Pojęcie ochrony danych osobowych stało się powszechnie stosowanym terminem za sprawą unijnego rozporządzenia dotyczącego przetwarzania danych osobowych, RODO. Akt prawny narzucił wszystkim podmiotom gospodarczym wdrożenie nowych zasad, które związane są bezpośrednio z koniecznością przygotowania procedur w firmie i organizacją infrastruktury technologicznej.
Definicja danych osobowych, na gruncie polskiego prawa, została określona w ustawie o ochronie danych osobowych. Termin określa wszystkie informacje, które pozwalają zidentyfikować osobę fizyczną. Dane odnoszą się do konkretnej jednostki, jednak ich katalog nie został wyczerpująco sprecyzowany, dlatego każdy przypadek wymaga indywidualnej oceny. Ochrona danych osobowych ma na celu zabezpieczenie takich informacji przed utratą, wyciekiem, dostępem i przetwarzaniem przez osoby oraz podmioty nieuprawnione. Praktyka pokazuje, że nawet pozornie neutralne informacje mogą w połączeniu z innymi danymi prowadzić do identyfikacji danej osoby, co rozszerza zakres stosowania przepisów ochronnych.
Do katalogu danych osobowych zalicza się między innymi imię i nazwisko, numer PESEL, adres zamieszkania, numer telefonu czy adres e-mail. W szerszym ujęciu mogą to być również numery IP, dane geolokalizacyjne, identyfikatory plików cookies oraz inne cyfro-literowe ciągi przypisane do konkretnego użytkownika. Nawet pseudonimy czy nicki w mediach społecznościowych mogą stać się danymi osobowymi, jeśli umożliwiają powiązanie aktywności cyfrowej z konkretną osobą fizyczną.
Niezależnie od rodzaju i formy prowadzonej działalności wszyscy przedsiębiorcy są zobligowani do przestrzegania zasad ochrony danych osobowych. Przepisy dotyczą również ochrony danych osobowych w firmie jednoosobowej. Przechowywanie i przetwarzanie informacji nakłada na nich wdrożenie odpowiednich rozwiązań technicznych i organizacyjnych, których dobór jest uzależniony od specyfiki prowadzonej działalności oraz poziomu ryzyka dla osób, których dane dotyczą.
Prowadzący działalność mają przede wszystkim obowiązek właściwego zabezpieczenia administrowanych danych. Dotyczy to między innymi wdrożenia systemów, które domyślnie przetwarzają tylko takie informacje, które są niezbędne do konkretnego procesu związanego z prowadzonym biznesem. Zasada minimalizacji danych wymaga, aby przedsiębiorca przetwarzał jedynie dane adekwatne do realizowanego celu — nie więcej niż potrzeba. Każdy klient firmy ma prawo do uzyskania szczegółowych informacji na temat celu przetwarzania jego danych, do wglądu w historię ich zmiany oraz do żądania ich usunięcia lub sprostowania w przypadku stwierdzenia nieprawidłowości.
Administrator musi także zapewnić, że przetwarzanie odbywa się na podstawie jednej z sześciu legalnych przesłanek wskazanych w RODO. Najczęściej spotykanymi podstawami są zgoda osoby, której dane dotyczą, wykonanie umowy, obowiązek prawny ciążący na administratorze oraz prawnie uzasadniony interes realizowany przez administratora lub stronę trzecią. Wybór odpowiedniej podstawy prawnej ma znaczenie zarówno dla legalności przetwarzania, jak i dla zakresu praw przysługujących osobom, których dane dotyczą — na przykład cofnięcie zgody nie jest możliwe, jeśli przetwarzanie odbywa się na podstawie umowy.
Warto wskazać, że szczególnej ochronie podlegają tzw. wrażliwe dane osobowe, na przykład dotyczące stanu zdrowia, przekonań religijnych czy pochodzenia rasowego. Przetwarzanie takich danych jest dopuszczalne tylko w ściśle określonych przypadkach przewidzianych prawem. Ochrona danych w internecie nakłada na firmy obowiązek notyfikacyjny, czyli wprowadzenie rejestru naruszeń. Każdy incydent, który narusza bezpieczeństwo, musi podlegać zgłoszeniu do organu nadzorczego w ciągu 72 godzin od momentu jego stwierdzenia.
