Obowiązki administratorów danych wynikające z RODO
Kto przetwarza dane osobowe, ustala cele i sposoby przetwarzania danych osobowych, dobiera odpowiednie środki techniczne oraz dba o zachowanie ciągłej poufności osób, których dane dotyczą? Oczywiście to zadania administratora danych osobowych. Jak zapewnić bezpieczeństwo przetwarzania? Co jeśli w firmie występuje wysokie ryzyko naruszenia praw lub wolności osób których dane dotyczą? O tym w naszym nowym artykule.
Dlaczego ten temat ma dla Ciebie znaczenie?
Za każdym razem, gdy prowadząc działalność lub działając z innych nieosobistych pobudek, przetwarzasz dane osobowe, robisz to jako administrator lub podmiot przetwarzający. Szczególnie rola administratora danych wiążą się z licznymi obowiązkami w RODO, z odpowiedzialnością przed organem nadzorczym ochrony danych, ale przede wszystkim przed właścicielami danych. Podkreślę jeszcze raz — administrator danych wcale nie musi być osobą prawną, często to osoba fizyczna o różnym statusie prawnym, ale co ważne — realizująca scenariusze postępowania z informacjami o osobach poza swoim prywatnym życiem.
Widzisz więc, że niezwykle ważne jest, aby mieć wiedzę jak:
- zidentyfikować scenariusze, w których jesteś lub działasz w imieniu administratora danych osobowych;
- zrozumieć obowiązki prawne, które mają zastosowanie do administratorów danych osobowych;
- dopełniać tych obowiązków.
Czy Ty lub Twoja firma jesteście administratorem danych?
Pojęcie administratora danych osobowych
Administrator danych to osoba lub organizacja odpowiedzialna za nadzorowanie i wykorzystywanie danych osobowych gromadzonych i oraz przechowywanych w szafach i regałach, czy piwnicach archiwów zakładowych, na komputerach lub serwerach, a także w usługach chmury obliczeniowej w komercyjnych celach. Sposoby przetwarzania danych osobowych można by mnożyć, ale dla administratora najważniejszy jest fakt, iż między innymi ustala cele korzystania z takich informacji w oparciu o zasady i infrastrukturę gwarantującą maksymalne bezpieczeństwo tych danych.
Definicję administratora danych odnajdziesz w art. 4 RODO, ale same organy nadzoru nad przestrzeganiem tego rozporządzenia uznały temat identyfikacji za na tyle trudny, że Europejska Rada Ochrony Danych wydała Wytyczne 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO. Wersję 2.0 dokumentu przyjętego 7 lipca 2021 r. odnajdziesz tutaj.
Poniżej krótki test. Im więcej odpowiedzi "tak", tym większe prawdopodobieństwo, że jesteś administratorem danych osobowych. Większość odpowiedzi "nie" wskazuje, że prawdopodobnie działasz jako podmiot przetwarzający, ale o tej roli przeczytasz więcej w innym naszym artykule. Jeśli odpowiedziałeś "tak" na drugie pytanie, jesteś administratorem danych bezwzględnie!
- Czy podjąłeś inicjatywę rozpoczęcia gromadzenia lub przetwarzania danych osobowych w jakikolwiek sposób?
- Czy zdecydowałeś o celu przetwarzania tych informacji?
- Czy zdecydowałeś, jakie rodzaje danych osobowych mają być gromadzone i jakich grup osób [kategorii] ?
- Jeśli podjąłeś współpracę z innym profesjonalnym podmiotem przetwarzającym dane osobowe, to czy jesteś tą stroną umowy, która ustaliła koncepcje usługi i głównie korzysta z wyników przetwarzania?
- Czy masz bezpośrednią relację z osobami, których dane dotyczą np. umowa o pracę, umowa zlecenie, B2B, kontrakt managerski?
Podstawowe obowiązki administratora danych osobowych — czyli słowo o wolności osób fizycznych ?
Jeśli już doszedłeś do wniosku, iż Ty lub organizacja, jaką reprezentujesz, jest administratorem danych osobowych. To trzeba postawić kolejne pytanie. Na co zwrócić uwagę?
