Czy masz dowody…

Czy masz dowody na zgodność z RODO. Dzisiaj o sprawie wydawałoby się oczywistej a jednak jak sie okazuje w praktyce nie do końca.

Każdy wie, że aby wygrać w sądzie trzeba mieć dowody na popracie swojego stanowiska. Trzeba mieć dowody winy, aby kogoś skazać. W procesie karnym wątpliwości nie dające się rozstrzygnąć intrepretuje się na korzyść oskrażonego. W procesie cywilnym ciężar udowodnienia faktu spoczywa na osobie, która z tego faktu wywodzi skutki prawne.

W życiu też często poszukujemy dowodów na popracie swoich racji lub podejrzeń. Nawet małe dzieci, jeśli chodzi o dowody, wiedzą, że coś jest na rzeczy. Moja 7-letnia córka, gdy jej zarzucam, że jakaś wykryta przeze mnie psota jest na pewno jej dziełem patrząc na mnie bardzo poważnie z wyrzutem pyta czy mam na to dowody. Hm no faktycznie  namacalnych dowdów nie miałam.

To tak humorystycznie oczywiście, bo zmierzam do tego, że wykazanie zgodności przetwarzania danych osobowych z RODO również wymaga gromadzenia różnych dowodów.

Na przykład jeśli przetwarzasz dane na podstawie zgody muisz być w stanie wykazać, że osoba, której dane przetwarzasz rzeczywiście tę zgodę wyraziła. Musisz utrwalać dowody uzyskiwania zgód na przetwarzanie danych i je przechowywać tak, aby móc je okazać na przykład w razie kontroli urzędu lub w przypadku zgłoszenia roszczeń przez podmiot danych.

Czy gromadzisz  dowody pozyskiwania zgód, czy je utrwalasz, czy może tylko zabepieczasz się umownie obciążając odpowiedzialnością za proces zbierania zgód oraz ich utrwalania i przechowywania kontrahenta, który Ci dane udostępnia. Takie postanowienia w umowach są oczywiście pożądane w przypadku pozyskiwania danych od podmiotów trzecich. Jednak niestety nie są wystarczające.

Pamiętaj, że jako administrator to ty jesteś zobowiązany do wykazania dowódów, że osoba, której dane przetwarzasz wyraziła zgodę. W razie kontroli urzędu, jeśli twój kontrahent nie dostarczy Ci dowódów uzyskania zgód, do czego zobowiązał się w umowie, to ty jako administrator będziesz odpowiadał przed urzędem za uchybienia w tym zakresie. A także przed osobą, która doznała szkody, na skutek przetwarzania niezgodnie z prawem jej danych.

Czy coś daje ci w takiej sytuacji zawarta umowa oraz postanowienia w zakresie odpowiedzialności kontraktowej. Z pewnością, w zależności od treści umowy, będziesz mógł żądać od swojego kontrahenta naprawienia szkody, którą poniosłeś, bo na przykład urząd ukarał cię karą finansową lub zapłaciłeś odszkodowanie podmiotowi danych.

Jednakże twój kontrahent może podnosić swoje argumenty i niewykluczone, że dopiero na drodze sądowej uda Ci się odzyskać stracone pieniądze, o ile oczywiście, w sądzie przedstawisz odpowiednie dowody na poparcie swoich racji.

Szeroko w prasie omawiana była ostatnia kara, którą  UKE nałożył na Orange, gdyż firma nie wykazała dowdów pozyskania zgód osób, do których kierowała wiadomości SMS/MMS w ramach kampanii marketingwej. Na blogu również poruszałam ten przypadek TUTAJ.

Jak widać kwestia wydawałoby się oczywista, może umknąć lub zostać zaniedbana przez największę nawet firmy a konsekwencje takich zaniedbań, co widzimy na przykładzie Orange mogą być bardzo dotkliwe. Warto więc pamiętać i utrwalać niezbędne dowody na wykazanie zgodności przetwarzania z RODO.

