RODO w praktyce

Szkolenie RODO

Zapraszamy wszystkich chętnych do wzięcia udziału w szkoleniu na temat wdrożenia w organizacji ogólnego rozporządzenie o ochronie danych.

Miejsce szkolenia: Centrum Konferencyjne Warszawianka ul. Merliniego 2A Warszawa

Data: 20.06.2017; godz. 10:00-16:00

Koszt: 600 zł netto. Cena obejmuje: uczestnictwo w szkoleniu, materiały szkoleniowe, poczęstunek w przerwach (kawa, herbata, ciastka), obiad oraz  zaświadczenie o ukończeniu szkolenia.

Zgłoszenia można wysyłać na adres kontakt@auraco.pl

Adresaci:

  • kadra kierownicza, która jest odpowiedzialna za kreowanie polityki dotyczącej ochrony danych osobowych,
  • pracownicy odpowiedzialni za realizacją zadań związanych z przetwarzaniem danych osobowych (np. pracownicy działu kard, marketingu, sprzedaży, itd.),
  • administratorzy bezpieczeństwa informacji,
  • przyszli inspektorzy ochrony danych osobowych,
  • osoby zarządzające systemem ochrony danych osobowych

Cel:

Na szkoleniu zostaną zaprezentowane zmiany, jakie ma wprowadzić rozporządzenie UE tzw. ogólne rozporządzenie o ochronie danych w stosunku do obecnie obowiązującego prawa w tym zakresie w Polsce oraz ujednolicające ochronę danych osobowych w państwach członkowskich UE. Szkolenie ma za zadanie przedstawić praktyczne aspekty związane z realizacją obowiązków jakie będą ciążyły na administratorach danych (np.: konieczność zgłaszania incydentów do organu nadzorczego oraz informowanie osób poszkodowanych przed dane zdarzenie) jak i uprawnień oraz praw osób, których dane będą przetwarzane (np.: tzw. prawo do bycia zapomnianym). Poruszone zostaną zagadnienia zawiązane z ewentualnymi karami pieniężnymi nakładanymi na administratorów danych i formy egzekwowania nałożonych kar pieniężnych.

Wymagania wstępne dla uczestników:

Ze względu na temat warsztatu – szkolenie skierowane jest do osób/organizacji, które chcą się przygotować na nadchodzące zmiany. Szkolenie adresujemy nie tylko do osób posiadających podstawową wiedzę na temat danych osobowych, ale i tych bardziej zaawansowanych uczestników, w tym do osób pełniących funkcję Administratorów Bezpieczeństwa Informacji lub przymierzających się do jej pełnienia.

Korzyści:

Osoby uczestniczące w szkoleniu będą miały okazję do zapoznania się ze zmianami stanu prawnego i zakresu obowiązków, wynikających z rozporządzenia, które wejdzie w życie 25 maja 2018 r. Szkolenie dotyczy praktycznych elementów związanych ze stosowaniem nowych przepisów. Pozwoli to na skuteczne i sprawniejsze przygotowanie swojej organizacji do stosowania nowych wymogów prawnych.
Formuła spotkania czyli szkolenie powiązane z możliwością zadawania pytań  i dyskutowania na pewno pozwoli na sukcesywne przyswajanie wiedzy i wymianę doświadczeń z innymi uczestnikami szkolenia. Po zakończeniu warsztatów uczestnicy otrzymają komplet materiałów zawierających opracowania dydaktyczne tematu szkolenia jak i możliwość późniejszego uczestnictwa w indywidualnych konsultacjach.

Metodyka

Szkolenie jest oparte na prezentacji multimedialnej przedstawiającej zestawienie aktualnych i przyszłych regulacji prawnych w zakresie ochrony danych osobowych, uzupełnione o przykłady z praktyki, które będą stanowić podstawę dla prowadzącego, który będzie tematy szczegółowo omawiał, a także je rozwijał. Dodatkową częścią kursu będzie możliwość uczestnictwa w indywidualnych konsultacjach.