Do szczególnych kategorii danych zalicza się także informacje ujawniające poglądy polityczne, przynależność związkową, dane genetyczne, biometryczne służące jednoznacznej identyfikacji oraz dane dotyczące życia seksualnego lub orientacji seksualnej. Przetwarzanie tych informacji wymaga zaistnienia dodatkowych przesłanek — na przykład wyraźnej zgody, konieczności wypełnienia obowiązków w dziedzinie prawa pracy lub ochrony żywotnych interesów osoby, której dane dotyczą. Podmioty działające w sektorze medycznym, ubezpieczeniowym czy HR muszą zwracać szczególną uwagę na zasady przetwarzania danych tej kategorii.
Administrator danych zobowiązany jest do prowadzenia rejestru czynności przetwarzania, który zawiera szczegółowy opis kategorii danych, celów przetwarzania oraz odbiorców danych. Rejestr ten stanowi fundament kontroli zgodności z przepisami i ułatwia wykazanie odpowiedzialności w razie kontroli przez organ nadzorczy. W praktyce dokumentacja ta obejmuje również politykę prywatności, instrukcje zarządzania incydentami oraz regulaminy dostępu do systemów informatycznych.
Poza rejestrem firma powinna opracować politykę bezpieczeństwa informacji, która określa role i odpowiedzialności poszczególnych osób w organizacji, zasady nadawania uprawnień dostępu, procedury tworzenia kopii zapasowych oraz scenariusze reakcji na incydenty. Niezbędne jest także przeprowadzanie regularnych audytów wewnętrznych, testów penetracyjnych systemów IT oraz szkoleń dla pracowników mających dostęp do danych osobowych. W przypadku podmiotów przetwarzających dane na dużą skalę lub podejmujących działania wysokiego ryzyka konieczne może być wykonanie oceny skutków dla ochrony danych (DPIA), która pozwala zidentyfikować zagrożenia i wdrożyć środki zaradcze jeszcze przed uruchomieniem nowego procesu.
Wdrożenie RODO wprowadziło nowe stanowisko w przedsiębiorstwach — szeroko rekomendowana jest funkcja inspektora ochrony danych osobowych. Osoba na takim stanowisku powinna posiadać rzetelną i fachową wiedzę, która odpowiada ilości i rodzajowi danych przetwarzanych przez firmę. Z chwilą objęcia funkcji staje się podmiotem doradczym i weryfikującym przetwarzanie danych osobowych w przedsiębiorstwie.
Inspektor działa niezależnie od kierownictwa firmy i nie może otrzymywać poleceń dotyczących wykonywania swoich zadań. Do jego głównych obowiązków należy monitorowanie zgodności z przepisami, prowadzenie szkoleń dla pracowników oraz pełnienie funkcji punktu kontaktowego dla organu nadzorczego. W ramach swojej działalności inspektor przeprowadza audyty wewnętrzne, opiniuje projekty nowych systemów przetwarzania oraz doradza w zakresie oceny skutków dla ochrony danych (DPIA).
Inspektor pełni także rolę łącznika między firmą a osobami, których dane są przetwarzane. To do niego powinni kierować swoje zapytania klienci, pracownicy czy kontrahenci, którzy chcą skorzystać z przysługujących im praw — na przykład żądania dostępu do danych, ich sprostowania, usunięcia czy przeniesienia. Inspektor współpracuje również z organem nadzorczym w razie kontroli, dostarczając niezbędną dokumentację i wyjaśniając przyjęte rozwiązania. Jego niezależność jest zabezpieczona przepisami — nie wolno go zwolnić ani karać za wykonywanie powierzonych mu zadań, co gwarantuje obiektywizm w ocenie ryzyk i luk w systemie ochrony danych.
Obowiązek powołania inspektora dotyczy między innymi organów publicznych, podmiotów, których podstawowa działalność wymaga regularnego i systematycznego monitorowania osób na dużą skalę oraz podmiotów przetwarzających na dużą skalę szczególne kategorie danych. W pozostałych przypadkach powołanie inspektora jest dobrowolne, lecz zalecane ze względu na rosnącą złożoność wymogów prawnych.
Przykładowo obowiązek ten obejmuje szpitale, kliniki, firmy ubezpieczeniowe, operatorów telekomunikacyjnych, przedsiębiorstwa prowadzące monitoring wizyjny w obiektach użyteczności publicznej oraz przedsiębiorców stosujących profilowanie na szeroką skalę. W przypadku firm prowadzących działalność jedynie na niewielkim rynku lokalnym i przetwarzających wyłącznie podstawowe dane kontaktowe klientów, powołanie inspektora może nie być obowiązkowe, choć warto rozważyć zatrudnienie konsultanta zewnętrznego, który zapewni merytoryczne wsparcie w zakresie compliance.