Art. 24 RODO podaje nam kilka średnio klarownych sformułowań jak to "Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków." Jednak co powinno się znaleźć w centrum troski?
Zarządzanie danymi osobowymi, które uwzględnia poniższe wskazówki. Przeglądaj wszystkie swoje aktywności związane z przetwarzaniem danych osobowych, by zidentyfikować osoby, których dane przetwarzasz i czynności przetwarzania danych osobowych, których potrzebujesz do ciągłego zapewnienia poufności.
- Oceń skutki takiego przetwarzania dla oraz ryzyko naruszenia praw lub wolności osób fizycznych, zinwentaryzuj dane — na pewno dojdziesz do wniosku, że nie potrzebujesz ich tak wiele lub na tak długo, więc już na tym etapie zminimalizuj ich zakres i czas przetwarzania, sprawdź i stosuj podstawowe zasady przetwarzania danych osobowych, o których mowa w art. 5 RODO.
- Identyfikuj, w odniesieniu do każdej czynności przetwarzania danych osobowych, w jakiej infrastrukturze i czyimi rękami przetwarzasz te dane, jeśli masz wsparcie w innych firmach, to zadbaj o kontrolę nad ryzykiem po stronie podmiotów trzecich m.in. poprzez stosowne umowy powierzenia przetwarzania danych, udostępniania danych, współadministrowania.
- Przyjmij strategię zarządzania ryzykiem i ograniczania ryzyka prowadzących do nieuprawnionego dostępu, wykorzystania lub ujawnienia danych osobowych, dla których jesteś administratorem. Oceń pod tym kątem środki techniczne i organizacyjne, jakimi dysponujesz, ale też systematycznie oceniaj skuteczność tych środków technicznych i organizacyjnych. Przykładem takim środków może być: pseudonimizacja, szyfrowanie danych osobowych.
- Zadbaj o dobre narzędzia do obsługi swoich RODO obowiązków w tym o narzędzia, które skutecznie i sprawnie pomogą Ci realizować prawa osób oraz takie, które wesprą Cię w obsłudze naruszenia w tym jego oceny, zgłaszania, ale przede wszystkim wyciągania wniosków, które przełożą się na poprawę skuteczności środków organizacyjno-technicznych, o których już wspomniałam. Nawet jeśli nie wynika to z obowiązków prawnych — rozważ zaangażowanie Inspektora Ochrony Danych.
Znasz metodę doskonalenia w zarządzaniu opisywaną jako Cykl Deminga, znaną również jako PDCA (Plan-Do-Check-Act)? Polega on na czterech etapach: Planowanie (Plan), gdzie określa się cele i metody osiągnięcia; Wykonanie (Do), gdzie wdraża się plan; Sprawdzenie (Check), gdzie monitoruje i ocenia się efekty; oraz Działanie (Act), gdzie wprowadza się poprawki i standaryzuje udoskonalenia. Dokładnie według tego schematu zarządzaj przetwarzaniem danych w swojej działalności.
Dalsze obowiązki informacyjno-ewidencyjne administratorów danych osobowych
Administratorzy danych mają liczne informacyjno-ewidencyjne obowiązki wynikające z przepisów RODO, lecz jeśli dbasz o inwentaryzację danych i ich bezpieczeństwa na właściwym poziomie, to ich realizacja będzie prosta, a co najważniejsze odnosić się będzie do rzeczywistych danych osobowych w Twojej dyspozycji , nie będzie zestawem szablonów skopiowanych od konkurencji biznesowej z ich stron internetowych.
Szerzej przedstawione i opisane dokumenty, informacje dotyczące polityk ochrony danych, jakie wspierają wypełnianie obowiązków RODO, szablony ewidencji i niezbędnych rejestrów odnajdziesz w artykule Dokumentacja RODO, która pozwoli uniknąć Tobie kary.
O ryzyku finansowym dla nieprzekonanych
Administrator danych osobowych odgrywa kluczową rolę w ochronie prywatności i innych usług przetwarzania danych osobowych osób fizycznych. Ważne jest, aby administratorzy danych w pełni rozumieli swoje obowiązki i podejmowali niezbędne kroki w celu ich wypełnienia, a tam, gdzie argumenty związane dobrą reputacją nie przemawiają, warto by przemówiły twarde argumenty w postaci kar finansowych nakładanych przez Prezesa Urzędu Ochrony Danych — organ publiczny odpowiedzialny za kontrole m.in. administratorów danych osobowych.
