Reforma prawa ochrony danych osobowych i świadomość przedsiębiorców a ryzyka

Jedną z głównych przyczyn reformowania prawa ochrony danych osobowych była wola stworzenia bezpiecznego i jednolitego rynku cyfrowego. Wymiana dóbr i usług przez internet lub za jego pośrednictwem jest nieodzownym elementem naszych czasów, ale pomimo zalet niesie też istotne zagrożenia.

W chwili obecnej prowadzenie biznesu bez internetu i możliwości, które on daje  jest prawie niemożliwe.  Z drugiej strony sami konsumenci są istotnym uczestnikiem internetowej wymiany dóbr i usług coraz więcej kupując przez internet, korzystając z różnego rodzaju portali społecznościowych, grup dyskusyjnych czy aplikacji mobilnych.

Wymiana pomiędzy usługodawcami a usługobiorcami wymaga wchodzenia w relacje biznesowe i prawne, z którymi związana jest często konieczność przetwarzania danych osobowych. Nowe technologie w swojej dynamice nieustannie dostarczają nowych sposobów przetwarzania danych.

Technologie nie są już jedynie wykorzystywane do obsługi prostej transakcji sprzedaży, ale też do innych celów takich jak na przykład monitorowanie czy profilowanie usługobiorców na podstawie dostępnych danych. Najogólniej profilowanie polega na obserwacji zachowań użytkownika w internecie i na tej podstawie przewidywaniu jego zachowań, preferencji czy decyzji.

Wielość operacji na danych osobowych związana z rozwojem nowych technologii jest nieograniczona i trudna do przewidzenia. Z tym rozwojem nieodłącznie związana jest ingerencja w prywatność osób fizycznych. Dla zapewnienia bezpieczeństwa tym osobom, ktore uczestniczą w cyfrowej wymianie dóbr i usług zostało powołane rozporządzenie o ochronie danych osobowych osób fizycznych.

Z moich obserwacji wynika, iż świadomość reformy prawa ochrony danych osobowych stale się zwiększa, ale jest wciąż bardzo mała.  W dalszym ciągu obserwowuję podjeście do ochrony danych osobowych jako kwestii mniejszej wagi, często niezrozumiałej i abstrakcyjnej.

Nowe rozporządzenie wprowadza jako istotnę novum podejście oparte na ryzyku, co oznacza, że to administrator danych po ocenie ryzyka dla przetwarzania danych będzie odpowiedzialny za dobór odpowiednich środków zapewniających bezpieczeństwo danych w jego organizacji. Skalowanie ryzyka dla przetwarzania danych nie oznacza jednak skalowania odpowiedzialności, gdyż odpowiedzialność dla wszystkich podmiotów jest taka sama.

Zgodnie z rozporządzeniem operacje na danych z użyciem nowych technologii czy polegające na monitorowaniu czy tworzeniu profili z reguły stwarzają ryzyko dla przetwarzania danych. Z tego powodu dla tych operacji rozporządzenie przewiduje szereg mechanizmów prawnych, których celem jest zapewnienie bezpieczeństwa dla przetwarzania danych.

Rok 2017 jest rokiem, w którym wymagania nowego prawa ochrony danych osobowych powinny być wdrażane przez organy tak prywatne jak i publiczne. W szczególności dotyczy to nowych projektów, wdrażania nowych systemów informatycznych czy aplikacji, gdyż już na etapie projektowania powinny być wdrażane środki służące ochronie danych osobowych osób fizycznych. Umożliwiłoby to w przyszłości administratorom danych korzystającym z takich narzędzi wywiązywanie się z obowiązków rozporządzenia.

Dzieci na FB za zgodą rodziców

W ubiegłym tygodniu pisałam o tym, że po latach negocjacji został przyjęty rewolucyjny akt prawny w zakresie ochrony danych osobowych tj. rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.

Rozporządzenie wprowadza moim zdaniem bardzo mądrą regulację dzięki której na portalach społecznościowych typu Facebook może być znacznie mniej małych dzieci. Zgodnie z rozporządzeniem oferowanie usługi korzystania z portali przez dzieci będzie zgodne z prawem po ukończeniu przez dziecko lat 16.

Dziecko, które nie ukończyło lat 16 będzie mogło korzystać z portali społecznościowych i innych podobnych usług jedynie za zgodą rodzica lub prawnego opiekuna.

Państwa członkowskie mogą ustanowić niższą granicę wiekową niż 16 lat uprawniającą do korzystania z usług społeczeństwa informacyjnego, jednak musi ona wynosić co najmniej 13 lat.

