Ochrona danych osobowych – nowe przepisy, wpływ na TSL

0 Flares Twitter 0 Facebook 0 Filament.io 0 Flares ×

Co zmienia nowe rozporządzenie o ochronie danych osobowych w branży transportowej?

Z danymi osobowymi zawsze jest kłopot. Te wszystkie zgody, instrukcje, zabezpieczenia … A jednak to ważne.

Co zmienia nowe rozporządzenie o ochronie danych osobowych w branży transportowej?

Technologia umożliwia coraz szerszy dostęp do różnego typu danych. Rodzi to ogromne zagrożenie. Dane w nieodpowiednich rękach mogą rodzić konkretne skutki prawne dla osób, które nie mają świadomości, że informacje o nich są wykorzystywane.

Unia Europejska postanowiła zająć się tym tematem i ujednolicić przepisy, które wejdą w życie już 25 maja 2018 r.

Zobacz czego możesz się spodziewać po zmianach.

  1. Podstawa prawna.
  2. Co zmienia się dla przysłowiowego Kowalskiego?
  3. To co ważne dla branży TSL – umowa powierzenia.
  4. Procesor.
  5. Administrator.
  6. Inspektor Ochrony Danych.
  7. Co grozi za złamanie przepisów?
  8. Podsumowanie.

 

  1. Podstawa prawna.

Nowe przepisy zostają wprowadzone na mocy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO). Ich obowiązywanie rozpocznie się 25 maja 2018r.

 

  1. Co zmienia się dla przysłowiowego Kowalskiego?

Przede wszystkim zmieniają się kwestie związane z udzielaniem zgody na przetwarzanie danych osobowych.

Już na początku, w chwili rozpoczęcia danych osoba, której te dane dotyczą musi być w jasny sposób poinformowana o zakresie i celach ich przetwarzania, planowanym czasie dokonywania tych czynności oraz możliwościach ich przekazywania.

Zgoda nie może być domniemana, a administrator danych musi potrafić wykazać kiedy i w jaki sposób uzyskał tę zgodę.

Kolejną zmianą jest konieczność wskazania kto u danego administratora pełni funkcję Inspektora Ochrony Danych, do którego można kierować zapytania odnośnie danych.

Pojawiła się także zupełnie nowa możliwość, czyli „prawo do bycia zapomnianym” (art. 17). Jeśli cele przetwarzania danych przestały mieć zastosowanie osoba, której dane były wykorzystywane ma prawo zwrócić się do administratora danych i zażądać ich całkowitego usunięcia.

Osoba fizyczna ma także prawo do sprostowania, ograniczenia przetwarzania, jak również prawo do sprzeciwu (w każdej chwili).

Następnym udogodnieniem dla osoby fizycznej będzie prawo do przenoszenia danych. Czyli np. w przypadku zmiany banku, zainteresowana osoba może zażądać udostępnienia „w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe”(art. 20)

Co ciekawe zmiany będą miały wpływ także na gromadzenie informacji o pracowniku w ramach stosunku pracy. Każdy pracodawca pozyskuje bowiem wymienione w Kodeksie Pracy dane. Najlepiej zatem będzie jeśli zatrudniający przygotuje odpowiednie dokumenty poświadczające, że pracownik został poinformowany o gromadzeniu i przekazywaniu danych i wyraża na to zgodę.

  1. To, co ważne dla branży TSL – umowa powierzenia.

Kiedy potrzebna jest umowa powierzenia? Jeśli dane zgromadzone przez jedną firmę są przekazywane innej firmie np. w celu realizacji umowy należy sporządzić pomiędzy podmiotami umowę powierzenia. Obecnie nie jest sprecyzowane jakie informacje powinna taka umowa zawierać, choć przyjmuje się, że musi zostać wskazany podmiot, który będzie przetwarzał dane, a także cel i zakres tego przetwarzania. Przy tym pisemna zgoda administratora na dalsze powierzenie nie jest wymagana.

Inaczej rozwiązuje tę kwestię RODO. Art.28 pkt. 3 mówi m.in., że:

„Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.(…).”

A zatem obowiązuje forma pisemna lub elektroniczna z podpisem kwalifikowanym, a informacje zawarte w umowie to:

  • przedmiot umowy
  • czas trwania przetwarzania
  • charakter i cel przetwarzania
  • rodzaj danych osobowych
  • kategorie osób
  • obowiązki i prawa administratora
  • również dane procesora

4. Procesor.

Procesor to inaczej „podmiot przetwarzający” który w rozporządzeniu w art. 4 został zdefiniowany jako „osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;”

Administrator wybiera taki podmiot przetwarzający (procesora), który będzie w stanie zapewnić „wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia [RODO] i chroniło prawa osób, których dane dotyczą”.

Co więcej procesor odpowiada za przetwarzanie danych osobowych tak samo jak administrator.

Obowiązkami procesora są:

  • przetwarzanie danych osobowych wyłącznie na udokumentowane polecenie administratora
  • zapewnienie, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy
  • podjęcie wszelkich wymaganych środków zabezpieczających przetwarzane dane osobowe
  • pomoc administratorowi poprzez odpowiednie środki techniczne i organizacyjne w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw
  • po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usunięcie lub zwrot administratorowi wszelkich danych osobowych oraz usunięcie wszelkich istniejących kopii tych danych, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych
  • udostępnienie administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w omawianym wyżej artykule oraz umożliwienie administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynianie się do nich.