Plan szkolenia:

  1. Kto i kiedy stosuje RODO.
  2. Wdrożenie RODO – pierwsze kroki.
  3. Wyjaśnienie podstawowych pojęć z RODO:
    • Nowa definicja danych osobowych – szczególne kategorie danych;
    • Współadministratorzy;
    • Formy przetwarzania danych osobowych;
    • Inne definicje i ich znaczenie dla stosowania RODO w praktyce;
    • Braki definicyjne RODO.
  4. Przetwarzanie danych niewymagające identyfikacji.
  5. Zasady przetwarzania danych w RODO:
    • Zgodność z prawem, rzetelność i przejrzystość;
    • Celowość oraz dopuszczalność zmiany celu;
    • Adekwatność;
    • Czasowość.
  6. Zasada bezpieczeństwa:
    • pseudonimizacja i szyfrowanie danych osobowych;
    • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
    • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
    • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
  7. Administrator oraz współadministrator – obowiązki:
    • obowiązek prowadzenia audytów;
    • przeprowadzenie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych;
    • analiza ryzyka przetwarzania danych osobowych;
    • zasada privacy by design oraz privacy by default.
  8. Podmiot przetwarzający – obowiązki.
  9. Podstawy przetwarzania danych osobowych:
    • zgoda na przetwarzanie danych – przygotowanie przykładowej klauzuli zgody;
    • pozostałe podstawy przetwarzania danych – w ramach jakich procesów stanowią podstawę przetwarzania;
    • porównanie podstaw prawnych wynikających z ustawy o ochronie danych osobowych a tych wynikających z RODO;
    • nowe wymogi dot. umów powierzenia przetwarzania danych.
  10. Omówienie skutecznego sposobu informowania o korzystanie z praw wynikających z RODO:
    • prawo do sprostowania danych;
    • prawo do bycia zapomnianym;
    • prawo do ograniczonego przetwarzania;
    • prawo do przenoszenia danych;
    • prawo do sprzeciwu.
  11. Nowy kształt obowiązku informacyjnego według RODO:
    • zbieranie danych od osoby, której dane dotyczą;
    • zbieranie danych nie bezpośrednio od osoby, której dane dotyczą.
  12. Obowiązek zgłaszania incydentów:
    • zgłaszanie incydentów PUODO;
    • zgłaszanie incydentów osobie, której dane dotyczą.
  13. Nowa dokumentacja:
    • Rejestr czynności przetwarzania danych;
    • Polityki bezpieczeństwa;
    • Upoważnienia do przetwarzania danych.
  14. Zasady certyfikacji oraz kodeksy postępowania.
  15. Wymagania w zakresie przetwarzania danych w systemach IT:
    • omówienie zabezpieczeń informatycznych zapewniających bezpieczeństwo danych przetwarzanych przy użyciu systemu IT;
    • wdrożenia niezbędnych środków organizacyjnych zabezpieczających dane osobowe przetwarzane w systemach informatycznych;
    • określenie okresu przetwarzania danych w systemach IT;
    • nowe funkcjonalności jakie powinien zapewnić system IT.
  16. Inspektor ochrony danych:
    • kto ma obowiązek wyznaczenia IOD;
    • jakie wymagania powinien spełniać IOD;
    • obowiązki IOD.
  17. Zasady przekazywania danych do państw trzecich.
  18. PUODO (dawniej GIODO):
    • właściwość, zadania i uprawnienia;
    • zasady prowadzenia kontroli;
    • współpraca z innymi organami nadzorczymi.
  19. Europejska rada ochrony danych.
  20. Środki ochrony prawnej:
    • kto może wnieść skargę do PUODO;
    • dochodzenie praw przed sądem;
    • prawo do odszkodowania.
  21. Odpowiedzialność:
    • administratora danych;
    • współadministratora;
    • podmiotu przetwarzającego;
    • osoby upoważnionej.
  22. Sankcje:
    • kryteria nakładania kar pieniężnych;
    • odwoływanie się nałożonych kar pieniężnych.
  23. Przepisy określające tryb postępowania przed PUODO – projekt uzupełniającej RODO polskiej ustawy o ochronie danych osobowych.
  24. Pytania i konsultacje.

