Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 nakłada na administra-torów szereg obowiązków. Jednym z nich jest zastosowanie środków bezpieczeństwa odpowiednich do ryzyka związanego z przetwarzaniem danych osobowych. Artykuł 32 stanowi, że administrator danych, uwzględniając stan wiedzy technicznej, koszt wdraża-nia oraz charakter, zakres, kontekst i cele przetwarzawdraża-nia, a także ryzyko naruszewdraża-nia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagroże-nia, wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpie-czeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: 109
· pseudonimizacji i szyfrowania danych osobowych;
· zdolności do ciągłego zapewnienia poufności, integralności, dostępności systemów i usług przetwarzania;
· zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
· regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Administrator danych, oceniając czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, zwłaszcza wyni-kające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych [Rozporządze-nie… z 27 kwietnia 2016, art. 32 ust. 2].
W rozporządzeniu wielokrotnie podkreślono podejście do przetwarzania danych oparte na ryzyku. Każda jednostka w zależności od realizowanych zadań musi zdefi-niować i określić typy ryzyka, związane z realizacją jej zadań, które wiążą się z prze-twarzaniem danych. Ważne jest także, aby wskazać źródło i przyczynę zagrożeń. Przy-kładowo — inne zagrożenia będą w małym przedsiębiorstwie, w którym prowadzone są tylko dwa zbiory danych osobowych i występują dwa systemy informatyczne prze-twarzające dane, a inne w przedsiębiorstwie, w którym występuje kilkadziesiąt zbiorów danych osobowych oraz systemów informatycznych przetwarzających dane osobowe. Dlatego bardzo ważne jest aby administratorzy danych przeprowadzali analizy zagro-żeń i ryzyka, a następnie zastosowali odpowiednie zabezpieczenia techniczne i organi-zacyjne, o których mowa w rozporządzeniu.
Administrator powinien dokładnie przeanalizować wybór podmiotu, który będzie w jego imieniu dokonywał przetwarzania danych osobowych, bowiem rozporządze-nie stanowi, że administrator powirozporządze-nien korzystać wyłączrozporządze-nie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków tech-nicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporzą-dzenia i chroniło prawa osób, których dane dotyczą. Tak sformułowany zapis powoduje, że administratorzy danych, korzystając z usług podmiotu zewnętrznego, które wiążą się z przetwarzaniem danych osobowych, muszą wykazać się dużą starannością pod-czas wyboru takiego podmiotu. Rozporządzenie jednak nie wskazuje, jakie działania i środki powinien podjąć administrator danych, dokonując takiego wyboru. Ważne jest, aby w umowie z podmiotem zewnętrznym zawarte były wszystkie niezbędne ele-menty dotyczące warunków przetwarzania danych osobowych. Treść umowy powie-rzenia powinna być dostosowana do konkretnego przypadku przetwarzania danych,
uwzględniając elementy gwarantujące prawidłowe zabezpieczenie i przetwarzanie danych [Sobczak, Wociór 2016, s. 63]. Rozporządzenie przewiduje także możliwość podpowierzenia danych osobowych pod pewnymi warunkami określonymi w rozpo-rządzeniu. Należy przypomnieć, że termin podpowierzenie nie został uregulowany w polskim systemie prawnym. Artykuł 31 ustawy o ochronie danych osobowych sta-nowi o powierzeniu danych osobowych, nie reguluje jednak kwestii podpowierzenia danych osobowych. Natomiast przepisy rozporządzenia nie zabraniają takich działań. Zgodnie z art. 28 rozporządzenia podmiot przetwarzający nie powinien korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogól-nej pisemogól-nej zgody administratora. W przypadku ogólogól-nej pisemogól-nej zgody podmiot przetwarzający zobowiązany jest poinformować administratora o wszelkich zamie-rzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwa-rzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. Ponadto Grupa Robocza Art. 29 wskazała, że jako wykonawców i pod-wykonawców przetwarzania danych można wyznaczyć wiele podmiotów, wskazując jednak podział ich zadań [WP169, s. 29; WP196, s. 12]. W praktyce najczęściej mówi się o „podpowierzeniu danych”. Przykładowo usługi świadczenia pomocy technicznej czy teleinformatycznej często wymagają zastosowania formuły podpowierzenia, bowiem dostawcy usługi korzystają z usług innych podmiotów. Administrator powierza dane celem prowadzenia obsługi kadrowej przez wykonawcę, wykonawca zaś, aby obniżyć koszty, podpowierza dane innemu podmiotowi [Sobczak, Wociór 2016, s. 67].