Na straży ochrony danych osobowych przez przedsiębiorców stoi Urząd Ochrony Danych Osobowych — organ, którego zadaniem jest nadzór oraz skuteczne egzekwowanie zasad. Właściciel firmy, który narusza przepisy w tym zakresie, musi liczyć się z katalogiem surowych konsekwencji.
Prawo przewiduje wysokie kary administracyjne, których wysokość jest uzależniona od tego, w jakim zakresie nie zastosowano się do wskazanych uregulowań. Za najpoważniejsze naruszenia obowiązków ochrony danych osobowych dopuszczalna jest kara w wysokości nawet 20 milionów euro lub 4% rocznego, światowego obrotu firmy — w zależności od tego, która kwota jest wyższa. Katalog sankcji obejmuje również kary w wysokości do 10 milionów euro lub 2% obrotu za mniej poważne naruszenia, na przykład brak prowadzenia rejestru czynności przetwarzania.
W polskiej praktyce orzeczniczej przykładem wysokiej kary było nałożenie przez UODO sankcji w wysokości ponad 2,8 miliona złotych na bank, który nie zabezpieczył odpowiednio danych klientów, co doprowadziło do ich wycieku. Innym przypadkiem była kara na operatora telekomunikacyjnego za niewystarczające zabezpieczenie baz danych oraz brak właściwej weryfikacji tożsamości osób składających wnioski o wydanie duplikatu karty SIM. Praktyka pokazuje, że organ zwraca uwagę nie tylko na sam fakt naruszenia, ale także na skalę potencjalnych szkód oraz stopień zaniedbania ze strony administratora.
Poza karami finansowymi organ nadzorczy może wydać nakaz zaprzestania przetwarzania danych, nakazać sprostowanie lub usunięcie danych oraz ograniczyć lub zakazać przekazywania danych do państw trzecich. Przedsiębiorca może również ponieść odpowiedzialność cywilną wobec osób, których dane zostały naruszone — poszkodowani mogą dochodzić odszkodowania za szkody majątkowe i niemajątkowe. W skrajnych przypadkach możliwe jest także pociągnięcie do odpowiedzialności karnej za celowe naruszenie przepisów o ochronie danych osobowych.
Skutki wizerunkowe naruszenia ochrony danych mogą okazać się równie dotkliwe co sankcje finansowe. Publikacja decyzji UODO na stronie internetowej urzędu, a następnie jej nagłośnienie w mediach, często prowadzi do utraty zaufania klientów, odwrócenia się kontrahentów oraz spadku wartości akcji w przypadku spółek giełdowych. Firmy, które doświadczyły naruszenia i nie potrafiły skutecznie zareagować, tracą konkurencyjność na rynku i muszą wydatkować znaczne środki na odbudowę reputacji. Dlatego odpowiednie zarządzanie ryzykiem w obszarze ochrony danych powinno być traktowane nie tylko jako obowiązek prawny, ale także jako element strategii biznesowej.
Organ nadzorczy przy wymierzaniu kary bierze pod uwagę szereg okoliczności, w tym charakter naruszenia, czas jego trwania, stopień zawinienia, działania naprawcze podjęte przez administratora oraz wcześniejsze naruszenia. W praktyce oznacza to, że firma, która wykazała dobrą wolę i szybko zareagowała na incydent, może liczyć na złagodzenie sankcji. Z drugiej strony powtarzające się naruszenia lub brak współpracy z organem skutkują zaostrzeniem represji.
Do katalogu okoliczności łagodzących zalicza się między innymi natychmiastowe zgłoszenie naruszenia organowi nadzorczemu, podjęcie działań minimalizujących szkodę dla osób, których dane dotyczą, wdrożenie dodatkowych środków zabezpieczających oraz współpracę z organem w trakcie postępowania wyjaśniającego. Natomiast okolicznościami obciążającymi są celowe działanie, próba zatajenia incydentu, brak reakcji na wcześniejsze ostrzeżenia czy naruszenie dotyczące danych szczególnie chronionych. UODO w swoich decyzjach coraz częściej publikuje szczegółowe uzasadnienia, które mogą służyć innym podmiotom jako wskazówki w zakresie prawidłowego stosowania przepisów.
Komentarze
Brak odpowiedzi do “Zasady ochrony danych osobowych dla firm – co musisz wiedzieć?”
brak komentarzy