Dlaczego wciąż boimy się RODO, czyli pierwsze doświadczenia i najczęstsze pomyłki

• Rafał Stępniewski
• /
• 26 listopada 2018

Mija właśnie pół roku obowiązywania unijnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Każdego dnia pojawiają się wciąż nowe pytania i wątpliwości oraz problemy związane z jego wdrażaniem. Przedsiębiorcy zostali zalani falą różnego rodzaju formularzy i zgód często zbędnych, wysyłanych „na zapas”. Efekt? Chaos informacyjny i strach przed nowymi przepisami. A przecież tematyka ochrony danych osobowych nie jest nowa, RODO miało tylko uporządkować i ujednolicić przepisy w tym obszarze w całej Unii Europejskiej.

Nasze podsumowanie objęło 3 500 osób korzystających z naszych usług. Na podstawie zebranych informacji przeanalizowaliśmy najczęściej występujące błędne interpretacje nowych przepisów. Z czym mają problem administratorzy? Jakie błędy popełniają? Oto nasze spostrzeżenia dotyczące pierwszych doświadczeń z wdrażania RODO.

Wdrożyliśmy RODO i co dalej?

Najczęstszym problemem związanym z RODO jest przeświadczenie, być może pochodzące jeszcze z okresu obowiązywania dotychczasowej ustawy o ochronie danych osobowych, że RODO można wdrożyć, „odhaczając” poszczególne punkty z listy zadań do wykonania, czyli:

• dostosować treści zgód,
• spełnić obowiązek informacyjny,
• dostosować Politykę Bezpieczeństwa do nowych wytycznych,
• zweryfikować umowy powierzenia,

po czym wydrukować całą dokumentację i w związku z wykonanym zadaniem zapomnieć o temacie ochrony danych osobowych w firmie. Takie podejście do tematu występuje aż w 70% firm. Wdrożenie RODO nie polega na jednorazowym działaniu związanym ze stworzeniem odpowiedniej papierowej dokumentacji. To stały i cykliczny monitoring procesów biznesowych występujących w firmie poprzez wykonywanie między innymi następujących działań:

• prowadzenie analizy ryzyka,
• prowadzenie i aktualizację rejestru czynności przetwarzania,
• stałe podnoszenie świadomości pracowników w zakresie ochrony danych osobowych poprzez ich systematyczne szkolenia,
• prowadzenie rejestru incydentów i zgłaszanie naruszeń do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych),
• realizowanie praw osób, których dane dotyczą,
• dopuszczanie do przetwarzania wyłącznie osób posiadających nadane upoważnienia oraz okresowe weryfikowanie i aktualizowanie rejestru osób upoważnionych do przetwarzania danych osobowych,
• włączenie umów powierzenia danych osobowych w obowiązujący firmie proces zawierania umów z kontrahentami.

Jak łatwo się domyślić, te wszystkie czynności wiążą się z całym procesem zarządzania bezpieczeństwem informacji i ochrony danych osobowych w firmie. Dlatego też zarówno administrator, jak i inspektor ochrony danych powinni mieć na uwadze, że stosowanie przepisów o ochronie danych osobowych to proces ciągły. Wymaga stałej kontroli nad dokumentacją i jej aktualnością, procesami zachodzącymi w firmie oraz pracownikami przetwarzającymi dane osobowe.

Mamy problem z powierzeniem danych do przetwarzania

Jednym z najczęściej występujących problemów w pierwszych tygodniach obowiązywania RODO były trudności z podpisywaniem umów powierzenia danych osobowych pomiędzy firmami a ich kontrahentami. Taki obowiązek istniał już wcześniej w związku z ustawą o ochronie danych osobowych z 1997 r. i wszyscy byli przekonani, że w tym temacie nie będzie problemów. Wydawało się, że wystarczy tylko zweryfikować obowiązujące umowy pod kątem nowych wymagań. Wejście w życie RODO pokazało, jak martwy był to wymóg i jak często nie był respektowany przez przedsiębiorców.

Aby powierzyć przetwarzanie danych innemu podmiotowi, konieczne jest zawarcie umowy powierzenia. Taka umowa musi zawierać i określać m.in.:

• przedmiot i czas trwania przetwarzania,
• charakter i cel przetwarzania,
• rodzaj danych osobowych,
• kategorie osób, których dane dotyczą,
• obowiązki i prawa administratora,
• zapewnienie, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu, ustawowemu obowiązkowi zachowania tajemnicy.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Mylimy powierzenie z udostępnieniem

Najczęstszymi problemami związanymi z umowami powierzenia było mylenie powierzenia danych osobowych z ich udostępnieniem.

Powierzenie do przetwarzania danych zachodzi, gdy administrator powierza dane osobowe ze swoich zbiorów do przetwarzania innym podmiotom w określonym celu, zakresie i czasie. Przykładem powierzenia jest przekazanie danych osobowych firmie księgowej, hostingowej, informatycznej, kurierskiej czy wysyłającej mailingi do klientów.

