RODO – nie takie straszne jak je malują

DZIEŃ „ZERO”

Dzień 25 maja br. był pierwszym dniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. UE L 119 z 04.05.2016 r., str. 1). Powszechnie ten akt prawny znany jest jako RODO. Ze skrótem tym można spotkać się w prasie, telewizji, a także czytając pocztę elektroniczną, która w ostatnich tygodniach zalewana była informacjami wysyłanymi przez serwisy internetowe informującymi swych klientów o zgodności przetwarzania ich danych osobowych zgodnie z RODO.
W obliczu tych informacji pojawia się pytanie: skąd to całe zamieszanie, skoro ochrona danych osobowych nie jest czymś nowym? Od 1997 r. mieliśmy przecież w Polsce dedykowane temu przepisy. Właśnie w tym należy upatrywać odpowiedzi. Dla tych podmiotów, które przestrzegały zasad ochrony danych osobowych - RODO jest ewolucją. Wprawdzie wprowadza nowe zasady przetwarzania danych osobowych, ale nie zmienia istoty dotychczas funkcjonującego systemu ochrony danych osobowych. RODO jest natomiast rewolucją wymagającą podjęcia szeregu działań organizacyjnych i prawnych dla podmiotów nierealizujących obowiązków wynikających z obowiązującej do dnia 24 maja br. ustawy o ochronie danych osobowych.

„ZACHĘTA”

Niewątpliwie „zachętą” do wdrożenia RODO w organizacji są administracyjne kary pieniężne, jakie mogą być nakładane przez nowy organ – Prezesa Urzędu Ochrony Danych Osobowych – na podmioty przetwarzające dane osobowe z naruszeniem obowiązujących w tym zakresie przepisów. Podmioty te muszą pamiętać także o możliwości wystąpienia przeciwko nim z roszczeniem cywilnym przez osoby, których dotyczą dane osobowe, gdzie limit odpowiedzialności wyznacza wysokość szkody majątkowej wyrządzonej lub wielkość krzywdy doznanej przez te osoby w związku z nieprzestrzeganiem RODO. Pracownicy i współpracownicy podmiotów przetwarzających dane osobowe, którzy uczestniczą w czynnościach przetwarzania - także muszą pamiętać o przestrzeganiu zasad ochrony danych osobowych, np. klientów swojego pracodawcy czy kontrahenta. Naruszenie tych zasad może bowiem skutkować odpowiedzialnością pracowniczą (kara upomnienia, nagany, wypowiedzenie stosunku pracy, zwolnienie dyscyplinarne, odpowiedzialność materialna do wysokości trzykrotności wynagrodzenia przysługującego pracownikowi w dniu wyrządzenia szkody), a w przypadku osób świadczących pracę na podstawie umów cywilnych – odpowiedzialnością kontraktową obejmującą m.in. kary umowne. Niezależnie od powyższego, każda osoba, która popełnia przestępstwo bezprawnego przetwarzania danych osobowych lub przestępstwo utrudniania prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych – podlega odpowiedzialności karnej, włączając w to karę pozbawienia wolności.

Co zatem zrobić, aby być „RODOzgodnym”?

