Podsumowanie kilku lat obowiązywania RODO w Polsce
Urząd Ochrony Danych podsumował 3 lata funkcjonowania RODO. Przede wszystkich Prezes UODO podkreślił, że wraz z wejściem w życie przepisów RODO pojawiło się mnóstwo absurdalnych mitów na jego temat. Tymczasem, jeśli chodzi o Polsce przepisy RODO nie wprowadziły nic istotnego, z uwagi na obowiązującą w Polsce już od 20 lat regulacji dotyczącej ochrony danych osobowych.
Podkreśla również, że przez stosowanie RODO wzrosła liczba skarg na administratorów.
Do UODO wpłynęło również tysiące zgłoszeń naruszeń, na co wpływ miała zmiana organizacji działalności administratorów, którzy na skutek pandemii musieli rozpocząć prace w trybie zdalnym i dostarczać towary oraz usługi za pośrednictwem Internetu.
Również odkąd stosowane jest RODO, do UODO wpływa duża liczba pytań prawnych dotyczących jego stosowania.
Ludzie zaczęli bardziej interesować się tematem ochrony danych osobowych. Wielu uświadomiło sobie jak ważnym aspektem w codziennym życiu są dane osobowe i na jakie ryzyko narażone są każdego dnia. Dlatego RODO jest tak ważne- zapewnia bezpieczeństwo.
Niektóre kary nałożone przez UODO
CYFROWY POLSAT S.A
Prezes UODO nałożył na Cyfrowy Polsat S.A. karę w wysokości 1,1 mln zł.
Kara została nałożona za niewdrożenie odpowiednich środków technicznych i organizacyjnych przy współpracy z firmą kurierską. pomimo że naruszenia związanie były z nieprawidłowościami po stronie firmy kurierskiej, to właśnie ukarany administrator danych nieprawidłowo realizował nadzór nad egzekwowaniem postanowień umownych, przez co dochodziło do późnej identyfikacji naruszeń.
Zdaniem UODO było możliwe wprowadzenie przez administratora nowych rozwiązań, ponadto decyzja Prezesa UODO o nałożeniu kary w takiej a nie innej wysokości wynikała z przekonania, że inne środki naprawcze byłyby nieproporcjonalne do stwierdzonych nieprawidłowości.
DOLNOŚLĄSKI ZWIĄZEK PIŁKI NOŻNEJ
Prezes UODO nałożył na DZPN karę w wysokości 55 750,50 za upublicznienie w sieci danych osobowych sędziów, którym przyznano licencje sędziowskie w 2015 roku wraz z adresami zamieszkania i numerami PESEL, co skutkowało m.in. naruszeniem zasady poufności i integralności.
Ustalając wysokość kary Prezes UODO wziął pod uwagę m.in. czas trwania naruszenia oraz fakt, że dotyczyło ono dużej grupy osób. Uznał, że mimo iż ostatecznie naruszenie zostało usunięte, to miało poważny charakter.
Prezes UODO uwzględnił również okoliczności łagodzące, którymi były m.in. dobra współpraca administratora z organem nadzoru czy brak dowodów na to, że powstały szkody po stronie osób, których dane ujawniono.
MORELE.NET SP. Z O.O.
Kara nałożona przez Prezesa UODO na Morele.net sp. z o.o. wyniosła 2 830 410 zł!! Przyczyną nałożenia tak wysokiej kary był wyciek danych klientów sklepów internetowych prowadzonych przez tę spółkę. Czyn ten skutkował naruszeniem kilku artykułów ustawy m.in. zasady rozliczalności, integralności i poufności, czy zasady zgodności z prawem, rzetelności i przejrzystości.
Wysokość kary wynikała ze znacznej wagi czynu, a także liczby osób poszkodowanych, których jakby nie patrzeć bezpieczeństwo zostało naruszone.
FUNEDA SP. Z O.O.