Z udostępnieniem danych mamy do czynienia wyłącznie wtedy, gdy odbiorcą danych jest inny administrator. Jest to podmiot decydujący o celach i środkach przetwarzania danych osobowych, jeśli jest to konieczne do realizacji prawnie uzasadnionych celów ich administratora. Przykładem jest przekazanie danych osobowych Poczcie Polskiej w celu wysyłki korespondencji, gdzie status administratora danych nadaje Poczcie Polskiej ustawa Prawo pocztowe. Innym przykładem będą banki, którym także przepisy nadają status administratora.

Mylenie tych dwóch pojęć często skutkuje przesyłaniem zbędnych umów powierzenia, np. przekazanie danych kontaktowych pracownika do kontrahenta, który jedynie dostarcza towar do firmy tegoż pracownika. W tym przypadku mamy do czynienia z dwoma odrębnymi administratorami danych osobowych, działającymi w ramach umowy, której celem nie są operacje na danych osobowych.

Istotną kwestią związaną z podpisywaniem umów powierzenia jest ograniczanie przez podmiot przetwarzający, zapisów, mówiących o zasadach audytów i kontrolach prowadzonych przez administratorów u podwykonawców. Prawo do takich audytów wynika wprost z przepisów RODO, a nie z umów powierzenia.

Nie wiemy, co jest naruszeniem ochrony danych osobowych

Kolejnym zagadaniem, które wywołało wiele wątpliwości u administratorów jest kwestia naruszenia bezpieczeństwa danych osobowych i obowiązek zgłaszania tego rodzaju przypadków do Prezesa Urzędu Ochrony Danych Osobowych.

Co jest naruszeniem ochrony danych osobowych według art. 4 RODO? To przypadkowe lub niezgodne z prawem:

• zniszczenie danych osobowych,
• utracenie danych osobowych,
• zmodyfikowanie danych osobowych,
• nieuprawnione ujawnienia danych osobowych,
• nieuprawniony dostęp do danych osobowych.

Każdy administrator jest zobowiązany zgłosić incydent do PUODO nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Nie musi tego robić, jeśli uzna, że dany incydent nie będzie skutkował ryzykiem naruszenia praw lub wolności osób. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator powinien zawiadomić o tym osobę, której dane dotyczą.

Dla wielu administratorów zarówno zasady zgłaszania naruszeń do PUODO, jak i informowanie o takich przypadkach osób, których naruszenia dotyczyły, są niejasne i stwarzają trudności w interpretacji takich sytuacji. Administratorzy oraz inspektorzy danych osobowych mają problem z zakwalifikowaniem incydentów jako przypadków wymagających zgłoszenia do organu nadzorczego. W efekcie do PUODO zgłaszane są często wszystkie zdarzenia, które administrator zaliczy do incydentów. Administratorzy w obawie przed wysokimi karami boją się kwalifikowania zdarzeń jako niepodlegających zgłoszeniom i lawinowo zgłaszają wszystko.

Zgodnie z informacjami PUODO, w pierwszych trzech miesiącach funkcjonowania nowych przepisów, zostało zgłoszonych ponad 2 tys. skarg. Dla porównania – w 2017 roku było ich niespełna 3 tys. Tak duża liczba skarg napływająca w krótkim czasie może spowodować trudności w ich interpretacji, nie wspominając już o dotrzymaniu terminu rozpatrzenia sprawy. PUODO powinien rozpatrzyć skargę niezwłocznie, nie później jednak niż w ciągu miesiąca od jej otrzymania (art. 237 § 2 kodeksu postępowania administracyjnego).

Nie umiemy odpowiednio zabezpieczyć systemów przetwarzania danych osobowych

Jedną z największych trudności, z jaką mogli się zetknąć administratorzy w czasie wdrażania RODO, jest brak szczegółowych wytycznych dotyczących bezpieczeństwa systemów przetwarzania danych osobowych. Dotychczasowe podejście dotyczące bezpieczeństwa takich systemów opierało się na konkretnej liście niezbędnych do wdrożenia zabezpieczeń. RODO natomiast wprowadziło analizę ryzyka przeprowadzaną przez administratora we współpracy z inspektorem ochrony danych. Wynikiem takiej analizy powinno być określenie zabezpieczeń technicznych, fizycznych i organizacyjnych adekwatnych do zidentyfikowanych problemów i zagrożeń występujących w firmie.