Administrator danych dokonując wyboru podmiotu, który będzie wykonywał prze-twarzanie danych w jego imieniu, powinien w szczególności zadbać, aby w umowie były zawarte zapisy dotyczące zobowiązania wykonawcy i podwykonawcy do przestrzega-nia instruktarzy w zakresie ochrony danych osobowych zgodnych z rozporządzeniem. Rozporządzenie nakłada na administratora danych także istotne obowiązki zwią-zane z wyznaczeniem oraz współpracą z inspektorem ochrony danych osobowych. Artykuł 37 ust. 1 rozporządzenia stanowi, że administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
a) „przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wyma-gają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę;
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych4, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10”.
„Główna działalność administratora lub podmiotu przetwarzającego”, o którym mowa w ww. artykule, została częściowo wyjaśniona w motywie 97 rozporządzenia. Według powołanego motywu przetwarzanie danych osobowych jest główną działal-nością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Tak więc „główną działalnością” będzie działalność kluczowa z punktu widzenia osiągania celów administratora albo podmiotu przetwarzającego dane. W świetle motywu 97 preambuły rozporządzenia za „główną działalność” można uznać taką, która została wskazana w statucie administratora danych, a przetwarzanie danych osobowych jest niezbędne do jej realizacji [Sobczak 2017, s. 15].
Według Grupy Roboczej Art. 29 [ARTICLE 29 DATA PROTECTION WORKING PARTY 16/EN WP 243 2016, ss. 6–7] „głównej działalności” nie należy interpretować w sposób wyłączający działalność w zakresie przetwarzania danych nierozerwalnie związaną z działalnością główną. Grupa podaje przykład szpitala, którego główną działalnością jest zapewnianie opieki medycznej. Natomiast prowadzenie efektywnej opieki medycz-nej nie byłoby możliwe bez przetwarzania danych medycznych, jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna. Oznacza to, że szpitale będą miały obowiązek powołania inspektora ochrony danych osobowych.
Kolejnym terminem wskazanym w art. 37 wymagającym doprecyzowania jest „duża skala przetwarzania”, bowiem rozporządzenie uzależnia obowiązek powołania inspek-tora ochrony danych osobowych od przetwarzania danych na „dużą skalę”.
Według Grupy Roboczej Art. 29 nie jest możliwe wskazanie konkretnej wartości: rozmiaru zbioru danych czy liczby osób, których dane dotyczą, która determinowałaby „dużą skalę”. Nie wyklucza to sytuacji, w której wraz z rozwojem praktyki ukształtują się standardy umożliwiające kwantytatywne określenie „dużej skali” w odniesieniu do określonych rodzajów przetwarzania. Grupa Robocza zamierza wspierać ten pro-ces poprzez rozpowszechnianie przykładów odpowiednich progów dla wyznaczenia inspektora ochrony danych osobowych.
4 Zgodnie z art. 9 rozporządzenia są to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglą-dy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.
Grupa Robocza Art. 29 zaleca uwzględnianie następujących czynników przy okre-ślaniu, czy przetwarzanie następuje na „dużą skalę”:
· liczba osób, których dane dotyczą — konkretna liczba albo procent określonej grupy społeczeństwa;
· zakres przetwarzanych danych osobowych; · okres, przez jaki dane są przetwarzane;
· zakres geograficzny przetwarzania danych osobowych. Do przykładów „przetwarzania na dużą skalę” można zaliczyć:
· przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności; · przetwarzanie danych osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem „kart miejskich”);
· przetwarzanie danych geolokalizacyjnych w czasie rzeczywistym przez wyspecjali-zowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych;
· przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowa-dzonej działalności;
· przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki; · przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.
Przykłady przetwarzania niemieszczącego się w definicji „dużej skali”:
· przetwarzanie danych pacjentów (klientów), dokonywane przez pojedynczego lekarza;
· przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego.
Warto nadmienić, że w trakcie prac legislacyjnych w Parlamencie Europejskim nad ogólnym rozporządzeniem o ochronie danych osobowych zaproponowano, aby jedną z przesłanek wyznaczenia inspektora ochrony danych było przetwarzanie danych, które dotyczą co najmniej 5000 osób średniorocznie. W ostatecznej wersji zrezygno-wano z tego zapisu, zastępując go pojęciem „duża skala” [Heimes, Pfeifle 2017]. Mając na uwadze wyżej zaproponowany termin, można przypuszczać, że wprowadzenie skali ilościowej przetwarzania danych w polskim systemie prawnym byłoby niemiarodajnym wyznacznikiem. Skupienie na miarach ilościowych będzie miało różne odzwierciedle-nia w jednostkach organizacyjnych, tj.:
· przetwarzanie danych osobowych w jednym procesie (np. zakłady opieki zdrowotnej), · przetwarzanie danych w wielu procesach (np. banki) [Sobczak 2017, s. 16].