Można przypuszczać, iż większość małych dzieci, które aktualnie korzystają z FB czynią to co najmniej za dorozumianą zgodą rodziców. Jednak sformalizowanie zasad w tym zakresie i zobowiązanie rodzica do wyrażenie oficjalnej zgody z pełnymi tego konsekwencjami może wpłynąć na to, że ten czy ów rodzic przemyśli decyzję zanim kliknie “wyrażam zgodę i jestem świadomy konsekwencji”.

No i nasz drogi FB już się nie wywinie spod prawa unijnego. Na nic zda się siedziba poza terytorium Unii Europejskiej. To kolejna ważna zmiana wprowadzona przez rozporządzenie, gdyż rozporządzenie będzie miało zastosowanie do firm spoza UE pod warunkiem, że oferują usługi dla obywateli Unii.

Nowe zasady wejdą w życie dopiero za dwa lata bowiem aż tyle wynosi vacatio legis dla tego aktu prawnego.

 

Przyjęte rozporządzenie unijne w sprawie ochrony danych osobowych

Kilka godzin temu PE Unii Europejskiej przyjął bez poprawek uzgodniony tekst rozporządzenia w sprawie ochrony danych osobowych.

Jest to początek nowej ery w sferze prawa ochrony danych osobowych, bowiem po 20 latach od wejścia w życie dyrektywy unijnej w sprawie ochrony danych osobowych, wprowadzono bardzo obszerny i szczegółowy akt prawny.

Nowe prawo ma być przede wszystkim odpowiedzią na postęp technologiczny i związaną z nim mnogość nowych sposobów przetwarzania danych osobowych w szczególności w internecie. Wobec rewolucji internetowej dyrektywa unijna dotycząca ochrony danych osobowych sprzed 20 lat siłą rzeczy stała się już niewystarczająca.

Nowe przepisy wprowadzają też pewne bardzo bolesne novum, bo prawo do nakładania przez organy ochrony danych osobowych  kar finansowych . Wysokość kar sięga 4% rocznego przychodu brutto za rok ubiegły liczony dla całej grupy kapitałowej.

Ta sankcja spowoduje, iż znacząco wzrośnie ranga kwestii ochrony danych osobowych, co przełoży się niewątpliwie na dołożenie staranności w celu zapewnienia zgodności przetwarzania danych osobowych w firmach.

Zagadnienia tego obszernego aktu prawnego będę komentować i omawiać na bieżąco.

Legalność przetwarzania danych w świetle rozporządzenia unijniego

Znajdujemy się w przeddzień wejścia w życie rozporządzenia w sprawie ochrony danych osobowych, które będzie obowiązywało w całej UE bezpośrednio. Jest to rewolucyjny akt prawny w sferze ochrony danych osobowych. Na łamach niniejszego bloga rozpoczynamy omawianie tego aktu.

Większość instytucji regulowanych w rozporządzeniu jest już doskonale znana w porządkach prawnych poszczególnych państw członkowskich. Jednak są też zupełnie nowe dotychczas nieznane i nieregulowane zagadnienia. Obszerność tego aktu jest bardzo znacząca a omawianie poszczególnych zagadnień to zadanie na długie miesiące.

Dzisiaj o legalności przetwarzania danych, która jest pierwszą z podstawowych zasad w procesie przetwarzania.

Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla podmiotu danych. Musi zaistnieć co najmniej jedna przesłanka przetwarzania. Przetwarzanie danych, aby było zgodne z prawem, powinno się odbywać na podstawie zgody osoby zainteresowanej lub na innej uzasadnionej podstawy przewidzianej prawem.

Przetwarzanie danych osobowych jest zgodne z prawem wyłącznie wtedy, gdy – i w takim zakresie, w jakim – zachodzi co najmniej jeden z poniższych warunków:
a) podmiot danych udzielił zgody na przetwarzanie swoich danych osobowych w jednym lub większej liczbie konkretnych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest podmiot danych, lub do podjęcia działań na wniosek podmiotu danych przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów podmiotu danych lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności podmiotu danych wymagające ochrony danych osobowych, w szczególności gdy podmiotem danych jest dziecko. Nie ma to zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Powyżej zostały więc wymienione wszystkie regulowane rozporządzeniem przesłanki legalnego przetwarzania danych osobowych.

Jak widać katalog przesłanek nieznacznie tylko różni się od znanych aktualnie podstaw przetwarzania danych.

Reforma prawa – ochrona danych osobowych już przesądzona

Na stronach GIODO możemy przeczytać informację, iż zakończył się trilog czyli ostatni etap uzgadniania przez instytucje UE tekstu rozporządzenia unijnego w sprawie ochrony danych osobowych. Głosowanie nad przyjęciem rozporządzenia odbędzie się na wiosnę.