Wdrażanie RODO – Zabezpieczenia

Każdy administrator danych odpowiedzialny jest za bezpieczeństwo i ochronę przetwarzanych danych osobowych przede wszystkim przed przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

RODO jednak nie zawiera szczegółowych wymogów w zakresie środków technicznych i organizacyjnych, które powinny być przez administratorów wdrażane w celu odpowiedniego zabezpieczenia danych. Decyzja o zastosowaniu odpowiednich środków będzie należała do administratora danych.

Dobierając odpowiednie zabezpieczenia administrator danych powinien przede wszystkim uwzględnić ryzyko związane z przetwarzaniem danych w swojej organizacji wynikające np. z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Środki organizacyjne i techniczne stosowane w celu zapewnienia bezpieczeństwa danym aktualnie mogą pozostać aktualne również po 25 maja 2018 r., jeśli oczywiście administrator danych uzna, że zapewnią one zgodność przetwarzania danych z wymogami RODO.

Więcej na zasygnalizowany temat przeczytasz na stronach GIODO Tutaj.

Czy jesteś gotowy na RODO?

W ramach sprawdzianu gotowości do RODO na stronach GIODO publikowane są w odcinkach pomocne we wdrażaniu RODO wyjaśnienia.

Czy RODO to rewolucja, czy zmiany będą zasadnicze, na czym będą polegały i co to oznacza dla administratora danych tego dowiemy się w kolejnym odcinku pomocnych wyjaśnień GIODO, które znajdziesz Tutaj.

Z mojej praktyki wynika, że ogólny stan świadomości o RODO jest w dalszym ciągu bardzo niski, dlatego takie edukacyjne akcje GIODO są bardzo ważne. Administratorzy danych zwłaszcza Ci mali i średni, ale więksi też często nie mają świadomości o istnieniu RODO a jeśli nawet niektórzy coś słyszeli, to już na pewno nie zdają sobie sprawy z wagi problemu.

Został rok, aż rok a może tylko rok, aby się przygotować na rewolucję. W przygotowaniu na pewno bardzo pomocne są wszelkie wytyczne i wyjaśnienia GIODO.

“My Friend Cayla” czyli lalka szpieg

„My Friend Cayla” „bez wiedzy rodziców może nagrywać i transmitować rozmowy dziecka i innej osoby” pojawiła się na ryku zabawek niemieckich, gdzie na skutek protestów rodziców oraz interwencji niemieckiego organu d/s ochrony danych osobowych, została wycofana.

Lalki zaczynają natomiast pojawiać się m.in. w ofertach naszych serwisów aukcyjnych i niektórych internetowych sklepów z zabawkami na polskim rynku, stając się dla polskich dzieci i ich rodziców takim samym źródłem zagrożenia. Podobnie zresztą jak inne zabawki podłączone do sieci – ostrzega dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych (GIODO).

GIODO radzi, aby interaktywne zabawki były przez rodziców wybierane ze szczególną ostrożnością, gdyż przy nieodpowiednio zabezpieczonym łączu Bluetooth, otoczenie dziecka mogą podsłuchiwać obce osoby.

Jak czytamy na stronach GIODO interaktywne zabawki zwane “CloudPets, mogą komunikować się bezprzewodowo z najbliższym w otoczeniu urządzeniem, np. smartfonem, i dalej za jego pośrednictwem poprzez aplikację CloudPets App przesyłać komunikaty do innych podobnych zabawek w dowolne miejsce na świecie. Komunikaty te mogą być ponadto przechowywane w chmurze obliczeniowej, z którą łączy się wspomniana aplikacja.

Nasze dzieci aktualnie bardzo szybko stają się posiadaczami smartofonów, tabletów, szybciej niz ich rodzice uczą się korzystać ze zdobyczy nowych technologii. Z jednej strony umiejętności te cieszą a z drugiej mogą stać się źródłem potencjalnych zagrożeń, gdyż za wzrostem umiejętności nie idzie świadomość czyhających na dziecko zagrożeń.