Współadministratorzy

Współadministratorzy – nowa definicja w rozporządzeniu unijnym. Jednym z nowych dla polskiego prawa pojęć, które wprowadza rozporządzenie unijne 2016/679 dotyczące ochrony danych osobowych, jest pojęcie współadministratora danych osobowych. Jak należy je jednak rozumieć? W jakich sytuacjach będziemy mieć do czynienia ze współadministratorami? Jaki będzie zakres odpowiedzialności każdego z nich? Mam nadzieję, że tym wpisem uda mi się rozwiać wszelkie wątpliwości związane z tym zagadnieniem.

Artykuł 26 rozporządzenia stanowi, że:

Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami.

Sam „administrator” jest natomiast rozumiany przez rozporządzenie jako:

osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Definicja administratora wskazuje nam więc już słowami „samodzielnie lub wspólnie z innymi” na możliwość zaistnienia tzw. kontroli pluralistycznej.

Grupa Robocza Artykułu 29 za najważniejszą i podstawową rolę pojęcia administratora danych osobowych uznała umożliwienie ustalenia odpowiedzialności za zgodność przetwarzania z zasadami ochrony danych i tego, w jaki sposób podmioty danych osobowych mogą wykonywać swoje prawa w praktyce. Dodatkowo w swojej opinii podkreśliła, że pojęcie to należy rozumieć w sposób:

  • autonomiczny i wspólnotowy – a więc interpretacja musi się odbywać według unijnych przepisów dotyczących danych osobowych i nie ulega zmianom ze względu na rozbieżności w ustawodawstwach krajowych;
  • funkcjonalny – co oznacza, że analizować należy okoliczności faktyczne, a nie formalne.

Jeżeli chodzi o element odróżniający administratora od innych podmiotów, a więc decydowanie o sposobach i celach przetwarzania danych osobowych, warto wiedzieć, że jest możliwe przekazanie przez administratora uprawnienia do określenia sposobów przetwarzania innemu podmiotowi, o ile chodzi o kwestie techniczne i organizacyjne. Natomiast już określenie celu przez dany podmiot powoduje samo w sobie uznanie go za faktycznego administratora[1]. Powyższe zasady rozumienia pojęcia administratora zastosujemy rzecz jasna analogicznie do terminu „współadministrator”.

Rozporządzenie nakłada na administratorów wspólnie ustalających cele i sposoby przetwarzania danych obowiązek dokonania przez nich wspólnych uzgodnień, które w sposób jasny i przejrzysty określać będą zakresy ich odpowiedzialności (szczególnie w odniesieniu do obowiązku informacyjnego administratorów oraz wykonywania przez podmiot danych – czyli osobę, której dane dotyczą – swoich praw). Uzgodnienia te mają odzwierciedlać nie tylko zakresy obowiązków współadministratorów, ale także relacje między nimi a podmiotami danych osobowych. Co więcej – zasadnicza treść tych uzgodnień musi być tym podmiotom udostępniona. Rozporządzenie dodatkowo wskazuje, że w uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą, co ma im ułatwić korzystanie ze swoich uprawnień. Niezależnie od wspomnianych uzgodnień osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z rozporządzenia wobec każdego z administratorów.

