Jak przygotować firmę do wprowadzenia RODO

Uważna lektura przepisów rozporządzenia RODO powinna prowadzić do następujących ogólnych wniosków.

1. Ochrona danych osobowych jest bardzo istotnym – jednym z najważniejszych – obowiązków. Każdy ADMINISTRATOR DANYCH OSOBOWYCH ma obowiązek zastosowania środków organizacyjnych i technicznych które zabezpieczają przed uzyskaniem dostępu do danych osobowych przez nieupoważnione osoby lub firmy.
2. Przetwarzanie danych osobowych jest dozwolone tylko po wcześniejszym uzyskaniu zgody osoby, której dane te dotyczą i wyłącznie w celu, dla którego ta zgoda została udzielona. Aby zgoda była ważna musi spełniać określone w rozporządzeniu RODO warunki.
3. RODO zezwala na przekazywanie danych do przetwarzania w drodze podzlecenia innym podmiotom – ale wyłącznie w oparciu o umowę, która zagwarantuje bezpieczne przetwarzanie danych przez podwykonawcę (zwanego tez „procesorem”).
4. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby, które mają upoważnienie wystawione przez ADMINISTRATORA DANYCH.
5. RODO wprowadza obowiązek informacji Urzędu Ochrony Danych Osobowych (UODO powstanie jako następca GIODO) o naruszeniach ochrony danych osobowych.

Jeżeli w firmie zostanie wdrożonych powyższych 5 generalnych zasad to będzie to oznaczało, że firma jest gotowa do działania w zgodzie z zapisami rozporządzenia RODO. Jak to zrobić?.

Opiszę wdrożenie do warunków RODO na przykładzie małej firmy:

• jednoosobowa działalność gospodarcza
• firma zatrudnia kilku pracowników
• firma korzysta z usług Biura Rachunkowego w zakresie księgowości i obsługi kadr
• działalność firmy to:
• sprzedaż poprzez sklep internetowy,
• sprzedaż poprzez sklep stacjonarny,
• sprzedaż poprzez allegro,
• działalność usługowa lub wytwórcza
• w celu wysyłki paczek firma korzysta z usług firm kurierskich i Poczty Polskiej.
• strona internetowa jest umieszczona na zewnętrznym serwerze w firmie hostingowej.

Niezależnie od tego czy rzeczywista firma wygląda podobnie, czy prowadzi jednoosobową działalność ograniczoną wyłącznie do sklepu internetowego, czy też jest to rozbudowana wielooddziałowa firma – zakres obowiązków i rozwiązania będą podobne.

Ad. 1 Środki organizacyjne.

W związku z prowadzoną działalnością firma przetwarza dane osobowe – jak w przykładzie – choćby do rejestracji zamówień (sklep internetowy), wystawiania dokumentów sprzedaży (z wszystkich rodzajów działalności) i do adresowania wysyłanych paczek . Powstają dokumenty zarówno w formie papierowej jak i cyfrowej (dane w komputerach). Organizacja przetwarzania danych musi zapewnić:

• zabezpieczenia miejsc przetwarzania danych – ograniczenie dostępu do pomieszczeń, w których przetwarza się dane. O tym czy montuje się kraty w oknach, zakłada alarm, podpisuje umowę z firma ochroniarską – decyduje ADMINISTRATOR podejmując decyzje - adekwatnie do oceny zagrożeń.
• ograniczenie dostępu i wglądu do danych wyłącznie dla osób, które mają wystawione upoważnienia,

Przykładowo:

• w sklepie stacjonarnym monitor musi być tak ustawiony aby nieupoważniona osoba nie mogła zapoznać się z wyświetlanymi treściami,
•  dostęp do komputera musi być zabezpieczony hasłem,
•  dostęp do programu musi być zabezpieczony loginem i hasłem – hasła powinny być okresowo zmieniane.
• zapewnienie przechowywania i archiwizowania dokumentów tak, aby nie miały do nich dostępu osoby nieupoważnione,
• dokumenty w formie papierowej muszą być przechowywane w sposób uniemożliwiający wgląd przez osoby nieupoważnione – czy jest to zamykana szuflada w biurku, zamykana szafa, czy zamykany cały pokój – o tym decyduje ADMINISTRATOR : o wyborze środków ochrony – adekwatnie do zagrożeń decyduje ADMINISTRATOR.
•  itd.
• zabezpieczenie komputerów przed atakami szkodliwego oprogramowania -
• minimum to zastosowanie włączonej ochrony systemowej „Firewall”, stosowanie programów antywirusowych, stosowanie protokołu szyfrowania danych SSL itd. O tym jakie środki (czytaj jakiej klasy i jak kosztowne) są stosowane decyduje ADMINISTRATOR – adekwatnie do oceny ryzyka.
• stosowanie wyłącznie legalnego i zawsze w aktualnej wersji oprogramowania komputerowego,
• stosowanie systematycznej archiwizacji programów i danych – tak aby można było

i inne działania organizacyjne, które służą bezpieczeństwu przetwarzania i przechowywania danych osobowych.
Opis stosowanych rozwiązań powinna opisywać (tytuł przykładowy) INSTRUKCJA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH. Która pełni rolę instrukcji dla wszystkich dopuszczonych do przetwarzania danych osób.

Ad.2 . Uzyskanie zgody na przetwarzanie danych osobowych.

W nowym rozporządzeniu o Ochronie Danych Osobowych RODO bardzo duże znaczenie prawne przypisano do formy składanego oświadczenia o udzieleniu zgody na przetwarzanie danych osobowych.
Zgoda w wielu przepisach RODO stanowi przesłankę legalizującą przetwarzanie. Zgodnie z nową definicją „zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych”. Aby udzielona zgoda była prawnie skuteczna muszą być spełnione równocześnie następujące elementy formalne:

• zgoda musi być udzielona w formie oświadczenia lub wyraźnego działania potwierdzającego – w przypadku sklepu internetowego może to być formułka w formie check-box – jednak należy pamiętać, że
• zgoda musi być udzielona jawnie i świadomie – nie może być w formie oświadczenia pośredniego np. „dokonanie zakupu oznacza zgodę...”, „złożenie zamówienia oznacza zgodę...” - takie zgody są NIEWAŻNE z mocy prawa,
• nie może być podpowiedzi na TAK, osoba składająca oświadczenie musi samodzielnie wstawić „x” do okienka i następnie zatwierdzić udzielenie zgody,
• nie jest ważna zgoda domniemana udzielona w sposób pośredni – np. umieszczona w REGULAMINIE – akceptacja regulaminu nie wystarcza tu do ważności takiej zgody,
• złożenie oświadczenia musi być dobrowolne . Niezłożenie oświadczenia nie może się wiązać się z negatywnymi konsekwencjami. Nie można uzależnić zawarcie umowy od udzielenia zgody na przetwarzanie na inny cel (np. marketing) – jeżeli dodatkowe świadczenie nie jest konieczne do wykonania podstawowej umowy.
• Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Cel przetwarzania musi być jasno i jednoznacznie określony.
• zgoda powinna być konkretna i świadoma. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej określenia:
• KOMU jest udzielana - nazwa identyfikująca administratora danych, numer ewidencyjny np. NIP lub KRS, oraz koniecznie dane kontaktowe adres e-mail i (o ile możliwe) telefon.
• W JAKIM CELU - (zgoda bez określenia celu jest NIEWAŻNA!)
• składający oświadczenie musi być poinformowany o prawie do wycofania zgody w dowolnym momencie.  Wycofanie zgody powinno mieć taką samą formę jak jej udzielenie – powinno być równie łatwe jak jej wyrażenie – zalecane jest udostępnienie takiej samej formy – np. poprzez check-box.
• Składający oświadczenie musi być poinformowany o prawie do wglądu, poprawiania oraz żądania usunięcia wszystkich danych (prawo do bycia zapomnianym).

Ciężar dowodu odebrania upoważnienia do przetwarzania danych osobowych (istotne szczególnie dla autorów stron internetowych). art. 7 ust. 1 rozporządzenia RODO wprowadza zasadę:
Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
Spełnienie tego warunku wymaga nowych rozwiązań umożliwiających archiwizację uzyskanych zgód. Może to być ewidencja wpisana w program sklepu internetowego – może to być też dowolna ewidencja w innej formie. W przypadku zgody uzyskiwanej drogą elektroniczną, pojawia się jeszcze wymóg potwierdzenia zgody przez użytkownika. Wydaje się zatem, że w tym przypadku wskazane jest zastosowania metody double opt-in, gdy użytkownik po wypełnieniu formularza, musi jeszcze kliknąć w link potwierdzający swoją zgodę wysyłany mailem.

Należy jednak zwrócić uwagę na nowy obowiązek:
Wycofanie zgody powinno mieć taką samą formę jak jej udzielenie – powinno być równie łatwe jak jej udzielenie Najczęściej oświadczenie jest składane w formie check-box na stronie internetowej. Z wyjaśnień do rozporządzenia wynika, że należy udostępnić możliwość cofnięcia zgody w takiej samej formie check-box. Jeżeli udzielenie zgody jest zapisywane w bazie danych to cofnięcie też powinno być zapisane (konieczność dowodu udzielenia lub cofnięcia zgody leży po stronie administratora).

Ad. 3. Umowy o powierzeniu do przetwarzania danych osobowych.

W przypadku gdy firma, która jest ADMINISTRATOREM DANYCH powierza do przetwarzania dane osobowe innemu podmiotowi, to jest obowiązana podpisać z tym podmiotem umowę o powierzeniu do przetwarzania danych osobowych. Nie musi to być osobna umowa – może to być załącznik do podstawowej umowy lub też równoważne zapisy mogą być zawarte w podstawowej umowie. Umowa w/g zapisów w RODO daje dużo większe uprawnienia i nakłada nowe obowiązki na ADMINISTRATORA danych. ADMINISTRATOR m.in. odpowiada za wybór i weryfikację wybranego przez siebie podmiotu i pomimo podpisania umowy o powierzeniu ponosi odpowiedzialność za ewentualne naruszenie danych osobowych przez podwykonawcę. Dotychczas podpisywane umowy nie zawierają nowych – bardzo istotnych warunków wprowadzonych przez RODO. Przed 25.05.2018 należy podpisać NOWE umowy zawierające klauzule wymagane przez RODO.

 Brak umowy powierzenia przetwarzania danych osobowych może skutkować wysokimi karami finansowymi określonymi w RODO (do 20 mln Euro!).

Przykłady – kiedy zachodzi konieczność podpisania umowy:

• umowa o usługi księgowe z Biurem Rachunkowym – jest również związana z powierzeniem danych (do Biura). Umowa o świadczenie usług – jeżeli jest dobrze przygotowana przez Biuro to powinna zawierać zapisy wyczerpujące wymogi umowy o powierzeniu danych do przetwarzania.
• umowa z firmą świadczącą usługi hostingowe (wynajem miejsca na serwerze) – uwaga umowa musi być zawarta pomiędzy Państwem jako ADMINISTRATOREM danych i firmą, która faktycznie nadzoruje serwer, na którym odbywa się przetwarzanie danych osobowych – firma ta jest t.zw. PROCESOREM (albo równoważne często używane określenie : „podmiot przetwarzający” ). Analogiczny obowiązek umowy powstaje w każdej innej sytuacji gdy przetwarzamy dane osobowe na serwerach innych firm – np. niektóre programy do fakturowania itd.
• umowa z firmą kurierską – jeżeli firma kurierska udostępnia aplikację do wypełnienia dokumentów przewozowych – dane są przetwarzane na serwerze firmy kurierskiej i w następstwie konieczna jest umowa o powierzeniu do przetwarzania danych osobowych. ,
• umowa z CENEO i podobnymi portalami – wydaje się w świetle RODO, że jest konieczna – choć w dotychczasowej praktyce chyba nie stosowana,
• umowa z firma świadcząca usługi serwisowe (np.  dostawca systemu informatycznego, w którym przetwarzasz dane osobowe ma do nich dostęp w trakcie okresowego serwisu)
• przekazanie dokumentów do archiwizowania lub niszczenia (!)

Często spotykam się z pytaniem a co z Allegro ? Nie jest potrzebna umowa o powierzeniu przetwarzania z Allegro – w tym przypadku ADMINISTRATOREM danych jest Allegro a PROCESOREM firma, która dostała dane klientów, którzy dokonali zakupu na aukcji.

Na gruncie obowiązującej do 25.05.2018 r. ustawy o ochronie danych osobowych, powierzenie danych wymaga zawarcia umowy na piśmie. Na piśmie, czyli z własnoręcznymi podpisami obu stron. Nie wystarczy skan czy zdjęcie podpisanej umowy. Konieczny jest egzemplarz z własnoręcznym podpisem. Od 25.05.2018 r. umowę powierzenia przetwarzania danych osobowych będzie można zawrzeć elektronicznie. W wyniku takiej regulacji możliwe będzie zawarcie takiej umowy również poprzez zaakceptowanie regulaminu USŁUGODAWCY, w którym znajdują się stosowne postanowienia dotyczące powierzenia przetwarzania danych osobowych. Należy się spodziewać, że takie rozwiązania wprowadzą firmy hostingowe, firmy kurierskie itd. - tam gdzie podstawowa umowa jest zawierana poprzez zaakceptowanie regulaminu serwisu. Jednak z zapisów RODO wynika, że na ADMINISTRATORZE spoczywa ocena, czy umowa ta jest zgodna z zapisami RODO.

Ad. 4. Upoważnienia.

Podstawowym dokumentem wymaganym przez RODO jest „Rejestr czynności przetwarzania danych osobowych”, który wyodrębnia i opisuje WSZYSTKIE zbiory danych jakie powstają w firmie. W oparciu o ten dokument ADMINISTRATOR musi wystawić WSZYSTKIM osobom, które mają dostęp do danych osobowych UPOWAZNIENIA, w których określony jest zakres – do jakich zbiorów i w jakim okresie dana osoba ma prawo dostępu. Najprostszym rozwiązaniem jest wystawienie upoważnień WSZYSTKIM osobom z zakresem - bez ograniczeń. W małej firmie gdzie dostęp do danych ma kilka osób takie rozwiązanie wydaje się być rozsądnym. Jednak rozporządzenie RODO wprowadza zasadę „minimalizmu” przy wydawaniu upoważnień. Upoważnień powinno być jak najmniej i ich zakres winien być związany z zakresem obowiązków służbowych. Upoważnienia muszą być wystawione dla wszystkich osób, które uzyskują dostęp do danych osobowych - nie tylko pracowników. Przykładowo jeżeli przychodzi serwisant do komputera to powinien podpisać oświadczenie o zachowaniu poufności danych - treść takiego oświadczenia jest zawarta w upoważnieniu. Najkorzystniej wystawić jest w takiej sytuacji wystawić upoważnienie okresowe - serwisant przyjmując upoważnienie musi podpisać równocześnie oświadczenie i w ten sposób wypełniamy wymogi RODO. Naturalnym następstwem wydania upoważnień jest wypełnienie zestawienia wydanych upoważnień.

Ad. 5. Rejestr INCYDENTÓW – naruszeń ochrony danych osobowych.

Obowiązek zgłaszania naruszeń związanych z naruszeniem danych osobowych jest nałożony przez art. 174a Prawa telekomunikacyjnego na dostawców publicznie dostępnych usług telekomunikacyjnych. Zgodnie z art. 33 RODO taki obowiązek będzie spoczywał na każdym podmiocie przetwarzającym dane osobowe. Generalną zasadą wynikającą z przytoczonego artykuł jest obowiązek zgłaszania naruszeń ochrony danych osobowych do Urzędu Ochrony Danych Osobowych (będzie działał od 25.05.2018). Należy wziąć pod uwagę że za naruszenie danych osobowych może zostać uznane powierzenie dostępu do danych osobom niemającym upoważnienia stąd też bardzo ważna rola upoważnienia, o którym jest mowa w punkcie 3. Zgłoszenia trzeba dokonać w ciągu 72 godz od ich wykrycia. Zgłoszeniu nie podlegają naruszenia o niewielkiej szkodliwości, jeżeli zostaną usunięte i zostaną wprowadzone działania, które zapobiegną podobnym przypadkom w przyszłości.