanym gabinecie lekarskim. Pan doktor zapraszając kolejną osobę nie schował karty leczenia poprzedniej pacjentki a pozostawił ją na biurku umożlwiając swobodne zapoznanie się z nią kolejnym pacjentom.

Moja znajoma jako radca prawny zwróciła uwagę na ten fakt bedąc już świadomą, że wobec takich zasad, kolejna pacjentka będzie miała możliwość zapoznania się z jej kartą leczenia.

Taki sposób postępowania oznacza brak należytego zabezpieczenia danych przed dostępem osób do tego nieupoważnionych ale to tylko wierzchołek góry lodowej, jeśli chodzi o braki w tym obszarze.

Kontrole GIODO w branży medycznej zaplanowane na rok 2017 być miejmy nadzieję przyczynią się do lepszej ochrony naszych wrażliwych danych osobowych przez tę branżę.

A dla samej branży będzie to też okazja do rozpoczęcia wdrażania wymogów ogólnego rozporządzenia unijnego w zakresie ochrony danych osobowych , co zważywszy na dotkliwe sankcje pieniężne, będzie miało swój pozytywny wymiar.

Sklepy z aplikacjami mobilnymi pękają w szwach. Każdy znajdzie coś dla siebie. Na moim smartfonie widzę następujące „Geometry Dash Lite”,  „Zabawny budzik”, „My Angela” „Math Games”, „Zalando”. Z większości korzysta dziecko. A jakie aplikacje mobilne Ty masz na swoim smatfonie? I co wiesz o aplikacji mobilnej oprócz tego, że spełnia pożądaną przez Ciebie funkcję, jest dla Ciebie pożyteczna.

Ośmielę się powiedzieć, że większość z nas niewiele wie o tym, jak  korzystanie z aplikacji mobilnych wpływa na naszą prywatność i raczej się na tym nie zastanawia.

Aplikacje mobilne to narzędzia, które oprócz dostarczania określonych pożytecznych funkcjonalności służą też do zbierania danych osobowych oraz ich dalszego przetwarzania. Większość aplikacji mobilnych dla instalacji wymaga  udostępnienia  danych geolokalizacyjnych a także dostępu do  plików przechowywanych na urządzeniu, na którym są instalowane.

Za  korzystanie z aplikacji mobilnych płacimy naszymi danymi osobowymi.

Aplikacja rządzi. To fakt. Jednak twórcy aplikacji mobilnych muszą pamiętać o ochronie prwatności użytkowników a także o spełnieniu wymogów w zakresie ochrony danych osobowych.

Dostęp do różnego rodzaju danych, których pozyskanie umożliwia aplikacja może odbywać się wyłącznie za zgodą użytkownika. Użytkownik powinien także być odpowiednio poinformowany o administratorze jego danych, o celach przetwarzania, prawie dostępu do danych itd.

Przetwarzanie danych osobowych w aplikacjach mobilnych i przy ich pomocy należy zakwalifikować jako przetwarzanie obciążone potencjalnie dużym ryzkiem dla ochrony danych osobowych. W świetle nowych przepisów o ochronie danych osobowych twórcy aplikacji mobilnych lub podmioty udostępniające takie aplikacje osobom fizycznym bedą obowiązani do wypełnienia szeregu obowiązków prawnych.

W świetle nowego prawa ochrony danych osobowych rygory naruszenia praw podmiotów danych będą bardzo srogie. Rozporządzenie bowiem przewiduje bardzo duże kary finansowe za naruszenia jego postanowień. Powinny mieć to na uwadze tak twórcy aplikacji mobilnych jak i podmioty wprowadzajace je komercyjnie na rynek.