W tym miejscu pojawia się kluczowa kwestia – dotycząca odpowiedzialności współadministratorów za naruszenia przepisów o ochronie danych osobowych. Dyrektywa 95/46/WE, która regulowała sprawy związane z ochroną danych przed rozporządzeniem:

  • nie używała co prawda terminu „współadministrator”, jednak dopuszczała możliwość zaistnienia sytuacji, w której co najmniej dwóch administratorów wspólnie decyduje o celach i sposobach przetwarzania danych;
  • stanowiła, że administrator odpowiada tylko za szkodę, którą wyrządził – zwolniony był więc z odpowiedzialności za szkodę, za której powstanie nie ponosił winy – w związku z czym w pewnych okolicznościach osoba, której dane dotyczą, mogła nie uzyskać pełnego odszkodowania;
  • zwalniała administratora z odpowiedzialności za szkodę spowodowaną siłą wyższą.

Rozporządzenie reguluje tę kwestię inaczej:

  • Podmiot danych ma być teraz uprawniony do kierowania roszczeń przeciwko któremukolwiek ze współadministratorów – ten zaś, którego wybierze, odpowiada wobec niego za całą szkodę, jaką mu wyrządzono przez naruszenie przepisów o ochronie danych osobowych (chyba że prawo UE lub państwa członkowskiego rozdziela odpowiedzialność między współadministratorów w inny sposób).
  • Gdy wybrany przez poszkodowanego współadministrator zrekompensuje mu szkodę, może żądać zwrotu odpowiedniej części wypłaconej sumy od pozostałych administratorów – w częściach wynikających z zawartego przez nich porozumienia.
  • Zwolnienie z obowiązku pokrycia całego odszkodowania przez wskazanego administratora jest możliwe tylko wtedy, gdy nie jest on w żaden sposób odpowiedzialny za szkodę. Jeżeli odpowiada za nią chociażby w najmniejszym stopniu, to wyłączenie to już go nie obejmie.
  • Rozporządzenie nie przewiduje wprost zwolnienia z takiego obowiązku w przypadku siły wyższej, przez co współadministratorzy ponoszą teoretycznie większe ryzyko.

Udział współadministratorów w decydowaniu o celach i sposobach przetwarzania danych może przyjmować rozmaite formy. Poza tym warto pamiętać, że sam fakt współpracy różnych podmiotów w procesie przetwarzania nie czyni ich współadministratorami. Przykładowo:

  1. W przypadku, gdy biuro podróży przesyła dane osobowe swoich klientów, rezerwujących wyjazdy wakacyjne, do hotelu i linii lotniczych – biuro podróży, hotel i linie będą trzema administratorami danych, działającymi samodzielnie i odpowiedzialnymi za ochronę danych osobowych klientów we własnym zakresie.
  2. Jeżeli natomiast te trzy podmioty w ramach współpracy utworzą wspólną stronę internetową, uzgodnią między sobą ważne elementy sposobów przetwarzania danych użytkowników portalu, będą sprawować nad nim wspólną kontrolę i postanowią wymieniać się danymi swoich klientów w celach marketingowych, będą już współadministratorami w zakresie przetwarzania danych w procesie rezerwacji przy użyciu portalu, nawet jeżeli nie podzielają tych samych celów.

Inny przykład związany jest z kwestią odróżnienia udostępnienia danych od powierzenia ich przetwarzania:

  1. Kiedy przedsiębiorstwo headhunterskie A pomaga przedsiębiorstwu B w rekrutacji pracowników, zazwyczaj działa ono jako podmiot przetwarzający dane (procesor), bo to B decyduje o celach i sposobach przetwarzania, a więc jest administratorem danych.
  2. Jeżeli jednak przedsiębiorstwo A jest administratorem danych osobowych we własnej bazie danych, w której posiada inne CV niż te otrzymane od B i korzysta również z nich przy realizacji umowy z przedsiębiorstwem B – należy uznać przedsiębiorstwa za współadministratorów w zakresie przetwarzania związanego z procesem tej rekrutacji.