W pierwszej kolejności należy zinwentaryzować wszystkie procesy przetwarzania danych osobowych w organizacji. W trakcie wdrażania RODO administratorzy danych niejednokrotnie odkrywają niezidentyfikowane wcześniej zbiory danych, nieznane im procesy przetwarzania, dowiadują się o zakurzonych segregatorach w piwnicach, zapomnianych bazach danych w systemach teleinformatycznych czy robionych na wszelki wypadek lub w celach roboczych plikach w komputerach służbowych pracowników, lub na wszelkiego rodzaju innych nośnikach danych. Inwentaryzacja danych pozwala na ustalenie zasadniczej kwestii, jaką jest istnienie podstawy prawnej przetwarzania danych osobowych. Administrator danych musi bowiem ustalić czy może przetwarzać dane osobowe, a także czy nie przetwarza danych osobowych w większym zakresie niż jest mu to potrzebne do celu, w jakim gromadzi i wykorzystuje te dane. RODO wskazuje na te podstawy prawne w art. 6 (dotyczącym danych zwykłych) oraz w art. 9 (odnoszącym się do szczególnych kategorii danych, np. danych o stanie zdrowia). Udziela także wytycznych – jakie działania podjąć w celu należytego zabezpieczenia przetwarzanych danych osobowych. Nie daje jednak konkretnych rozwiązań. Przeciwnie – ciężar doboru tych rozwiązań przenosi na podmioty przetwarzające dane osobowe. Nakazuje im przeprowadzenie oceny ryzyka naruszenia praw i wolności podmiotów danych, a następnie dobór odpowiednich do tego ryzyka środków organizacyjnych i technicznych. W praktyce nie musi to oznaczać przeprowadzenia rewolucyjnych zmian w organizacji. Niejednokrotnie wystarczyć może podjęcie takich działań, jak zmiana miejsca przechowywania dokumentacji zawierającej dane osobowe (np. przeniesienie jej do szafek zamykanych na kluczyk zamiast przechowywania w otwartych szafkach w pomieszczeniu, gdzie przyjmowani są klienci).
Wdrożenie RODO może także wiązać się ze zmianami organizacyjnymi i formalnymi, które skutkować będą zmianą procedur, regulaminów, zasad obsługi klientów itp. Ocena, jakie działania powinny zostać podjęte w konkretnym przypadku, zależy właśnie od inwentaryzacji procesów przetwarzania danych osobowych oraz analizy ryzyka naruszenia praw i wolności osób, których te dane dotyczą.
Bezpieczeństwo danych osobowych jest tak ważnym elementem procesów ich przetwarzania, że RODO wprowadziło obowiązek informowania Prezesa UODO (Urzędu Ochrony Danych Osobowych) o naruszeniach ochrony danych osobowych w terminie 72 godzin po stwierdzeniu naruszenia, a w określonych przypadkach – informowania także osób, których danych osobowych dotyczy naruszenie.
Kolejny etap wdrożenia RODO dotyczy kwestii formalnych, tj. weryfikacji umów zawartych z podmiotami współpracującymi z podmiotem przetwarzającym dane osobowe, uczestniczącymi w procesie przetwarzania oraz opracowania dokumentacji ochrony danych osobowych. RODO nie wskazuje zamkniętego katalogu tej dokumentacji, jednak analiza przepisów rozporządzenia oraz praktyka wdrażania tych przepisów pozwalają na określenie minimalnego zakresu wymaganych dokumentów. Zaleca się opracowanie w szczególności rejestru czynności przetwarzania (RODO precyzuje przypadki, kiedy prowadzenie rejestru jest obligatoryjne), procedur realizacji praw podmiotów danych, zgłaszania naruszeń ochrony danych, wyboru podmiotu przetwarzającego, niszczenia lub usuwania danych osobowych, zarządzania ryzykiem, upoważniania pracowników i innych osób do przetwarzania danych osobowych.

RODO w OSK

Specyfika działalności prowadzonej przez ośrodki szkolenia kierowców pozwala na stwierdzenie, że przetwarzanie danych osobowych kursantów jest jedną z najważniejszych cech tej działalności. Tym samym opisane powyżej działania związane z wdrażaniem RODO nie mogły ominąć ośrodków szkolenia kierowców.
Ośrodki te są administratorami danych osobowych kursantów. Przetwarzają je na mniejszą lub większą skalę, w zależności od wielkości ośrodka, jednak w każdym przypadku zobowiązane są do przetwarzania ich w ściśle określonych celach wynikających z podstawy prawnej przetwarzania (podstawą tą są odpowiednie przepisy ustawy o kierujących pojazdami4, ale może też być zgoda, jeśli ośrodek zamierza przetwarzać dane w innych celach niż przeprowadzenie szkolenia) oraz do odpowiedniej ochrony tych danych (w wypełnieniu tych obowiązków pomoże inwentaryzacja procesów przetwarzania danych osobowych oraz analiza ryzyka).
Ośrodki szkolenia kierowców zobowiązane są do spełnienia obowiązku informacyjnego wobec kursantów, a więc wyjaśnienia im zasad przetwarzania danych osobowych, w tym wskazania celów, dla których dane osobowe są zbierane, okresu, w jakim będą przechowywane czy podmiotów, którym dane będą udostępniane. W klauzuli informacyjnej należy też przedstawić kursantom ich prawa, które szczegółowo regulują art. 15 – 22 RODO oraz poinformować o prawie wniesienia skargi do Prezesa UODO na niezgodne z prawem przetwarzanie danych osobowych przez ośrodek szkolenia kierowców). Niezależnie od powyższego kursantom przysługuje prawo otrzymania tych informacji na każde (z nielicznymi wyjątkami) ich żądanie.
Niejednokrotnie ośrodki szkolenia kierowców współpracują z instruktorami na podstawie umów cywilnych, przetwarzają dane osobowe kursantów w systemach teleinformatycznych na serwerach firm zewnętrznych, korzystają z usług podmiotów świadczących usługi księgowe lub kadrowe. W tych wszystkich przypadkach konieczna jest w pierwszej kolejności identyfikacja statusu takiego podmiotu (czy np. jest podmiotem przetwarzającym), a następnie uregulowanie w umowie pomiędzy tym podmiotem a ośrodkiem kwestii ochrony danych osobowych.
Wiele z przedstawionych powyżej działań stanowiących etapy wdrożenia w organizacji zasad ochrony danych osobowych wynikających z RODO powinno być przeprowadzonych pod rządami ustawy o ochronie danych osobowych z 1997 r. Jeśli jednak tak się nie stało – należy pamiętać, że RODO wyposażyło zarówno Prezesa UODO, jak i podmioty danych w narzędzia służące do egzekwowania przestrzegania jego przepisów. Ochrona danych osobowych w takich podmiotach jak ośrodki szkolenia kierowców musi być zatem uwzględniona w procesach biznesowych jako jeden z ich najważniejszych czynników.