Kto by pomyślał, że niewinna zabawka lalka może szpiegować dziecko i jego otoczenie, dlatego reakcja niemieckiego urzędu d/s ochrony danych osobowych była tak zdecydowana a lalki wycofane ze sprzedaży.

Pamiętajmy, że jest to tylko przykład udowodnionej ingerencji w prywatność osoby fizycznej tym bardziej nagłośniona, że dotyczy dzieci. Jednakże problem dotyczy również dorosłych, do których kierowane są bardziej wyrafinowane rozwiązania technologiczne w formie np. aplikacji mobilnych różnego rodzaju, przetwarzających dane osobowe często w sposób nieadekwatny do potrzeb.

Rozwaga i ostrożność w korzystaniu z nowinek technologicznych w internecie to odruchy rzadko spotykane u użytkowników. Być może dlatego, że wyobrażenie potencjalnego niezbepieczeństwa jest abstrakacją. Trudno sobie wyobrazić, że z samego klikania może zrodzić się coś dla nas niedobrego tak samo jak niewiargodne jest, że lalka może być prawdziwym szpiegiem.

lalka

 

Kontekst przetwarzania danych

Dokładne rozpoznanie kontekstu przetwarzania danych osobowych jest pierwszą i najważniejszą czynnością niezbędną dla dokonania oceny zgodności przetwarzania danych.

Prawo ochorny danych osobowych jest prawem kontekstowym i bez znajomości kontekstu przetwarzania danych nie ma szans na poprawne uprządkowanie w organizacji tej sfery.

Co do zasady kontekst przetwarzania danych osobowych w tej samej branży będzie podobny, jak na przykład w sektorze zdrowia, w którym przetwarzanie danych osobowych odbywa się w kontekście (celu) udzielania świadczeń zdrowontych. Podmioty udzielające tych świadczeń korzystają często z takich samych lub podobnych sposóbów przetwarzania danych osobowych.

Jednak w wielu sytuacjach szczególnych ocena zgodności przetwarzania wymaga rozłożenia na czynniki pierwsze badanej sytuacji zwłaszcza, gdy przetwarzanie wykonywane jest przy pomocy nowych technologii dostarczanych przez podmioty trzecie, co obecnie jest regułą.

W dużych organizacjach projekty biznesowe prowadzone są przez zespoły  osób a współpraca często polega na podziale zadań pomiędzy tymi osobami. Nie tak dawno spotkałam się z sytuacją w której prawnik poproszony o ocenę sposobu przetwarzania danych osobowych nie miał dostępu do wszystkich umów, które dla tej oceny miały istotne znaczenie z tej prostej przyczyny, że weryfikacja części umów nie wchodziła w zakres jego kompetencji.

Pamiętajmy, że rozpoznanie kontekstu ma kluczowe znaczenie dla poprawnej oceny. Ten kontekst to może być treść zawartych umów, bez znajomości których nie mamy szans na zdefiniowanie procesów przetwarzania jak i uczestników tego przetwarzania.

Zgodnie z rozporządzeniem unijnym administrator danych powinien włączać inspektora ochrony danych osobowych we wszystkie projekty, z którymi związane jest przetwarzanie danych. Takie włączanie inspektora ma mu ułatwić oraz umożliwić poznawanie kontekstu przetwarzania danych osobowych, co kluczowe jest dla należytego wykonywania zadań przez inspektora danych osobowych.

Konteksty przetwarzania danych są różnej wagi i o różnym stopniu skomplikowania od prostych stanów faktycznych po bardzo złożone czasami wymagające dużej wiedzy, doświadczenia a także umiejętności interpretowania przypisów różnych aktów prawnych.