Warto także zauważyć, że rozporządzenie, wprowadzając konstrukcję współadministratorów, zdaje się wychodzić naprzeciw przede wszystkim przedsiębiorcom, którzy ze sobą współpracują – czy to w formie grup kapitałowych, czy też po prostu działającym wspólnie na postawie umowy dla osiągnięcia ustalonych wspólnie celów. Takie rozwiązanie powinno ułatwić im bowiem podział obowiązków w kwestii ochrony danych osobowych[2]. Czas jednak pokaże, jak opisana przeze mnie instytucja będzie tak naprawdę funkcjonować w praktyce, a także w jakim kierunku w interpretacji nowych unijnych przepisów pójdzie orzecznictwo i doktryna.

 

[1] Opinia Grupy Roboczej Artykułu 29 nr 1/2010  w sprawie pojęć „administrator danych” i „przetwarzający”

[2] Dariusz Wociór (red.), Ochrona danych osobowych i informacji niejawnych z uwzględnieniem ogólnego rozporządzenia unijnego

Umowa powierzenia – Na co zwrócić szczególną uwagę

4052848608_b86dc4b5d1_zPrzygotowanie skutecznego systemu ochrony danych osobowych jest związane z przygotowaniem wielu różnych elementów. Niestety w przekonaniu większości społeczeństwa ochrona danych osobowych jest utożsamiana z zebraniem zgody na przetwarzanie danych osobowych lub obowiązkiem rejestracji zbioru danych. Wielokrotnie słyszeliśmy, podczas różnego rodzaju spotkań, że ktoś zebrał zgodę lub zarejestrował zbiór danych i w związku z powyższym spełnia wszystkie wymogi ustawy o ochronie danych osobowych. Takie podejście jest zbytnim uproszczeniem. Ochrona danych osobowych to nie tylko zgody i rejestracja ale o wiele więcej elementów jakie należy spełnić.

Jednym z wymagań wynikających z ustawy o ochronie danych osobowych jest konieczność zawarcia umów powierzenia przetwarzania danych w rozumieniu art. 31 ustawy o ochronie danych osobowych. Przytoczony artykuł stanowi, iż administrator danych może powierzyć innemu podmiotowi przetwarzanie danych osobowych. Należy zaznaczyć, iż to do obowiązków administratora danych należy zawarcie komentowanej umowy. W przypadku braku umowy powierzenia administrator danych może się narazić na zarzut przekazania danych osobie nieuprawnionej i odpowiedzialność karną z art 51 oraz 52 ustawy o ochronie danych osobowych. Nie ma obowiązku, aby umowa powierzenia została zawarta na odrębnym dokumencie. Nic nie stoi na przeszkodzie aby stanowiła część umowy głównej (oddzielny paragraf czy rozdział umowy głównej).

Ustawa o ochronie danych osobowych wskazuje wprost z jakich elementów powinna być złożona umowa powierzenia. Do jej obligatoryjnych elementów należy zaliczyć wskazanie zakresu oraz celu powierzenia przetwarzania.
Zakres (czyli jakie dane powierzamy) najlepiej aby był wskazany enumeratywnie, tak samo jak w przypadku zgłoszenia zbioru do GIODO. W umowie wskazujemy więc, że zakres powierzonych danych obejmuje np. : imię, nazwisko, numer telefonu itp. Co jednak zrobić w sytuacji kiedy nie wiemy jaki dokładnie będzie zakres powierzonych danych? Taka sytuacja może mieć miejsce kiedy np. zlecamy firmie trzeciej zniszczenie dokumentów zawierających danych osobowe i nie jesteśmy wstanie wskazać zamkniętego katalogu danych. Można wtedy w umowie powierzenia nawiązać do przedmiotu umowy głównej – np. poprzez umieszczenie w niej następującej treści:  „ w zakresie niezbędnym do realizacji umowy o współpracy”.
Kolejnym elementem obligatoryjnym w umowie powierzenia jest wskazanie celu. W umowie powierzenia można wskazać więcej niż jeden cel powierzenia przetwarzania. Jeżeli np. firma zewnętrzna świadczy nam usługi outsourcingu kadr oraz usługi związane z archiwizacją dokumentacji, to nic nie stoi na przeszkodzie, aby obydwa te cele wskazać w jednej umowie powierzenia. Jeżeli wskazanie celu jest problematyczne z uwagi na skomplikowanie stosunku umownego, to również tutaj odwołałbym się do samej umowy o współpracy czyli – np. poprzez umieszczenie w niej następującej treści:  „w celu niezbędnym do realizacji przedmiotu umowy o współpracy”.

