Wdrażanie RODO – zgoda na przetwarzanie danych osobowych

W świetle RODO zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Zgodnie z RODO nowością będzie wyrażenie zgody przez „wyraźne działanie potwierdzające” z tym jednak zastrzeżeniem, iż przyzwolenie na przetwarzanie danych powinno być jednoznaczne, a więc nie budzić wątpliwości co do zamiaru osoby, która takie działanie podejmuje.

Zgodnie z dotychczasowymi przepisami zgoda nie może być dorozumiana lub domniemana z oświadczeń woli innej treści. Co do zasady więc musi stanowić odrębną klauzulę od na przykład regulaminu świadczenia usługi.

Jednakże również na podstawie RODO w przypadku zgody wyrażanej w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Oznacza to, że nie będzie można ukrywać oświadczenia o zgodzie pośród innych oświadczeń, treść oświadczenia dotyczącego zgody powinna być czytelna.

W RODO nie ma wymogu pisemności nawet dla zgody na przetwarzanie danych wrażliwych, jednakże jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie  wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

Zgoda może być więc wyrażona ustnie a także pisemnie w tym w formie elektronicznej poprzez zaznaczenie okienka wyboru podczas przeglądania strony internetowej lub poprzez dokonanie wyboru ustawień technicznych korzystania z usługi.

W każdym przypadku jednak administrator musi być w stanie  wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych

Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie będą oznaczać zgody.

Wdrażanie RODO – zakres danych i obowiązki informacyjne

Przetwarzanie, które w dniu rozpoczęcia stosowania  RODO już się toczy, powinno w terminie dwóch lat od wejścia go w życie, zostać dostosowane do jego przepisów.

Zgodnie z powyższym czas na wdrażanie postanowień RODO właśnie płynie, co oznacza, że przegląd stanu ochrony danych osobowych należy rozpocząć tak, aby za rok móc wykazać zgodność z nowymi przepisami.

GIODO podpowiada jak powinien wyglądać prawidłowy przegląd stanu ochrony danych osobowych publikując systematycznie kolejne zagadnienia, które należy sprawdzić w firmie. Zachęcam do lektury.

Zgodnie z zasadą rozliczalności za rok ADO będzie musiał wykazać, że przetwarza dane osobowe w zgodzie z zasadami przyjętymi w rozporządzeniu. Tę zgodność można wykazać na przykład poprzez wdrożenie polityk i procedur przetwarzania danych.

I to teraz właśnie jest czas na przeglądy, audyty, sprawdzenia na przykład w zakresie  jakie dane osobowe przetwarzasz, skąd pochodzą i co cię uprawnia do ich wykorzystywania, czy i komu je udostępniasz oraz jak zabezpieczasz”.

Kolejne istotne zagadnienie, które należy dokładnie sprawdzić to wywiązywanie się z obowiązków informacyjnych wobec podmiotów danych.  Rozporządzenie zwiększa zakres informacji, które należy przekazać.

Od 25 maja 2018 r. administratorzy danych będą musieli poinformować również m.in. o okresie, przez który dane osobowe będą przetwarzane (retencja danych), o ewentualnym fakcie profilowania i jego konsekwencjach czy też o danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony. Szerszy katalog informacji, które należy przekazać wymusza aktualizację obecnie stosowanych klauzul informacyjnych.

Począwszy do 25 maja 2018 r. będziesz zobowiązany wykazać już zgodność z RODO. Niestety w przypadku braku takiej zgodności organ nadzorczy będzie uprawniony do rozliczenia ADO ze stwierdzonych uchybień i nałożenia stosownych kar pieniężnych. Z tego powodu jest tak ważne, aby przegląd w obszarze danych osobowych rozpocząć już dziś.

Pierwsze wyniki sprawdzeń ABI

Są już pierwsze wyniki ze sprawdzeń ABI. Sprawdzenia zostały przeprowadzone w bankach i przede wszystkim wykazały błędy w formułowaniu treści klauzul zgody.

Okazuje się, w treści jednej klauzuli łączone są zgody na przetwarzanie marketingowe, przesyłanie informacji handlowych drogą elektroniczną oraz używanie telekomunikacyjnych urządzeń końcowych. Do tego dochodzi jeszcze łączenie zgód na przetwarzanie w celach własnych i podmiotów trzecich.

