Mając powyższe na uwadze należy postawić zatem pytanie: dlaczego kwestia danych osobowych jest tak istotna, zwłaszcza w przypadku nowoczesnych przedsięwzięć pozostających w fazie startup? Jedna z oczywistych odpowiedzi, która przychodzi na myśl dotyczy rzecz jasna potencjalnych kar, do nałożenia których uprawniony pozostaje specjalnie powołany do tego organ – Prezes Urzędu Ochrony Danych Osobowych. Naturalną konsekwencją przyjęcia takiego stanu rzeczy jest konieczność tzw. „wdrożenia RODO”. O ile twierdzenie to pozostaje z całą pewnością prawdziwe, o tyle wskazać należy, iż odpowiednio wczesne pochylenie się przez przedsiębiorców nad problematyką ochrony danych osobowych pozwala nie tylko uniknąć konieczności dopasowywania obowiązującego w przedsiębiorstwie modelu postępowania z danymi, ale w przypadku świadomego podejścia do tego zagadnienia, pozwala (o dziwo) usprawnić funkcjonowanie przedsiębiorstwa i wprowadzić mechanizmy mogące odgrywać istotną rolę także w innych obszarach – jak choćby w cyberbezpieczeństwie. Ale od początku…
Aby zrozumieć wagę zagadnienia ochrony danych osobowych w środowisku startupowym (choć nie tylko), zacząć należy od wyjaśnienia pojęcia „danych osobowych”. Zgodnie z treścią przepisu art. 4 pkt 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych)(dalej jako „RODO”), Na użytek niniejszego rozporządzenia „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Pomimo, iż powyższa definicja nie pozostaje nadto skomplikowana, to jednak katalog informacji które stanowić mogą potencjalnie dane osobowe pozostaje niezmiernie szeroki. Częstym problemem z którym mierzą się przedsiębiorcy jest konieczność ustalenia, czy posiadana przez nich określona informacja stanowi w istocie dane osobowe. Upraszczając przedmiotowe zagadnienie, posłużyć się można swego rodzaju założeniem: jeśli istnieje wątpliwość czy określona informacja lub zbiór informacji stanowi dane osobowe, to zdaje się, iż bezpieczniej jest przyjąć, że tak właśnie jest. Oczywiście, należy poczynić w tym miejscu pewne zastrzeżenie, iż nie w każdym przypadku przyjęcie takiego założenia będzie nie tyle zasadne, co korzystne dla przedsiębiorcy. Nie mniej jednak, w większości przypadków założenie to okazuje się słuszne.
Drugim kluczowym zagadnieniem związanym z ochroną danych osobowych jest pojęcie Administratora Danych Osobowych (dalej jako „Administrator”). W myśl art. 4 pkt 7 RODO, Na użytek niniejszego rozporządzenia „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. W praktyce, będzie to najczęściej podmiot, który zbiera dane osobowe, a następnie używa ich do realizacji własnych celów jak np. celów biznesowych, marketingowych etc.
Przedsiębiorcy muszą pamiętać, iż o ile przetwarzanie danych osobowych pozostaje procesem powszechnym i nieuniknionym w dobie postępującej cyfryzacji, o tyle przetwarzanie niektórych danych doznaje daleko idących ograniczeń na gruncie RODO. Zgodnie z art. 9 ust. 1 RODO Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Od zasady tej istnieją wyjątki przewidziane w art. 9 ust. 2 i 3 RODO. Tytułem przykładu wskazać należy na sytuację, w której przetwarzanie danych osobowych pozostaje niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osobowy fizycznej, zaś osoba ta jest fizycznie lub prawnie niezdolna do wyrażenia zgody (np. przetwarzanie danych osobowych nieprzytomnego pacjenta, do którego wezwano karetkę pogotowia). Dodatkowo istotnym jest, iż przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 RODO wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych (art. 10 RODO).
Z perspektywy przedsiębiorców, a zwłaszcza podmiotów które pozostają dopiero w fazie wzrostu, kluczowy zdaje się zapis art. 24 ust. 1 RODO, który stanowi, iż Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Jak wynika z powyższego, z jednej strony głównym obowiązkiem Administratora pozostaje zapewnienie przetwarzania danych osobowych w sposób zgodny z RODO, z drugiej zaś możliwość wykazania takowej zgodności. Pamiętać należy, iż kwestia owej rozliczalności pozostaje kluczowa z punktu widzenia interesów przedsiębiorcy, w przypadku wystąpienia incydentu ochrony danych lub kontroli z Urzędu Ochrony Danych Osobowych.