Kara w kwocie 22 739,50 zł została nałożona przez Prezesa UODO na spółkę Funeda za brak współpracy z Urzędem Ochrony Danych. Spółka miała zapewnić dostęp do wszelkich danych osobowych, a nie uczyniła tego. Tym samym dopuściła się m.in. naruszenia obowiązku współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań.
Regulatory RODO w innych krajach
RODO w Polsce i innych krajach Unii- porównanie
Polska
Jeszcze przed 25 maja 2018 roku na rynku aż zaroiło się od firm zajmujących się wdrażaniem RODO. Oferujący się liczyli na szybki zarobek i naiwność przedsiębiorców. Urzędnicy przestrzegali przed korzystaniem z usług tego rodzaju firm, wskazując po prostu na konieczność zapoznania się z nowym prawem. Podkreślano, że nowy system ochrony danych osobowych nie ma już charakteru zamknięte, ale otwarty. Co istotne, polscy przedsiębiorcy negatywnie podchodzili do RODO, wyrażając szereg obaw i lęków. Wielokrotnie podkreślano, że konieczność wdrożenia zapisów ustawy wiąże się z ogromnymi wydatkami. W polskim podejściu charakterystyczne było odwlekanie wprowadzania zmian. Wielu przedsiębiorców czekało z tym do ostatniej chwili. Tymczasem zdecydowanie rozsądniej było robić to stopniowo.
Inne kraje Unii
Podejście do nowej ustawy na ternie innych państwo członkowskich Unii Europejskiej było zdecydowanie spokojniejsze niż u nas. Przedsiębiorcy nie reagowali lękiem i strachem na zaproponowane zmiany. Tym, co odróżnia nas od innych krajów jest odwlekanie wprowadzania zmian. W większości państw członkowskich UE zmiany wprowadzano w firmach stopniowo. W efekcie z dniem wejścia w życie RODO firmy były gotowe na zmiany. Wszystko przebiegło płynnie i bez niepotrzebnego stresu. Co ważne, firmy zagraniczne wykazywały się również ogromną kreatywnością, jeśli chodzi o wypracowywanie własnego modelu ochrony danych osobowych. Jak bowiem wspomnieliśmy, RODO oznacza przejście od modelu zamkniętego, który stosowany był dotychczas, do modelu o charakterze otwartym.
Odpowiedzialność firmy i zarządów za naruszenie bezpieczeństwa danych osobowych
Co może się zdarzyć w firmie aby doszło do naruszenia bezpieczeństwa danych osobowych?
- 1. Źle zaadresowana korespondencja elektroniczna
Używane w skrzynkach poczty elektronicznej adresy mogą być zapisywane w pamięci podręcznej, dzięki czemu aplikacja podpowiada adres mailowy. Nie zawsze jest on weryfikowany przez wysyłających maile. W efekcie braku weryfikacji adresu korespondencja może trafić do nieuprawnionego odbiorcy.
- Nieukrywanie adresów mailowych przy wysyłce do wielu adresatów
Wysyłka korespondencji masowej wymaga ukrycia adresów mailowych. Przykładem takiej korespondencji masowej jest chociażby newsletter.
- Utrata nośników danych
Utrata wszelkich nośników danych takich jak tablety, laptopy czy smart fony jest incydentem w ochronie danych osobowych
Wdrożenie zasad ochrony danych wynikających z RODO i zapobieganie incydentom bezpieczeństwa ciąży na podmiotach przetwarzających dane. Każda firma, która dokonuje czynności na jakichkolwiek danych osobowych, jest ich administratorem. Z kolei osobami odpowiedzialnymi za podmiot są reprezentanci zarządu – jeśli takowy funkcjonuje – albo właściciele.
Odpowiednie przygotowanie firmy do stosowania zasad zawartych w RODO wpływa na ograniczenie ryzyka nałożenia administracyjnych kar pieniężnych i odszkodowań dla osób fizycznych. Odpowiedzialnością finansową mogą ostatecznie zostać obciążeni członkowie zarządu, ponieważ dopuszczają to obowiązujące przepisy. Wydaje się przy tym, że stosunkowo łatwo spełnić przesłanki odpowiedzialności wobec spółki.