Zgoda na przetwarzanie danych nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania. Osoba nie może być  wprowadzona w błąd. Jeżeli zatem oświadczenie woli dotyczyć ma różnych celów przetwarzania, zgoda powinna być wyrażona wyraźnie pod każdym z tych celów przetwarzania.

Chodzi o to, aby osoba, której dane dotyczą miała swobodę wyboru wyrażenia zgody na przetwarzanie jej danych osobowych w różnych celach. Zgoda nie może być wymuszona.

Jak poradzili sobie ABI ze sprawdzeniami i sprawozdaniami z nich. Czytamy więc:

Treść sprawozdań wskazywała także na niepełną wiedzę ABI w zakresie ochrony danych osobowych niezbędną do sporządzenia sprawozdania ze sprawdzenia, w szczególności w zakresie zgromadzenia adekwatnych dowodów w stosunku do istniejącego stanu faktycznego.”

i kolejna ciekawostka:

Spośród 20 administratorów bezpieczeństwa informacji, którzy dokonali sprawdzenia przetwarzania danych osobowych przez banki w zakresie marketingu kierowanego do klientów oraz osób nie będących klientami banków, tylko jeden z nich stwierdził naruszenie przepisów o ochronie danych osobowych, mimo iż w wielu przypadkach ustalenia dokonane przez administratorów bezpieczeństwa informacji w toku sprawdzeń dawały podstawę do stwierdzenia takich uchybień

Czy mnie to dziwi? A więc nie dziwi zupełnie. W środowisku od początku nowelizacji uodo mówiło się, że sprawozdania ABI dla GIODO to będą laurki, co aktualne wyniki potwierdziły.

Pełen raport w powyższym temacie znajdziesz Tutaj.

Czy jesteś gotowy na RODO?

W ramach sprawdzianu gotowości do RODO na stronach GIODO publikowane są w odcinkach pomocne we wdrażaniu RODO wyjaśnienia.

Czy RODO to rewolucja, czy zmiany będą zasadnicze, na czym będą polegały i co to oznacza dla administratora danych tego dowiemy się w kolejnym odcinku pomocnych wyjaśnień GIODO, które znajdziesz Tutaj.

Z mojej praktyki wynika, że ogólny stan świadomości o RODO jest w dalszym ciągu bardzo niski, dlatego takie edukacyjne akcje GIODO są bardzo ważne. Administratorzy danych zwłaszcza Ci mali i średni, ale więksi też często nie mają świadomości o istnieniu RODO a jeśli nawet niektórzy coś słyszeli, to już na pewno nie zdają sobie sprawy z wagi problemu.

Został rok, aż rok a może tylko rok, aby się przygotować na rewolucję. W przygotowaniu na pewno bardzo pomocne są wszelkie wytyczne i wyjaśnienia GIODO.

“My Friend Cayla” czyli lalka szpieg

„My Friend Cayla” „bez wiedzy rodziców może nagrywać i transmitować rozmowy dziecka i innej osoby” pojawiła się na ryku zabawek niemieckich, gdzie na skutek protestów rodziców oraz interwencji niemieckiego organu d/s ochrony danych osobowych, została wycofana.

Lalki zaczynają natomiast pojawiać się m.in. w ofertach naszych serwisów aukcyjnych i niektórych internetowych sklepów z zabawkami na polskim rynku, stając się dla polskich dzieci i ich rodziców takim samym źródłem zagrożenia. Podobnie zresztą jak inne zabawki podłączone do sieci – ostrzega dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych (GIODO).

GIODO radzi, aby interaktywne zabawki były przez rodziców wybierane ze szczególną ostrożnością, gdyż przy nieodpowiednio zabezpieczonym łączu Bluetooth, otoczenie dziecka mogą podsłuchiwać obce osoby.

Jak czytamy na stronach GIODO interaktywne zabawki zwane “CloudPets, mogą komunikować się bezprzewodowo z najbliższym w otoczeniu urządzeniem, np. smartfonem, i dalej za jego pośrednictwem poprzez aplikację CloudPets App przesyłać komunikaty do innych podobnych zabawek w dowolne miejsce na świecie. Komunikaty te mogą być ponadto przechowywane w chmurze obliczeniowej, z którą łączy się wspomniana aplikacja.

Nasze dzieci aktualnie bardzo szybko stają się posiadaczami smartofonów, tabletów, szybciej niz ich rodzice uczą się korzystać ze zdobyczy nowych technologii. Z jednej strony umiejętności te cieszą a z drugiej mogą stać się źródłem potencjalnych zagrożeń, gdyż za wzrostem umiejętności nie idzie świadomość czyhających na dziecko zagrożeń.