Innymi obowiązkami administratora danych, wynikającymi z rozporządzenia, są: · obowiązek publikowania danych kontaktowych inspektora ochrony danych osobo-wych i zawiadomienie o nich organu nadzorczego,
· zapewnienie, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
· wspieranie inspektora ochrony danych w wypełnianiu przez niego zadań, zapew-nianie mu zasobów niezbędnych do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasobów niezbędnych do utrzymania jego wiedzy w tym obszarze,
· zapewnienie podległości inspektora ochrony danych bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
Zakończenie
W artykule przedstawiono wybrane zagadnienia, które wprowadza rozporządzenie Par-lamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobod-nego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Wiele z zapisów budzi wątpliwości, w zakresie możliwości realnego ich zastosowania. Duże znaczenie będzie miała tu interpretacja przepisów przez krajowe organy nadzorcze.
Rozporządzenie wprowadza wiele nowych obowiązków dla administratorów danych, którzy chcąc sprostać wymaganiom prawnym, będą musieli odpowiednio wcześniej podjąć działania przygotowawcze do wdrożenia zapisów w swoich jed-nostkach organizacyjnych. Wiele podmiotów nie przestrzegało zasad ochrony danych osobowych lub traktowało te zagadnienia bardzo marginalnie. Kierownicy tych jedno-stek będą musieli przewartościować swoje podejście, bowiem rozporządzenie oprócz sankcji administracyjnych, nakładanych przez organy nadzorcze w ramach ich kompe-tencji, wprowadza także możliwość nakładania administracyjnych kar pieniężnych. Pol-ska ustawa nie zawiera tego rodzaju sankcji, dlatego wiele podmiotów nie traktowało ochrony danych osobowych jako priorytetu. Z pewnością administratorzy powinni roz-począć działania, które zweryfikują stan ochrony danych osobowych w ich jednostkach, a następnie rozpocząć proces dostosowywania zabezpieczeń organizacyjnych i tech-nicznych do wymogów rozporządzenia.
Bibliografia
ARTICLE 29 DATA PROTECTION WORKING PARTY 16/EN WP 243, Guidelines on Data Protec-tion Officers (‘DPOs’) Adopted on 13 December 2016 [online], http://ec.europa.eu/justice/ data-protection/index_en.htm, dostęp: 3 lutego 2017.
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w spra-wie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
Heimes R., Pfeifle S. (2017), Study: At least 28,000 DPOs needed to meet GDPR requirements [online], https://iapp.org/news/a/study-at-least-28000-dpos-needed-to-meet-gdpr-require-ments/, dostęp: 2 lutego 2017.
Krzysztofek M. (2014), Ochrona danych osobowych Unii Europejskiej, Wolters Kluwer, Warszawa. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, Dz.U. UE L 119 z 4 maja 2016 r.
Sobczak J. (2016), Jeden ABI dla całej grupy kapitałowej co na to RODO?, „Ochrona Danych Oso-bowych”, nr 25.
Sobczak J. (2017), Kto będzie musiał stosować zasady ogólnego rozporządzenia, „Ochrona danych osobowych”, nr 29.
Sobczak J., Wociór D. (2016), Powierzenie przetwarzania danych osobowych [w:] D. Wociór (red.), Ochrona danych osobowych i informacji niejawnych z uwzględnieniem ogólnego roz-porządzenia unijnego, C.H. Beck, Warszawa.
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych, Dz.U. z 2016, poz. 922. Ustawa z 29 września 1994 r. o rachunkowości, Dz.U. z 2002 r. nr 76, poz. 694 ze zm.
Witkowska K. (2016), Nowość w rozporządzeniu UE – współadministratorzy danych, „Ochrona danych osobowych. Praktyczne porady, instrukcje krok po kroku, wzory”, nr 23.
WP169, Opinia 1/2010 Grupy Roboczej Art. 29 w sprawie pojęć „administrator danych” i „przetwarzający”.
WP196, Opinia 5/2012 Grupy Roboczej Art. 29 w sprawie przetwarzania danych w chmurze obliczeniowej.
Tom XVIII | Zeszyt 5 | Część II | ss. 117–126