Delegowanie obowiązków w zakresie ochrony danych osobowych na pracowników nie zwolni członka zarządu z ponoszenia odpowiedzialności za szkodę wyrządzoną wobec spółki. Za funkcjonowanie spółki zgodnie z zasadami prawa odpowiada bowiem zarząd. Należy tu dodać, że zgodnie z regulacjami zawartymi w RODO inspektor ochrony danych pełni wyłącznie funkcję doradczą.
Ryzyko właścicieli firm i zarządów
Zgodnie z RODO, każdy podmiot musi samodzielnie oceniać ryzyko, jakie przetwarzanie danych osobowych może spowodować dla praw i wolności osób, których te dane dotyczą. To właśnie te wartości należy przede wszystkim brać pod uwagę.
Ogólne rozporządzenie o ochronie danych (RODO) nie odnosi się wprost do procesu zarządzania ryzykiem i nie wskazuje konkretnej metody przeprowadzania oceny w tym zakresie. Każdy podmiot musi dokonywać jej samodzielnie, uwzględniając wiele specyficznych dla niego czynników, takich jak: wielkość, struktura organizacyjna, możliwości techniczne czy zakres i rodzaj danych oraz cel ich przetwarzania. Jednym ze skutecznych systemowych sposobów dokonywania oceny ryzyka jest wdrożenie w danej jednostce procesu zarządzania ryzykiem.
Czym jest audyt RODO
Audyt zgodności z RODO jest pierwszym krokiem w procesie dostosowania działalności do przepisów wynikających z rozporządzenia o ochronie danych osobowych.
Taki audyt powinien zostać przeprowadzony zarówno przed wdrożeniem przepisów RODO, jak i w trakcie.
Administrator danych osobowych może przeprowadzić audyt samodzielnie, we własnym zakresie albo może zlecić jego dokonanie wyspecjalizowanej firmie. Niezależnie od wybranej metody, audyt powinien zakończyć się sporządzeniem raportu.
Podstawowym celem audytu jest ocena ewentualnego ryzyka pod kątem naruszenia zasad ochrony danych osobowych. Badanie zgodności ma na celu ustalenie przede wszystkim:
- czynności, w ramach których przedsiębiorca przetwarza dane osobowe (np. zatrudnianie pracowników, obsługa klientów, zawieranie określonych rodzajów umów itp.);
- specyfiki czynności przetwarzania danych;
- rodzajów danych osobowych, jakimi dysponuje przedsiębiorca (w tym przede wszystkim zbadanie, czy przedsiębiorca przetwarza również dane szczególnie wrażliwe, jak na przykład dane biometryczne);
- wdrożonych przez przedsiębiorcę uprzednio metod ochrony danych osobowych;
- uchybień w stosowanych procedurach;
- ewentualnych zagrożeń związanych z procedurami przetwarzania danych;
- zaleceń i rekomendacji wdrożeniowych w celu zapewnienia przetwarzanym danym osobowym pełnej ochrony.
W ramach prowadzonego audytu można wyróżnić trzy podstawowe fazy:
- Zbieranie informacji o danych osobowych przetwarzanych przez przedsiębiorcę, czynnościach przetwarzania i stosowanych środkach ochrony;
- Analizę zebranych informacji;
- Opracowanie zaleceń i rekomendacji wdrożeniowych.