Kto by pomyślał, że niewinna zabawka lalka może szpiegować dziecko i jego otoczenie, dlatego reakcja niemieckiego urzędu d/s ochrony danych osobowych była tak zdecydowana a lalki wycofane ze sprzedaży.

Pamiętajmy, że jest to tylko przykład udowodnionej ingerencji w prywatność osoby fizycznej tym bardziej nagłośniona, że dotyczy dzieci. Jednakże problem dotyczy również dorosłych, do których kierowane są bardziej wyrafinowane rozwiązania technologiczne w formie np. aplikacji mobilnych różnego rodzaju, przetwarzających dane osobowe często w sposób nieadekwatny do potrzeb.

Rozwaga i ostrożność w korzystaniu z nowinek technologicznych w internecie to odruchy rzadko spotykane u użytkowników. Być może dlatego, że wyobrażenie potencjalnego niezbepieczeństwa jest abstrakacją. Trudno sobie wyobrazić, że z samego klikania może zrodzić się coś dla nas niedobrego tak samo jak niewiargodne jest, że lalka może być prawdziwym szpiegiem.

lalka

 

Wiedza fachowa Inspektora Ochrony Danych Osobowych (DPO)

Wiemy już, że dzisiejszego ABI zastąpi DPO czyli inspektor ochrony danych osobowych. Wprawdzie jego powołanie w organizacji nie w każdym przypadku będzie obowiązkiem, jednakże każdy administrator danych osobowych powinien przeanalizować ewentualną potrzebę powołania DPO w swojej organizacji.

Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań.

Wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być to poziom współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki.

Słowem poziom wiedzy DPO powinien być wprost proporcjonalny do poziomu skomplikowania przetwarzania danych w ramach danej jednostki. Wyższy poziom skomplikowania implikuje wyższy poziom fachowości ABI.

Rekrutacja odpowiedniego dla swojej organizacji DPO spoczywa na administratorze danych, który ponosząc odpowiedzialnośc za zagodność przetwarzania z prawem będzie musiał podołać i temu obowiązkowi.

Powołanie kompetentnego DPO to w mojej ocenie jedna z najważniejszych o ile nie najważniejsza czynność administratora danych osobowych, gdyż to DPO będzie stał na straży  zgodności przetwarzania danych osobowych z przepisami. I to od jego wiedzy, kompetencji oraz doświadczenia będzie zależał poziom zgodności przetwarzania w jednostce.

Z mojego doswiadczenia wynika, iż stan wiedzy z zakresu ochrony danych osobowych w większości firm jest bardzo niski. ABI w chwili obecnej jest chyba jedyną osobą w firmie, która ma jakąś wiedze na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Niestety często nie jest to wiedza w mojej ocenie odpowiednia, z czego sami ABI doskonale zdają sobie sprawę.

W mojej ocenie odpowiednia wiedza i doświadczenie DPO jest jedną z najbardziej kluczowych kwestii nie tylko w kategoriach “być lub nie być”  DPO ale i “być lub nie być” dla administratora danych, który finalnie będzie finansowo odpowidał za błędy swojego DPO.

Reasumując wybór przez administratora danych osobowych DPO bez odpowiedniej wiedzy na temat prawa oraz praktyk w dziedzinie ochrony danych osobowych, może firmę bardzo dużo kosztować.

Dotychczas w polskim porządku prawnym dotyczącym ochrony danych osobowych brakowało tak naprawdę sankcji za brak zgodności przetwarzania danych osobowym z prawem. Brak sankcji przekładał się na stosunek administratorów danych do wymaganych prawem obowiązków, które w ogromnej mierze były lekceważone. Tak samo ABI to częściej osoba z tzw. “łapanki” z przypadkowego rozdania niż naprawdę świadomy wybór stąd braki w zakresie odpowiedniej wiedzy ABI.

Czas szybko mija, do 25 maja 2018 r. zostało już bardzo niewiele czasu ale jednocześnie na tyle dużo, żeby ABI, którzy na poważnie myślą o swojej przyszłości w tym zawodzie dołożywszy odpowiednich starań podniesili poziom swojej wiedzy tak, by był on odpowiedni na podjęcie nowych wyzwań w dziedzinie ochrony danych, a ADO w obawie przed konskewencjami braku tej wiedzy powinien  wysiłki swoich ABI aktywnie wspierać.