GIODO wyraziła się, iż osiągnięcie porozumienia przez instytucje UE oznacza historyczny moment dla ochrony danych osobowych. Trudno się z nią nie zgodzić. To rozporządzenie to wielka reforma, która będzie wymagała też solidnych przygotowań do niej w porządkach prawnych poszczególnych państw. Prace w tym zakresie z pewnością już są planowane i lada moment ruszą. Wbrew pozorom nawet przy tak długim, jak określone, vacatio legis, czasu jest mało patrząc na rozmiar zmian.

Dla przedsiębiorców skończy się era bagatelizowania spraw ochrony danych osobowych, traktowania ich z reguły po macoszemu. Ochrona danych osobowych poprzez sankcje za naruszenie przepisów, w postaci bardzo dolegliwych kar finansowych, stanie się tematem zasługującym na poważne traktowanie.

I nie cieszy mnie, że przedsiębiorcom przybędzie obowiązków do wypełnienia, bo przecież i tak mają ich nadmiar. Sama jestem przedsiębiorcą i rozumiem to. Jednak obserwując beztroskę i lekceważenie, czasami zupełnie jawne ochrony danych myślę, że podniesienie rangi zagadnienia jest stanem pożądanym.

Jak zawsze na początku i tutaj będzie opór, jednak z czasem przyzwyczaimy się do nowego stanu, który wymagał będzie zachowania  odpowiednich standardów w celu zapewnienia zgodności przetwarzania danych osobowych.

W dobie globalnej gospodarki cyfrowej, galopującego rozwoju nowych technologii przynoszących coraz to nowe i bardziej wyrafinowane sposoby przetwarzania naszych danych osobowych, określenie ram prawnych dla tego przetwarzania stało się  niezbędne.

Sądzę, że i ABI będą mieli więcej pracy, ale też może i więcej zrozumienia dla wykonywanych przez nich obowiązków, czego oczywiście tak z okazji Nowego Roku wszystkim ABI życzę.

Podejście oparte na ryzyku czyli Risk Based Approach

Rozporządzenie unijne w sprawie ochrony danych osobowych osób fizycznych weszło w fazę trilogu, co oznacza, że doszło do ostatniego etapu legislacyjnego, który lada moment powinien zakończyć się przyjęciem ostatecznego tekstu.

Przyjęcie rozporządzenia rozpocznie dyskusję nad nim, gdyż część wprowadzanych rozwiązań nie występuje w dotychczasowym systemie prawa ochrony danych osobowych.

Dzisiaj chciałabym wspomnieć o podejściu opartym na ryzyku. Aktualnie polska ustawa o ochronie danych osobowych nie zna takiego podejścia i wszystkich administratorów danych osobowych traktuje równo to znaczy nakłada na nich takie same obowiązki. Większość małych administratorów danych osobowych uważa, iż obowiązki te są przesadą w stosunku do skali ich działalności.

Każdy administrator danych osobowych powinien przetwarzać dane z poszanowaniem wszystkich zasad ustalonych w przepisach prawa, zapewnić odpowiednie środki techniczne oraz organizacyjne w celu zabezpieczenia danych przed nieupoważnionym dostępem, prowadzić szczegółową dokumentację przetwarzania danych osobowych.

Obowiązków jest sporo, dodatkowo realizacja tych wszystkich obowiązków w sposób zgodny z prawem nie jest zadaniem łatwym, jeśli nie posiada się specjalistycznej wiedzy w zakresie ochrony danych osobowych. Wszystko to oraz dodatkowo brak właściwie brak sankcji za niestosowanie zasad powoduje, iż większość małych administratorów w swojej działalności w zasadzie nie uwzględnia prawa ochrony danych osobowych.

Rozporządzenie ustanawia mechanizmy mające na celu różnicowanie ryzyka związanego z przetwarzaniem danych osobowych przez poszczególnych administratorów danych osobowych. Jednym z takich mechanizmów jest podejście oparte na ryzyku czyli risc based approach.

Koncepcja risk based approach sprowadza się do uzależnienia zakresu obowiązków nałożonych na administratora danych od specyfiki przetwarzania danych w organizacji tego administratora oraz od ryzyka, jakie może wiązać się z ewentualnym naruszeniem bezpieczeństwa danych.

Koncepcja, która ma być ułatwieniem dla małych i średnich administratorów danych osobowych jednocześnie jest obowiązkiem dla tych właśnie administratorów przeprowadzenia takiej wstępnej analizy ryzyka. Biorąc jednak pod uwagę, że przeprowadzenie takiej analizy wymaga specjalistycznej wiedzy,  wykonanie tego obowiązku bez wsparcia specjalistów, może być po prostu niemożliwe.