Chcąc zapewnić zgodność przetwarzania danych osobowych z RODO, przedsiębiorcy zobowiązani zostali do stosowania się do zasad dotyczących przetwarzania danych osobowych, wskazanych w art. 5 RODO. Dane osobowe muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (“zgodność z prawem, rzetelność i przejrzystość”);
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami (“ograniczenie celu”);
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (“minimalizacja danych”);
- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (“prawidłowość”);
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą (“ograniczenie przechowywania”);
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (“integralność i poufność”).
Jak wspomniano powyżej, przepisy prawa nakładają na przedsiębiorców liczne obowiązki mające niejako zapewnić postępowanie z danymi zgodnie z ww. zasadami. Obowiązki Administratora związane z ochroną danych osobowych można zasadniczo podzielić na trzy główne kategorie tj. obowiązki związane z zapewnieniem bezpieczeństwa danych osobowych, obowiązki realizowane wobec osób, których dane dotyczą oraz obowiązki względem właściwego organu nadzorczego.
Wypełnienie obowiązków związanych z zapewnieniem bezpieczeństwa danych osobowych polega przede wszystkim na:
- opracowaniu dokumentacji zapewniającej ochronę danych osobowych, w tym bezpieczeństwa ich przetwarzania (w tym procedur, polityk etc.);
- analizie i weryfikacji procesów przetwarzania danych osobowych;
- wdrożeniu właściwych rozwiązań techniczno – organizacyjnych w przedsiębiorstwie;
- podpisaniu umów powierzenia przetwarzania danych osobowych w uzasadnionych przypadkach;
- nadaniu upoważnień do przetwarzania danych osobowych oraz bieżącej aktualizacja listy osób posiadających upoważnienia do przetwarzania danych osobowych;
- cyklicznym szkoleniom dla pracowników/współpracowników
Kwestia bezpieczeństwa przetwarzania danych osobowych uregulowana została odrębnie w przepisie art. 32 ust. 1 RODO, zgodnie z którym Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
- pseudonimizację i szyfrowanie danych osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Uwagę zwraca przy tym fakt, iż wskazane rozwiązania w istocie stanowią katalog otwarty. Aby móc w sposób prawidłowy ustalić, czy przedsiębiorstwo zachowuje odpowiedni stopień bezpieczeństwa przetwarzania danych osobowych, należy przeprowadzić odpowiednie działania weryfikacyjne, obejmujące m. in. analizę ryzyka, której poświęcony zostanie odrębny artykuł z niniejszej serii.
Przedsiębiorcy winni również pamiętać, iż w zakresie spoczywających na nich obowiązków leży właściwe dokumentowanie występujących naruszeń ochrony danych osobowych oraz w określonych przypadkach dokonanie zgłoszenia takiego naruszenia do Prezesa Urzędu Ochrony Danych Osobowych.
Pamiętać należy, iż zgodnie z treścią art. 1 ust. 2 RODO Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych. Tym samym nie ulega jakiejkolwiek wątpliwości, iż kluczowe z punktu widzenia wypełniania obowiązków nakładanych na przedsiębiorców przez poszczególne regulacje przedmiotowego Rozporządzenia, jest należyte spełnianie przez takie podmioty obowiązków względem osób fizycznych, których dane są przetwarzane. Ponownie upraszczając, wskazać należy, iż do najważniejszych obowiązków przedsiębiorców zaliczyć można w tej materii:
- prawidłowe wypełnienie obowiązków informacyjnych, o których mowa w art. 13 i 14 RODO
- realizację uprawnień osób fizycznych zagwarantowanych przepisami prawa, w tym:
- prawa do sprostowania danych osobowych,
- prawa do usunięcia danych osobowych,
- prawa do ograniczenia przetwarzania danych osobowych,
- prawa do przenoszenia danych osobowych.