 

5. Adminstrator.

Administrator według art. 4 „oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (…).”

Do jego obowiązków będzie należało m. in.:

  • zastosowanie zasady minimalizacji danych (privacy by default), czyli pozyskiwanie jedynie niezbędnych dla osiągnięcia określonego celu informacji
  • zastosowanie zasady prywatności już w fazie projektowania (privacy by design), czyli takie projektowanie systemu przetwarzania danych, który będzie zapewniał ich bezpieczeństwo
  • wykazanie w razie kontroli, że jeszcze przed rozpoczęciem przetwarzania danych powyższe warunki zostały spełnione poprzez wprowadzenie ich do systemów informatycznych
  • pozyskanie zgody na profilowanie i podejmowanie automatycznych decyzji

Tu należy zaznaczyć, że ciasteczka (cookies) razem z adresem IP zostały określone jako dane osobowe. Zatem dotychczasowe komunikaty o zbieraniu takich danych automatycznie nie będą miały zastosowania, na to dana osoba będzie musiała wyrazić zgodę.

  • prowadzenie rejestru naruszeń danych osobowych. Konieczne będzie ustanowienie procedury dokonywania takich naruszeń (kradzieży danych, ich wycieku itp.). Będą one musiały być każdorazowo zgłaszane do Urzędu Ochrony Danych Osobowych (następca GIODO) w ciągu 72 godzin od powzięcia informacji o ich wystąpieniu. Procedura ta zapewne będzie ujęta w ustawie przygotowywanej przez Ministerstwo Cyfryzacji.
  • przeprowadzenie oceny ryzyka w procesach przetwarzania danych osobowych (Privacy Impact Assesment – PIA) w danym przedsiębiorstwie. Jeśli ryzyko okaże się wysokie konieczne będzie przeprowadzenie jeszcze przed rozpoczęciem przetwarzania konsultacji z Urzędem Ochrony Danych Osobowych.
  • prowadzić rejestr czynności przetwarzania danych, który będzie zawierał informacje odnośnie procedur i prowadzonych procesów w danym przedsiębiorstwie. Rejestr ten ma zastąpić dotychczasowe: Instrukcję Zarządzania Systemem Informatycznym oraz Politykę Bezpieczeństwa Informacji. Treść obecnie funkcjonujących dokumentów jest precyzyjnie sformułowana, natomiast nowe przepisy pozostawiają pewną dowolność administratorowi zarówno co do formy, jaki zawartości. Wyznacznikiem jest odzwierciedlenie wszelkich działań firmy w zakresie przetwarzania danych osobowych.

 

  1. Inspektor Ochrony Danych.

Warunki wyznaczenia, status i obowiązki Inspektora Danych Osobowych określa sekcja 4 rozporządzenia (art.37-39).

Art. 37 mówi, że: „Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

a)przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b)główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c)główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Obowiązek taki będzie zatem dotyczył praktycznie każdego przedsiębiorstwa z branży TSL, gdyż każde z nich przetwarza dane osobowe na dużą skalę. Należy jednak zauważyć, że powyższe sformułowanie jest mało precyzyjne, dlatego można spodziewać się, że kwestia ta znajdzie swój finał w krajowej ustawie dotyczącej przetwarzania danych osobowych.

Zadania IOD to (art.39):

„1. a)informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b)monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

c)udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;

d)współpraca z organem nadzorczym;

e)pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

2.Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.”

IOD jest zatem doradcą i kontrolerem w sprawach związanych z przetwarzaniem danych osobowych, jak również kontaktem dla organu nadzorczego.

  1. Co grozi za złamanie przepisów?

Rozporządzenie określa w art. 83 ogólne warunki nakładania administracyjnych kar pieniężnych, które w zależności od przewinienia sięgają od 10 mln euro, „a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa” aż do 20 mln euro „a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa”.

Oznacza to, że kwestie związane z przetwarzaniem danych osobowych są traktowane bardzo poważnie. W Polsce może dodatkowo zostać utrzymana odpowiedzialność karna (obecnie pozbawienie wolności do 2 lat).

    8. Podsumowanie.

Zmiany odnośnie ochrony danych osobowych, jakie wprowadza Unia Europejska są na pewno uzasadnione. Przejmowanie danych przez organizacje przestępcze staje się coraz większym zagrożeniem. Możliwości technologiczne dla tego typu działań są ogromne. Dlatego tak wysokie kary nie do końca są zaskoczeniem. Okres dostosowawczy jaki przewidział unijny ustawodawca to 2 lata. Część tego czasu już upłynęła. Warto się przygotować, sprawdzić procedury, szczególnie dotyczące zbierania danych, zabezpieczenia systemów informatycznych itp. żeby uniknąć bardzo nieprzyjemnego zderzenia z nową rzeczywistością 25 maja 2018 r.

Źródła:

http://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679

„Ochrona danych osobowych po nowemu”, Transport Manager nr 3 czerwiec-lipiec 2017 (27), str. 106-110;