Do 25 maja br. trzeba wdrożyć unijne Ogólne Rozporządzenie o Ochronie Danych 2016/679 (RODO). Znajomość nowych wymogów jest w niektórych branżach nadal zaskakująco niska, podczas gdy czasu na dostosowanie się do nowych obowiązków zostało niewiele. Warto przypomnieć najważniejsze obszary, wymagające dostosowania do nowych obowiązków.

BIZNES
Dla firm prywatnych, przestrzeganie zasad ochrony danych osobowych powinno być jednym z priorytetowych projektów, zwłaszcza jeśli przetwarzają dane na dużą skalę. Po 25 maja 2018 r. osoby, których dane przetwarzamy, będą miały prawo do przeniesienia swoich danych, prawo do zapomnienia czy prawo, by nie być profilowanym. Dlatego istotne jest, by dostosować do tego systemy IT poprzez ich modyfikację.

Warto pamiętać, że w prawie do bycia zapomnianym, administrator danych osobowych ma obowiązek usunąć dane osoby ze wszystkich miejsc, gdzie owe dane przetwarzał, czyli: z baz, maili, dysków, chmur, segregatorów itd. Natomiast należy mieć tutaj na uwadze, że prawo to ma także swoje wyjątki – np. sklep internetowy nie usunie danych klienta na jego żądanie, ponieważ są one niezbędne w przypadku ewentualnej reklamacji.

 Prawo do przeniesienia danych to przyznany nam wszystkim nowy instrument decydowania o tym, kto i w jakim zakresie dysponuje informacjami o nas samych. Osoba, której dane dotyczą, będzie mogła żądać przekazania ich innemu podmiotowi, a ten będzie miał obowiązek takie dane przyjąć. Obowiązkiem administratora jest dostarczenie osobie, której dane dotyczą lub podmiotowi, który ona wskaże, danych jej dotyczących w – powszechnie używanym formacie. Przesyłając dane, należy je odpowiednio zabezpieczyć, by wyeliminować ryzyko ich nieuprawnionego dostępu osobom trzecim.

Prawo, by nie być profilowanym, firmy powinny rozumieć następująco: administrator w przypadkach określonych przepisami prawa będzie mógł tworzyć profile osobowe, ale będzie musiał wyraźnie poinformować osobę, której dane dotyczą, o możliwości sprzeciwienia się temu. Nie będzie jednak musiał odbierać zgody. Sytuacja dotyczy np. banków – kiedy złożymy wniosek o kredyt, a bank będzie chciał zbadać naszą zdolność kredytową, będzie mógł profilować, informując o prawie do sprzeciwu. Drugi obszar to ubezpieczenia – jeśli będziemy chcieli kupić polisę, ubezpieczyciel oceniając ryzyko ubezpieczeniowe, będzie mógł profilować. Trzeci – to telekomunikacja. Operator uzyska prawo zbadania naszej wiarygodności właśnie poprzez profilowanie.

Warto pamiętać, by zbierać tylko te dane, które są niezbędne do przetwarzania w danym celu, dodatkowo na podstawie umowy lub podstawy prawnej. Czyli zbieramy dane, które są potrzebne, ale nie zbieramy ich „na zapas”, co wynika z tzw. zasady minimalizacji danych: adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane – art. 5 ust. 1 pkt c RODO.

Na administratorze spoczywa także obowiązek informacyjny. Czyli zbierając np. zgodę od kandydata do pracy, należy informować, kto owe dane będzie przetwarzał. Dodatkowo, w trakcie przetwarzania, osoba, której dane dotyczą, ma prawo zgłosić się do administratora z zapytaniem, jakie konkretnie dane na jej temat przetwarza.

 
KADRY
RODO przewiduje możliwość stosowania biometrii w sektorze zatrudnienia, o ile przewidzą to przepisy państw członkowskich i zgoda na przetwarzanie danych będzie w pełni dobrowolna. Polski projektodawca korzysta z takiej możliwości. Pracodawca będzie mógł ustawić obok tradycyjnej bramki na karty bramkę biometryczną, w celu weryfikacji czasu pracy, ale dopiero za zgodą pracownika. Uwaga – zgoda ta nie może być wymuszona, i nowe rozwiązanie nie może dyskryminować obecnego rozwiązania. Użycie danych biometrycznych może służyć zabezpieczeniu np. tajemnicy przedsiębiorstwa, weryfikując tożsamość osób upoważnionych do wglądu do treści chronionych właśnie na podstawie biometrii.

