Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/67 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osobowych (RODO lub Rozporządzenie) w połowie 2018 r. wymusi potrzebę wdrożenia szeregu zmian.Regulacjewskazują m.in. warunki wyrażenia zgody na przetwarzanie danych. Nie wystarczy już jedna zgoda na dużym poziomie ogólności. Administrator powinien zadbać o to, by użytkownicy osobno wyrazili zgodę na każdy z celów przetwarzania danych. Takim celem może być np. świadczenie usługi. Osobną kwestią jest jednak profilowanie, którego rolą jest dopasowanie oferty reklamowej do konkretnych oczekiwań użytkownika. Rozporządzenie unijne kładzie bardzo duży nacisk na to, by zgoda była wyrażana w konkretnym celu i jeżeli ten cel miałby się zmienić, to administrator danych powinien zadbać o dodatkową zgodę.
Ważną zmianą, w odniesieniu do obecnych przepisów, będzie obowiązek zgłoszenia naruszenia danych osobowych przez wszystkich administratorów do organu nadzorczego (w Polsce: GIODO) oraz przez podmioty przetwarzające do administratorów danych. Dodatkowo, o naruszeniu ochrony danych osobowych administrator danych będzie miał obowiązek powiadomić osoby, których dane dotyczą. W naszym kraju obowiązkiem takim objęte są na razie wyłącznie podmioty świadczące usługi telekomunikacyjne.
RODO określa czynniki, które wskazują na fakt, że dany podmiot kieruje usługę do mieszkańców Unii Europejskiej, a tym samym będzie zobowiązany do przestrzegania nowego Rozporządzenia. Równocześnie Rozporządzenie wprowadza definicje szczególnych kategorii danych osobowych, takich jak „dane biometryczne”, „dane genetyczne” oraz „dane dotyczące zdrowia”. Doprecyzowany został także terytorialny zakres jego stosowania, poprzez określenie tego, co oznacza świadczenie usług na terenie Unii Europejskiej. Do tej pory było to trudne. Światowi giganci jak Google lub Facebook - działając w oparciu o przepisy amerykańskie - nie byli zobligowani do przestrzegania równie restrykcyjnych obowiązków, jakie nałożone zostały m.in. na polskich administratorów danych.
Pojawia się też kwestia ochrony danych osobowych i prywatności, w kontekście wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego. Korzystanie z portali społecznościowych i usług internetowych przez dzieci poniżej 16 roku życia będzie dopiero możliwe po wyrażeniu lub zaaprobowaniu takiej zgody przez rodziców albo opiekunów prawnych. Oczywiście pozostaje sporo wątpliwości interpretacyjnych w odniesieniu do możliwości zweryfikowania czy zgoda wyrażana lub zaaprobowana przez opiekuna osoby do 16 roku życia jest wiarygodna i rzeczywista. Nie zostało to doprecyzowane, co może mieć wpływ na bardzo łatwe „obchodzenie” tego przepisu przez dzieci.
Nowa definicja zakresu terytorialnego obowiązywania RODO
W Rozporządzeniu opisany został terytorialny zakres jego obowiązywania, który dosyć szeroko obejmuje możliwość identyfikowania świadczenia usługi w Unii lub państwie członkowskim. Obecnie, do przestrzegania przepisów polskiej ustawy o ochronie danych osobowych zobowiązane są podmioty, które mają siedzibę na terytorium Rzeczypospolitej lub podmioty, które wykorzystują tu środki techniczne (urządzenia i serwery). W związku z tym, podmioty takie jak Facebook czy Google nie są zobowiązane do przestrzegania polskich przepisów o ochronie danych osobowych. W przypadku Rozporządzenia, wystarczy stwierdzić czy towary lub usługi są oferowane osobom znajdującym się w Unii. Potwierdzeniem faktu, że administrator planuje oferować w Unii towary lub usługi mogą być takie czynniki, jak posługiwanie się językiem lub walutą powszechnie stosowanymi w co najmniej jednym państwie członkowskim oraz możliwość zamówienia towaru lub usług w tym języku lub wzmianka o klientach lub użytkownikach znajdujących się w Unii. To katalog otwarty, dający sporo możliwości interpretacyjnych. Trudno będzie tworzyć portal społecznościowy w języku polskim, profilując użytkowników na terytorium Unii i jednocześnie udowodnić, że nie jest to usługa skierowana do Polaków. Na efekty musimy jeszcze poczekać, ale to pierwszy krok, żeby przynajmniej spróbować ograniczyć pełną swobodę dużych, internetowych korporacji.
Obowiązek informowania klientów firm o wycieku ich danych
Od lat do informowania GIODO o naruszeniach bezpieczeństwa i ochrony danych osobowych zobligowane są podmioty telekomunikacyjne – pod warunkiem, że te incydenty pozwalały na identyfikację osób. W związku z wdrożeniem nowego Rozporządzenia, podobnym obowiązkiem zostaną objęci wszyscy administratorzy danych. Administratorzy będą musieli ocenić czy naruszenie ochrony danych mogło powodować wysokie ryzyko. Obowiązek informowania nie tylko GIODO, ale i osób, których dane zostały naruszone na pewno będzie trudny dla biznesu i ochrony wizerunku. Jak pokazują liczne przykłady – również z Polski – nieumiejętna komunikacja bądź jej brak w sytuacji kryzysowej może mieć bardzo negatywne konsekwencje dla organizacji, łącznie z upadłością. I przeciwnie: odpowiednie zarządzanie incydentami w połączeniu z właściwą komunikacją kryzysową mogą wzmocnić pozycję organizacji na rynku.
Odnosząc się do sektora finansowego, ubezpieczeniowego i kapitałowego, KNF wydał Rekomendację D dla banków oraz Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. Wytyczne dużo uwagi poświęcają procesowi zarządzania incydentami bezpieczeństwa informacji. W Stanach Zjednoczonych oraz Wielkiej Brytanii regularna komunikacja, mówienie wprost o zidentyfikowanych i odpowiednio zarządzanych incydentach, jest już standardem, oznacza dojrzałość organizacyjną. Również w Polsce organizacje muszą zacząć zdawać sobie sprawę z tego, że w obecnych czasach, przy takim poziomie zagrożeń w cyberprzestrzeni nie jest możliwe 100% zapewnienie bezpieczeństwa danych i uniknięcie incydentów. Tym, co będzie decydowało o przewadze rynkowej, będzie sposób i czas reakcji na incydenty oraz umiejętność zarządzania sytuacjami kryzysowymi.
Wzrost roli GIODO w związku z możliwością nakładania kar pieniężnych
Jedną z najważniejszych zmian – budzącą największe emocje – jest możliwość nakładania kar pieniężnych przez organ nadzorczy (GIODO) za nieprzestrzeganie przepisów o ochronie danych. Kary te mają być skuteczne, proporcjonalne i odstraszające. Rozporządzenie opisuje warunki nakładania kar w wysokości od 10 do 20 milionów euro lub do 2% - 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie miała kwota wyższa. Nie chodzi jednak o przychody podmiotu czy organizacji w danym kraju, tylko o całą grupę kapitałową. Mogą to być kary liczone w dziesiątkach milionów euro.
Możliwość nakładania kar pieniężnych ma zapewnić skuteczność organu nadzorczego w zapewnieniu przestrzegania postanowień Rozporządzenia. Każde państwo członkowskie zobowiązane jest do zapewnienia, by organ nadzorczy dysponował zasobami kadrowymi, technicznymi i finansowymi, pomieszczeniami oraz infrastrukturą niezbędnymi do skutecznego wypełniania swoich zadań i wykonywania swoich uprawnień. Rozporządzenie może w konsekwencji przełożyć się na zwiększenie ilości kontroli i ich odczuwalność dla administratorów w związku z możliwością nakładania kar pieniężnych w przypadku stwierdzenia naruszeń. Dotychczas GIODO nakładało kary grzywny w wysokości do kilku tysięcy złotych i to jedynie w celu przymuszenia do wykonania zaleceń pokontrolnych w oparciu o przepisy egzekucyjne. Również skuteczność dotychczasowych sankcji, wynikających z przepisów karnych, należałoby ocenić dosyć nisko. Wprowadzenie administracyjnych kar pieniężnych może znacząco zmienić podejście administratorów danych do ochrony danych osobowych oraz roli organu nadzorczego.
Największe wady RODO
Ze względu na szybki rozwój społeczeństwa informacyjnego i technologii, a także na cyber zagrożenia i terroryzm, wyzwaniem mogą być niedostosowane, zbyt ogólne i nieprecyzyjne, a właściwe niemożliwe do weryfikacji, sposoby uwierzytelniania użytkowników oraz „prawo do bycia zapomnianym”. Dużym wyzwaniem dla administratorów jest brak świadomości użytkowników, zagrożenia dotyczące bezpieczeństwa, w tym kradzież tożsamości. Przepisy dotyczące ochrony danych i prywatności dzieci są trudne do realizacji przy zachowaniu równowagi pomiędzy kosztami i skutecznością rozwiązań. Wymaganie zgody bądź zaaprobowania jej przez rodziców użytkowników serwisów w wieku poniżej 16 roku życia, przy jednoczesnym uwzględnieniu dostępnej technologii i podejmowaniu rozsądnych starań przez administratora, nie będzie skuteczne. Wyzwaniem jest, by Rozporządzenie niosło korzyść poprzez podniesienie świadomości administratorów i osób, których dane dotyczą – nie tylko w postaci przymuszenia.
W zarządzaniu bezpieczeństwem informacji, podobnie jak w ochronie danych osobowych, ważne jest znalezienie równowagi pomiędzy kosztami i korzyściami z wdrażania określonych rozwiązań i zabezpieczeń. W RODO pozytywnym sygnałem jest przywołanie zasady proporcjonalności, która ogranicza lub wyłącza stosowanie wybranych obowiązków dla mikroprzedsiębiorstw, średnich i małych przedsiębiorstw oraz podmiotów poniżej 250 osób. Rozporządzenie dopuszcza również stosowanie przez administratorów rozsądnych rozwiązań, dostępnej technologii oraz możliwości pobierania opłat. Dlatego – pomimo iż nie wszystkie zapisy są idealne – w mojej ocenie wdrożenie Rozporządzenia będzie miało korzystny wpływ na podniesienie świadomości i kultury ochrony danych osobowych.
Jolanta Gasiewicz - Inspektor ds. Bezpieczeństwa Informacji w PKO Finat. Ekspert w zakresie bezpieczeństwa informacji, ochrony danych osobowych. Jest członkiem Międzynarodowego Instytutu IIA oraz IIA Polska – Stowarzyszenia Audytorów Wewnętrznych oraz Stowarzyszenia Administratorów Bezpieczeństwa Informacji.