Nadzór nad podmiotami przetwarzającymi
DKN.5130.2215.2020 z dnia 19 stycznia 2022 r., kara pieniężna w wysokości 4 911 732 PLN
Dostawca energii, Fortum Marketing and Sales Polska S.A (Fortum), nie monitorował czynności przetwarzania danych przez podmiot przetwarzający, PIKA Spółka z o.o. (PIKA). Ten ostatni nie wdrożył odpowiednich środków bezpieczeństwa, a osoby trzecie uzyskały dostęp do danych osobowych 137 314 klientów. Według PUODO Fortum było zobowiązane — i nie zdołało — zastosować i zweryfikować środków bezpieczeństwa, które zostały zastosowane przez jego podmiot przetwarzający.
DKN.5130.1354.2020, 17 grudnia 2020 r., kara pieniężna w wysokości 1 069 850 PLN
ID Finance Sp. z o.o., firma pożyczkowa, nie weryfikowała regularnie metod wykrywania luk w zabezpieczeniach stosowanych przez podmiot przetwarzający dane. Z powodu luki w zabezpieczeniach doszło do kradzieży danych osobowych 140 699 klientów, a UODO nałożył karę w wysokości 1 069 850 PLN (około 250 000 EUR) za naruszenie art. 25 ust. 1 RODO.
Ocenianie skuteczności środków technicznych
DKN.5130.2559.2020 z dnia 9 grudnia 2021 r., kara pieniężna w wysokości 45 000 PLN
Morele.net zgłosiło do PUODO naruszenie ochrony danych osobowych. W tym przypadku osoba nieuprawniona uzyskała dostęp do bazy danych klientów niektórych sklepów internetowych administratora. Zdaniem PUODO spółka naruszyła art. 5 ust. 1 lit. f) i art. 25 ust. 1 RODO z powodu nieskutecznych procedur uwierzytelniania — opartych na prostych danych uwierzytelniających w postaci nazwy użytkownika i hasła — które nie zapobiegły nieautoryzowanemu dostępowi. Wybór odpowiedniego środka uwierzytelniania powinien być poprzedzony analizą ryzyka i podlegać ciągłym przeglądom, czego spółka nie przeprowadziła. Dla organu ochrony danych uchybienia spółki stanowiły naruszenie art. 25 ust. 1 i art. 32 RODO.
Organ ochrony danych wyjaśnił, że kontrola dostępu i bezpieczne uwierzytelnianie to podstawowe środki bezpieczeństwa, które administrator powinien był wdrożyć. Ponadto wskazał na odpowiednie wytyczne Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) i inne zasoby zalecające stosowanie dwuskładnikowego mechanizmu uwierzytelniania w systemach wymagających dostępu do danych osobowych.
Sprawdź nasz artykuł: Kara w wysokości 2,8 mln zł nałożona na sklep internetowy morele.net
Podsumowanie
Wiele organizacji decyduje się na samodzielne wdrożenie i utrzymanie zgodności z RODO. Efekty takich działań, by były skuteczne, pochłaniają wiele energii i czasu zaangażowanych w ten proces pracowników. Skorzystanie z usług profesjonalnych podmiotów zajmujących się wsparciem utrzymania systemów ochrony danych osobowych, świadczących usługi inspektora ochrony danych, może okazać się bardziej optymalne dla organizacji, zarówno pod względem nakładów, jak i osiągniętych celów.
Chcesz, aby Twoja firma działała zgodnie z prawem i obowiązującymi aktualnie przepisami? Potrzebujesz porady lub wsparcia z zakresu ochrony danych osobowych? Nasi eksperci służą Ci swoją pomocą! Napisz do nas maila: biuro@lexdigital.pl lub zadzwoń: +48 500 214 942.
Sprawdź nasz artykuł: Dzień hasła – zasady tworzenia i zarządzania hasłam