Przeprowadzając audyt zgodności z RODO, administrator danych osobowych powinien zwrócić w szczególności uwagę na następujące okoliczności:
- czy zakres przetwarzanych przez administratora danych osobowych ma charakter minimalny (tj. czy przedsiębiorca nie pozyskuje danych osobowych w zakresie szerszym niż konieczny do wykonania przez niego swoich obowiązków – np. pozyskiwanie numeru PESEL w celu wykonania usługi wysyłki towaru);
- w jaki sposób przedsiębiorca spełnia obowiązki informacyjne względem osób, których dane przetwarza;
- jakimi danymi osobowymi dysponuje przedsiębiorca i czy znajdują się wśród nich dane wymagające wprowadzenia szczególnej ochrony;
- czy treść klauzul i zgód stosowanych przez przedsiębiorcę odpowiada przepisom RODO;
- czy przedsiębiorca ma obowiązek wyznaczenia inspektora ochrony danych osobowych;
- czy przedsiębiorca ma obowiązek prowadzenia rejestru czynności przetwarzania danych;
- prawidłowość i rzetelność stosowanych przez przedsiębiorcę dokumentów (np. regulaminy udostępniane klientom czy dokumenty polityki bezpieczeństwa);
- zasady dostępu pracowników przedsiębiorcy do przetwarzanych i przechowywanych przez przedsiębiorcę danych osobowych;
- wdrożone przez przedsiębiorcę środki ochrony (np. anonimizację czy pseudonimizację danych);
- ocenę poziomu stosowanych zabezpieczeń.
Test równowagi RODO
Test powinien zostać przeprowadzony za każdym razem, kiedy przetwarzasz dane osobowe w oparciu o prawnie uzasadniony interes.
Służy sprawdzeniu, czy prawnie uzasadniony interes może być legalną podstawą przetwarzania danych.
Rzetelny test równowagi, którego wartość nie zostanie podważona, powinien badać całokształt okoliczności planowanego przetwarzania danych. Test rozpoczyna się od wstępnego ustalenia równowagi interesów obu stron, tzn.:
- zidentyfikowania prawnie uzasadnionych interesów administratora i celu, w którym są one realizowane, przy czym administrator musi zapewnić, że jego interesy są zgodne z prawem, konkretne i rzeczywiste oraz
- zidentyfikowania interesów, podstawowych praw i wolności podmiotu danych, które mogą być naruszone przez przetwarzanie danych osobowych.
W kolejnym kroku należy zbadać „niezbędność” przetwarzania dla założonego celu (interesu administratora). Wymaga to ustalenia, czy przetwarzanie danych osobowych, w danych okolicznościach, jest konieczne do zrealizowania prawnie uzasadnionego interesu.
Test powinien również omawiać:
- zastosowane zabezpieczenia techniczne i organizacyjne,
- racjonalnie uzasadnione oczekiwania osób, których dane dotyczą,
- relacje/istniejący stosunek prawny między osobami, których dane dotyczą, a administratorem oraz
- wszystkie inne okoliczności dotyczące równowagi na korzyść (albo nie) administratora.
Ostatecznie należy przejść do:
- określenia, czyje interesy w danej sytuacji mają charakter nadrzędny – administratora, czy osoby, której dane dotyczą oraz
- udokumentowania przeprowadzonej analizy i wyniku testu.
Nie jest legalne przetwarzanie danych na podstawie „prawnie uzasadnionego interesu”, jeżeli z testu wynika, że interesy osoby, której dane dotyczą są w danej sytuacji nadrzędne wobec interesów administratora.
Skutki nieprzeprowadzenia testu równowagi RODO
Nieprzeprowadzenie testu równowagi może skutkować naruszeniem przepisów i nałożeniem kary pieniężnej na administratora.
Pomoc specjalistów
Działamy na terenie całej Polski. Zapraszamy do współpracy. Wybierając Doradców365 skorzystasz z profesjonalnej obsługi doświadczonych specjalistów. Nasi eksperci zajmują się:
– audytem i wdrożeniem RODO,
– szkoleniami i konsultacjami z zakresu ochrony danych osobowych,
– regulaminami i politykami prywatności,
– audytami bezpieczeństwa informatycznego,
– pomocą w przypadkach kontroli RODO
– i wiele innych.
Zapraszamy do kontaktu.