Ostatnim obligatoryjnym elementem związanym z zawarciem poprawnej umowy powierzenia jest forma pisemna. Art. 31 ustawy o ochronie danych osobowych przewiduje wymóg zawarcia umowy powierzenia przetwarzania danych osobowych w formie pisemnej. Należy jednak podkreślić, iż komentowany przepis nie określa jednak skutków niedochowania formy pisemnej. Zgodnie ze stanowiskiem doktryny przyjmuje się, że w odniesieniu do formy zawierania umowy powierzenia należy stosować przepisy kodeksu cywilnego  o formie czynności prawnych[1]. W mojej ocenie jest, to prawidłowe podejście, gdyż art. 31 ustawy o ochronie danych osobowych korzysta z pojęcia „umowy”, które jest definicją zaczerpniętą z prawa cywilnego. W związku z powyższym należy uznać, że do umowy, czyli dwustronnej czynności prawnej, należy stosować przepisy kodeksu cywilnego o formie czynności prawnych. Zgodnie zaś z art. 73 § 1 kodeksu cywilnego należy uznać, iż umowa powierzenia przetwarzanie danych osobowych zawarta w formie innej niż pisemna jest ważna, a zastrzeżenie formy w ustawie o ochronie danych osobowych zostało dokonane do celów dowodowych (o czym stanowi art. 74 § 1 kodeksu cywilnego). W tym miejscu należy jednak przytoczyć odmienne stanowisko GIODO w omawianej kwestii – konieczność zawarcia umowy powierzenia w formie pisemnej.[2] W mojej ocenie wskazane w sprawozdaniu stanowisko GIODO jest zbyt rygorystyczne i nie współgra z literalnym brzmieniem przepisów.[3]
Z dokonanej analizy wynika, iż do umowy powierzenia przetwarzania danych osobowych należy stosować przepisy kodeksu cywilnego, a te nie przewidują w omawianej sytuacji nieważności czynności prawnej w przypadku braku formy pisemnej. Należy również podkreślić, iż brak formy pisemnej pozostaje bez wpływu na kwestie dowodowe związane z samą umową. Postawiona teza wynika wprost z art. 74 § 1 kodeksu cywilnego stanowiącego, iż ograniczenia dowodowe nie dotyczą relacji pomiędzy przedsiębiorcami, a taka sytuacja ma miejsce w związku z zawieraniem umów powierzenia.

W umowie powierzenia warto również uwzględnić inne elementy niż wyłącznie cel i zakres. Do dobrych praktyk przy zawieraniu umów powierzenia można zaliczyć dodawanie postanowień związanych z prawem do przeprowadzenia kontroli u procesora (podmiot, któremu powierzono przetwarzanie danych). Warto również podkreślić, iż niektóre dokumenty branżowe wręcz obligują do tego administratora danych (np. Rekomendacja D). Do pozostałych postanowień dodatkowych jakie można uwzględnić w umowie powierzenia zaliczyłbym: sposób wydawania upoważnień, informowanie o kontroli GIODO, kary umowne za niezgodne z umową i ustawą o ochronie danych osobowych przetwarzanie powierzonych danych oraz uregulowanie kwestii związanych z dalszym podpowierzeniem przetwarzania danych.

[1] J. Barta, R. Markiewicz, Ochrona danych osobowych Komentarz, s. 464

[2] Sprawozdanie GIODO za rok 2003, s. 130

[3] Patrz orzeczenie WSA z 6 lutego 2007 r. II SA/Wa 1786/06