- podjęcie odpowiednich działań po zgłoszeniu cofnięcia zgody przez podmiot danych;
- zawiadomienie podmiotu danych o naruszenia ochrony danych osobowych (w przypadku spełnienia przesłanek wynikających z RODO)
- analizę i rzetelne rozpatrzenie zgłoszonego sprzeciwu przez podmiot danych, a w sytuacji, w której nie materializują się przesłanki określone w RODO w zakresie dalszego przetwarzania danych osobowych takiego podmiotu danych, także usunięcie danych osobowych
Jak wynika z powyższego, na przedsiębiorców nałożone zostały liczne obowiązki na podstawie przepisów powszechnie obowiązującego prawa. Warto pamiętać przy tym, iż niewdrożenie właściwego schematu postępowania z danymi osobowymi oraz nie sprostanie wspomnianej już zasadzie rozliczalności, może nieść za sobą daleko idące, negatywne konsekwencje dla przedsiębiorcy – w tym finansowe. Zgodnie z treścią przepisu art. 101 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j. Dz. U. z 2019 r., poz. 1781), Prezes Urzędu może nałożyć na podmiot obowiązany do przestrzegania przepisów rozporządzenia 2016/679, inny niż: 1) jednostka sektora finansów publicznych, 2) instytut badawczy, 3) Narodowy Bank Polski – w drodze decyzji, administracyjną karę pieniężną na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679. Kary te mogą sięgać nawet wysokości 20.000.000 EUR lub 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Warto zatem już tylko z punktu widzenia bezpieczeństwa prawno – ekonomicznego zadbać o prawidłowe przetwarzanie danych osobowych w przedsiębiorstwie.
Wielu przedsiębiorców zastanawia się również, dlaczego tworząc nowoczesny biznes warto zawczasu pomyśleć o tzw. wdrożeniu RODO, argumentując, że dopiero gdy owy biznes się rozwinie, zasadnym będzie zadbanie o powyższe kwestie. Z tak postawionym stwierdzeniem nie sposób się zgodzić. W pierwszej kolejności wskazać należy, iż od chwili, w której przedsiębiorca pozyskuje, gromadzi i dalej przetwarza dane osobowe, winien on spełniać wymagania stawiane mu przez RODO. Abstrahując od wymagań prawnych, podkreślić należy, iż w przypadku ewentualnego wycieku danych i braku odpowiednich procedur, polityk, sposobów postępowania z danymi, przedsiębiorca traci niejako oręż w ewentualnej dyskusji z Urzędem Ochrony Danych Osobowych co do sankcji. Z drugiej zaś strony, zdecydowanie łatwiej (i najprawdopodobniej również taniej) jest projektować rozwiązania dotyczące ochrony danych osobowych na etapie tworzenia przedsiębiorstwa, tworzenia aplikacji, czy też projektowania nowych funkcjonalności do istniejących narzędzi. Działanie takie wpisuje się w kanon zasady privacy by design na którą wskazuje nam art. 25 ust. 1 RODO stanowiąc, że Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania -wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą. Zdaje się również, iż przyjęcie powyższego schematu postępowania pozwoli także na uniknięcie wielu dodatkowych komplikacji, pojawiających się przeważnie na późniejszym etapie funkcjonowania przedsiębiorstwa. Łatwiej jest bowiem na wczesnym etapie dokonać oceny skutków planowanych operacji przetwarzania danych osobowych, czy też wprowadzić rejestr czynności przetwarzania danych osobowych, niż przygotowywać przedmiotowe dokumenty w momencie, gdy przedsiębiorstwo posiada już setki czy tysiące procesów przetwarzania danych osobowych.
Dostosowanie przedsiębiorstwa do regulacji dotyczących ochrony danych osobowych wymaga nie tylko podjęcia odpowiednich działań, co także (albo i przede wszystkim) zmiany podejścia mentalnego do zagadnienia ochrony danych osobowych. O ile zdawać się może to na początku abstrakcją, o tyle prawidłowe wdrożenie RODO w przedsiębiorstwie pozwala w dłuższej perspektywie usprawnić zarządzanie przedsiębiorstwem oraz zyskać kontrolę nad istotnymi procesami przetwarzania danych osobowych, na czym zdaje się powinno zależeć każdemu nowoczesnemu przedsiębiorcy.
Piotr Wyszumirski
Radca Prawny
SDZLEGAL Schindhelm