Postulat ogólnego rozporządzenia unijnego w sprawie ochrony danych osobowych, aby inspektor ochrony danych osobowych dobrze znał swoją branże jest bardzo trafiony, gdyż  inspektor znający dobrze specyfikę swojej branży ma duże szanse na podołanie bowiązkom nałożonym na niego przez rozporządzenie.

Reforma prawa ochrony danych osobowych i świadomość przedsiębiorców a ryzyka

Jedną z głównych przyczyn reformowania prawa ochrony danych osobowych była wola stworzenia bezpiecznego i jednolitego rynku cyfrowego. Wymiana dóbr i usług przez internet lub za jego pośrednictwem jest nieodzownym elementem naszych czasów, ale pomimo zalet niesie też istotne zagrożenia.

W chwili obecnej prowadzenie biznesu bez internetu i możliwości, które on daje  jest prawie niemożliwe.  Z drugiej strony sami konsumenci są istotnym uczestnikiem internetowej wymiany dóbr i usług coraz więcej kupując przez internet, korzystając z różnego rodzaju portali społecznościowych, grup dyskusyjnych czy aplikacji mobilnych.

Wymiana pomiędzy usługodawcami a usługobiorcami wymaga wchodzenia w relacje biznesowe i prawne, z którymi związana jest często konieczność przetwarzania danych osobowych. Nowe technologie w swojej dynamice nieustannie dostarczają nowych sposobów przetwarzania danych.

Technologie nie są już jedynie wykorzystywane do obsługi prostej transakcji sprzedaży, ale też do innych celów takich jak na przykład monitorowanie czy profilowanie usługobiorców na podstawie dostępnych danych. Najogólniej profilowanie polega na obserwacji zachowań użytkownika w internecie i na tej podstawie przewidywaniu jego zachowań, preferencji czy decyzji.

Wielość operacji na danych osobowych związana z rozwojem nowych technologii jest nieograniczona i trudna do przewidzenia. Z tym rozwojem nieodłącznie związana jest ingerencja w prywatność osób fizycznych. Dla zapewnienia bezpieczeństwa tym osobom, ktore uczestniczą w cyfrowej wymianie dóbr i usług zostało powołane rozporządzenie o ochronie danych osobowych osób fizycznych.

Z moich obserwacji wynika, iż świadomość reformy prawa ochrony danych osobowych stale się zwiększa, ale jest wciąż bardzo mała.  W dalszym ciągu obserwowuję podjeście do ochrony danych osobowych jako kwestii mniejszej wagi, często niezrozumiałej i abstrakcyjnej.

Nowe rozporządzenie wprowadza jako istotnę novum podejście oparte na ryzyku, co oznacza, że to administrator danych po ocenie ryzyka dla przetwarzania danych będzie odpowiedzialny za dobór odpowiednich środków zapewniających bezpieczeństwo danych w jego organizacji. Skalowanie ryzyka dla przetwarzania danych nie oznacza jednak skalowania odpowiedzialności, gdyż odpowiedzialność dla wszystkich podmiotów jest taka sama.

Zgodnie z rozporządzeniem operacje na danych z użyciem nowych technologii czy polegające na monitorowaniu czy tworzeniu profili z reguły stwarzają ryzyko dla przetwarzania danych. Z tego powodu dla tych operacji rozporządzenie przewiduje szereg mechanizmów prawnych, których celem jest zapewnienie bezpieczeństwa dla przetwarzania danych.

Rok 2017 jest rokiem, w którym wymagania nowego prawa ochrony danych osobowych powinny być wdrażane przez organy tak prywatne jak i publiczne. W szczególności dotyczy to nowych projektów, wdrażania nowych systemów informatycznych czy aplikacji, gdyż już na etapie projektowania powinny być wdrażane środki służące ochronie danych osobowych osób fizycznych. Umożliwiłoby to w przyszłości administratorom danych korzystającym z takich narzędzi wywiązywanie się z obowiązków rozporządzenia.