OŚWIATA
Obecna technologia zapewnia w większości miejsc monitoring wizyjny. Podstawą prawną do jego stosowania jest zapewnienie bezpieczeństwa mienia bądź osób. Dotyczy to również szkół. Jednocześnie jednak brak jest przepisów prawnych, które w sposób wyraźny precyzowałyby zasady korzystania z takiego monitoringu. Regulacje takie zostaną wprowadzone do przepisów kodeksu pracy. Szkoła jest bowiem nie tylko miejscem nauczania, ale również miejscem pracy, do którego przepisy kodeksu znajdują pełne zastosowanie. Dyrektor szkoły jako administrator będzie zmuszony oszacować, w jaki sposób kamera zwiększy bezpieczeństwo na terenie szkoły, ale i uzasadnić, że jej stosowanie jest niezbędne (bo np. budynek szkoły jest rozległy, a nauczyciele w trakcie dyżuru nie są w stanie być w każdym miejscu). Kamera powinna być zamontowana tylko w miejscach pozbawionych kontroli, wraz z tablicą informacyjną typu: obiekt monitorowany, administratorem danych jest zespół szkół itd. Są obszary w szkole takie jak jadłodajnie, szatnie, przebieralnie czy toalety, które nie powinny być w ogóle monitorowane.

Ze względu na stosowanie monitoringu na dużą skalę (wg. RODO taka sytuacja może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą), należy ocenić tego typu przetwarzanie pod kątem celu, zakresu i kontekstu oraz wdrożyć odpowiednie środki zabezpieczające, które zminimalizują ryzyko. Jeśli ocena ryzyka, skutków przetwarzania danych dokonana przez dyrektora okaże się wysoka, powinien on przed przetwarzaniem dokonać konsultacji u Prezesa Urzędu Ochrony Danych Osobowych.

ZDROWIE
Sektor zdrowia przetwarzając dane szczególnie wrażliwe w dużych zasobach będzie miał obowiązek powołania Inspektora Ochrony Danych, który zapewni przestrzegania RODO w placówkach zdrowia.

I to nie tylko w przypadku placówek NFZ, ale także prywatnych. Obecnie jest to branża, która ma bardzo niską świadomość ochrony danych pacjentów, dlatego istotne są szkolenia wewnętrzne, uświadamianie nowych obowiązków. Do najczęstszych naruszeń w obszarze sektora zdrowia należą: nienależyte zabezpieczanie dokumentacji medycznej, rozkładanie kart pacjentów w taki sposób, że uzyskują do nich dostęp inni pacjenci oraz wywoływanie po nazwiskach osób oczekujących na wizyty. RODO zwraca szczególną uwagę na ochronę danych o stanie zdrowia, ponieważ ich ujawnianie może dotkliwie naruszać prawa i wolności osób, których dotyczą.

 
SAMORZĄDY
RODO nie wprowadza znacznej liczby odrębności pomiędzy sektorem publicznym oraz prywatnym. Oba z sektorów przetwarzają bowiem dane osobowe i zobowiązane są do ich najwyższej ochrony. Na sektorze publicznym spoczywa jednak szczególny obowiązek powołania Inspektora Ochrony Danych, niezależnie od tego, jakie kategorie danych i w jakim zakresie przetwarza. Wysokość kary w przypadku naruszenia przepisów o ochronie danych została zmniejszona do 100.000 zł. Dodatkowo na podmiocie, który naruszył zasady ochrony danych osobowych, będzie spoczywał obowiązek sprawozdawczy, czyli na stronie danego urzędu, na stronie BIP – zostanie umieszczona informacja z powodem, dla którego kara została nałożona, jak i wyjaśnieniem o naprawieniu owego naruszenia.

Dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji