Ewolucja ochrony danych osobowych w samorządach – RODO to nie wszystko

AKTUALNOŚCI / TEMAT NUMERU - SAS 4 / 2017

Od 25 maja 2018 r. zacznie być stosowane nowe europejskie rozporządzenie w sprawie ochrony danych osobowych (RODO). Nie ma chyba osoby, która nie słyszałaby o nadchodzących zmianach.

Przetwarzanie danych osobowych (od gromadzenia aż po usunięcie danych) przejdzie na całkowicie inny, znacznie wyższy poziom ryzyka, a jego zgodność z przepisami dotyczącymi ochrony danych osobowych stanie się jeszcze bardziej istotna dla administratorów i procesorów. Zmianami w tym zakresie zainteresowani powinni być nie tylko przedsiębiorcy reprezentujący każdy sektor działalności gospodarczej, ale również administracja publiczna i jednostki samorządu terytorialnego („Administracja”).
Rozporządzenie przewiduje m.in. możliwość nakładania sankcji finansowych przez organ nadzoru (Prezesa Urzędu Ochrony Danych Osobowych („PUODO”), na kwotę maksymalnie do 20 mln euro (lub 4 % światowego obrotu), oraz ich zdecydowane egzekwowanie. Sankcje zdecydowanie stały się jednym z głównych impulsów do zainteresowania się tematem ochrony danych osobowych przez podmioty, które dotychczas traktowały tą dziedzinę z mniejszą uwagą (świadomie lub nie).
Wielu administratorów danych założyło, że RODO jest jedynym nowym dokumentem regulującym przetwarzanie danych osobowych. Często przeoczają oni fakt, że rozporządzenie jest tylko ułamkiem przepisów dotyczących przetwarzania danych osobowych, które ulegną zmianie po 25 maja 2018 r.

NOWA USTAWA O OCHRONIE DANYCH OSOBOWYCH

Pomimo tego, że RODO reguluje znaczącą większość kwestii dotyczących przetwarzania danych osobowych, w Polsce prowadzone są prace nad nową ustawą o ochronie danych osobowych, która ma na celu doprecyzowanie niektórych zapisów RODO. W marcu 2017 roku Ministerstwo Cyfryzacji, które pełni rolę „gospodarza” implementacji RODO w Polsce, opublikowało pierwszy projekt nowej ustawy o ochronie danych osobowych („projekt”). Projektowana ustawa zastąpi dotychczas obowiązująca ustawę o ochronie danych osobowych.

Przedstawiony projekt odnosi się na razie tylko do niektórych regulacji RODO. Na dzień przygotowania tego artykułu Projekt zawiera propozycje przepisów dotyczących m.in.:

  • akredytacji i certyfikacji postępowania w sprawie naruszenia przepisów o ochronie danych,
  • europejskiej współpracy administracyjnej,
  • postępowania kontrolnego,
  • administracyjnych kar pieniężnych i odpowiedzialności cywilnej,
  • inspektorów ochrony danych,
  • granicy wieku dziecka, od kiedy nie będzie wymagana zgoda rodzica bądź opiekuna prawnego.

Jak widać po zakresie przedmiotowym projektowanej ustawy, jej treść będzie miała szczególne znaczenie i wpływ na przetwarzanie danych osobowych przez Administrację.

ZAKRES PRZEDMIOTOWY NOWEJ USTAWY I JEJ ZNACZENIE DLA ADMINISTRACJI

W pierwszej kolejności należy zaznaczyć, że Projekt przewiduje ograniczenie wysokości kary pieniężnej ewentualnie nakładanej za Administrację za naruszenie przepisów dot. ochrony danych osobowych – do 100.000 złotych. Projekt wprowadza zatem znaczącą różnicę pomiędzy wysokością sankcji za niezgodne z przepisami przetwarzanie danych osobowych w sektorze prywatnym (max 20 mln euro lub 4% światowego obrotu), a w sektorze publicznym. Przy czym błędne byłoby myślenie o RODO jedynie w kontekście kar finansowych. W dalszym ciągu bowiem mają funkcjonować przepisy karne oraz reguły dotyczące odpowiedzialności cywilnej np. publicznego szpitala za naruszenie zasad przetwarzania danych osobowych pacjenta.
Projekt ma szczególne znaczenie dla Administracji w zakresie regulacji obowiązku zgłaszania naruszeń bezpieczeństwa przetwarzania danych osobowych oraz odpowiedzialności cywilnej administratora danych w przypadku naruszenia praw podmiotu danych. Projektowane regulacje wstępnie doprecyzowują obowiązki i procedurę postępowania w razie naruszenia przepisów ochrony danych osobowych m.in. poprzez wprowadzenie przepisów w zakresie postępowania dowodowego czy określenia procedury postępowania przed PUODO w zakresie naruszenia. W odniesieniu do odpowiedzialności cywilnej, Projekt określa wzajemne obowiązki Sądu Okręgowego oraz PUODO w przypadku rozpoczęcia sporu cywilnego przez podmiot danych, w związku z naruszeniem przez administratora danych przysługujących mu praw.
Ponadto Projekt zawiera regulacje dotyczące Inspektora Ochrony Danych („IOD”), a w szczególności zawiadamiania PUODO o powołaniu IOD czy postępowaniu w odniesieniu do osób, które przed dniem 25 maja 2018 r. pełniły już funkcję Administratora Bezpieczeństwa Informacji. Z uwagi na przewidziany w RODO obowiązek powołania IOD przed podmioty publiczne, zapisy te należy uznać za szczególnie istotne dla przetwarzania danych osobowych przez Administrację.
Projekt nie zawiera w sobie jeszcze wszystkich rozwiązań, które będą regulowane nową ustawą. W ostatecznym projekcie powinny zostać zaimplementowane i uregulowane w szczególności jeszcze takie kwestie jak rejestry przetwarzania danych, pozostałe kwestie związane ze zgłaszaniem incydentów naruszenia ochrony danych osobowych czy ewentualna odpowiedzialność karna za niezgodne z przepisami przetwarzanie danych osobowych.

„MIĘKKIE” AKTY PRAWA KOMPLEMENTARNE DO RODO

W zakresie wydawania tzw. „miękkich” aktów prawa projekt przewiduje kompetencje PUODO do wydawania niewiążących dobrych praktyk w zakresie możliwych do zastosowania zabezpieczeń przetwarzania danych, w tym w odniesieniu do przetwarzania danych przez Administrację. Ich wydawanie ma wpłynąć na zwiększenie poczucia pewności prawnej, i tym samym zwiększyć stopień przestrzegania przez administratorów przepisów RODO. Należy podkreślić, że wspomniane dobre praktyki nie będą miały charakteru regulacyjnego, a jedynie informacyjny i w żaden sposób nie będą wiążące dla PUODO.
Kolejnym z instrumentów pomocnych w byciu zgodnym z przepisami RODO (i rozwiązaniami krajowymi) są kodeksy postępowania. Jest to jedna z dwóch instytucji wprowadzonych do RODO w tym celu (drugą są certyfikaty). Kodeks postępowania umożliwia administratorowi danych spełnienie jednej z najważniejszych zasad przewidzianych w RODO, czyli rozliczności. Ponadto fakt stosowania zatwierdzonego kodeksu postępowania jest, zgodnie z art. 83 RODO, brany pod uwagę przy wymierzaniu administracyjnej kary pieniężnej. W związku z powyższym zachęcamy zarówno administrację publiczną, jak i jednostki samorządu terytorialnego, do połączenia sił i przygotowania dedykowanego kodeksu postępowania w zakresie ochrony danych osobowych.

ADMINISTRACJA PUBLICZNA W PRZEDDZIEŃ WEJŚCIA W ŻYCIE RODO

Każdy administrator danych, niezależnie od sektora działalności, powinien kompleksowo przygotować się na zmiany w zakresie ochrony danych osobowych wynikające z RODO. Należy podkreślić, że proces wdrożenia RODO, w zależności od rozmiaru organizacji, zajmuje od 3 do 12 miesięcy, więc czasu na działania pozostało niewiele. W niektórych organizacjach już teraz wiadomo, że przed majem 2018 r. ten projekt się nie zakończy.
W ramach trwającej ewolucji ochrony danych osobowych implementowanie jedynie rozwiązań RODO może okazać się niewystarczające. Ilość i istotność zmian w zakresie ochrony danych wymaga od administratorów danych szerszego spojrzenia na kwestie ochrony danych osobowych, oraz odpowiedniego dostosowania procesów przetwarzania do zmian po 25 maja 2018 r.
Administracja powinna podejść do projektu wdrożenia RODO i związanych z nim ustaw, rozporządzeń oraz innych „miękkich aktów prawa” z dużą odpowiedzialnością i dokładnością. Pomimo niższego pułapu kar administracyjnych, należy pamiętać, że w sytuacji naruszenia przepisów ochrony danych Administracja może stracić coś ważniejszego niż pieniądze, a mianowicie zaufanie obywateli.
Dlatego zachęcamy przedstawicieli Administracji do absolutnie poważnego i kompleksowego podejścia do tematu zmian w procesach przetwarzania danych osobowych oraz aktywnego uczestniczenia w pracach konsultacyjnych w zakresie wdrożenia RODO i implementowania innych aktów prawnych. W dziedzinie danych osobowych RODO nie jest rewolucją tylko ewolucją, której odpowiednia implementacja, już na początku obowiązywania nowych przepisów, uchroni Administrację od negatywnych skutków niezgodnego z przepisami przetwarzania danych osobowych.

Michał Kluska
associate w Zespole IP/TMT kancelarii Domański Zakrzewski Palinka

Agnieszka Kaczmarek
associate w Praktyce Prawa Spółek, Fuzji i Przejęć kancelarii
Domański Zakrzewski Palinka

SPIS TREŚCI

Wydawca: SKIBNIEWSKI MEDIA, Warszawa