Jakie procesy spełniają wymogi bezpieczeństwa przetwarzanych danych osobowych? Art. 32 RODO do takich zabezpieczeń zalicza:

• pseudonimizację i szyfrowanie danych osobowych,
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Zauważyliśmy, że często spotykaną reakcją administratora jest stwierdzenie, że skoro nie ma jasno określonych wymogów dotyczących zabezpieczeń systemów i nośników danych, to nie będzie on stosować tradycyjnych metod, jak np. zabezpieczenie komputera hasłem lub szyfrowanie dysków, ale równocześnie nie będzie wprowadzać nowych metod, bo nie są wymagane, tym bardziej, że do tej pory nie zanotował żadnych wycieków danych osobowych. To błędne myślenie, bo właśnie na administratorze ciąży obowiązek udowodnienia, w przypadku wystąpienia incydentów naruszenia, że zastosował adekwatne zabezpieczenia informatyczne i organizacyjne do możliwego ryzyka w jego obszarze działania.

Co to jest ten cały obowiązek informacyjny?

Wymóg spełnienia obowiązku informacyjnego przysporzył przedsiębiorcom sporych trudności. Jak to zrobić to prawidłowo, np. podczas kontaktu telefonicznego między firmą a klientem? Unijne rozporządzenie przewiduje, że administrator jest zobowiązany poinformować osoby, których dane przetwarza, w sposób zrozumiały, dostępny, prostym językiem, na piśmie, elektronicznie lub ustnie i oczywiście bez pobierania żadnych opłat.

O ile jednak spełnienie obowiązku informacyjnego wobec klientów, którzy składali zamówienia za pośrednictwem strony internetowej czy mailowo, nie stwarzało większych problemów, to już spełnienie takiego obowiązku w czasie kontaktu telefonicznego przysporzyło więcej trudności. Z naszych statystyk wynika, że 86% firm podczas zbierania danych osobowych przez telefon nie spełnia obowiązku informacyjnego.

Podczas kontaktu telefonicznego, informacje mogą być udzielone przez pracownika infolinii lub poprzez automatyczne nagranie. Aby administrator mógł udowodnić, że taka informacja została przekazana i że spełnił zasadę rozliczalności – rozmowa powinna być nagrywana. Administrator powinien dysponować zapisem udowadniającym fakt przekazania wymaganych rozporządzeniem informacji. Wiele małych firm nie było przygotowanych technicznie na takie wyzwania. Wielu przedsiębiorców musiało ponieść dodatkowe koszty na zakup urządzeń lub usług nagrywających rozmowy telefoniczne. Część przedsiębiorstw dokonywała takich zakupów, ale były i takie firmy, które rezygnowały z przyjmowania zamówień telefonicznych, przez co narażały się na spore straty finansowe.

Obowiązek informacyjny powinien być spełniony również w przypadku zainstalowania monitoringu. Nasze badanie dotyczące monitoringu w sklepach stacjonarnych pokazuje, że aż 80% przedsiębiorstw nie spełnia poprawnie obowiązku informacyjnego w tym zakresie. Większość firm ogranicza się do oznakowania graficznego uznając, że jest to wystarczająca informacja. Prawidłowe działanie w tym przypadku polega na wywieszeniu tablicy z informacją o stosowaniu monitoringu.

Aż 90% przedsiębiorców prowadzących strony internetowe (zarówno sklepy, jak i serwisy internetowe), nie spełnia poprawnie obowiązków informacyjnych na swoich stronach, w różnego rodzaju formularzach, za pośrednictwem których zbierane są dane osobowe: formularz kontaktowy, formularz rejestracyjny konta klienta, formularze zapisu na webinary, szkolenia.

Jeśli pojawiają się klauzule zgód na stronach internetowych, to w 70% są one błędne, niewłaściwe albo obowiązkowe (czyli wymuszają zgodę na osobie, której dane dotyczą). Zaobserwowaliśmy wśród przedsiębiorców, że nie za bardzo wiedzą, kiedy zgoda jest potrzeba.

Nie rozumiemy prawa do bycia zapomnianym

RODO wzmocniło pozycję osób fizycznych, nadając im szerszy katalog praw związanych z przetwarzaniem danych osób fizycznych. Wiele kontrowersji i nieporozumień wzbudziło prawo do bycia zapomnianym. Należy przyznać, że prawo to jest błędnie interpretowane zarówno przez administratorów, jak i osoby żądające pełnego usunięcia danych. A to nie zawsze jest w pełni możliwe.

Najczęstsze błędy popełniane przez administratorów, związane z realizacją prawa do bycia zapomnianym:

• Brak procedury retencji danych – dane osobowe powinny być usuwane po ustaniu celu, w którym zostały zgromadzone. Oznacza to, że administrator powinien sam dokonywać okresowego przeglądu posiadanych zasobów danych osobowych i usuwać te, co do których nie ma już podstawy prawnej przetwarzania. Nie powinien czekać, aż osoba sama skontaktuje się z administratorem i zażąda usunięcia danych. Przechowywanie danych po ustaniu celu, w którym zostały zebrane, jest niezgodne z prawem.

• Przekonanie, że w razie żądania osoby należy usunąć jej wszystkie dane – administrator powinien usunąć dane wyłącznie w takim zakresie, w jakim to jest możliwe ze względu na inne podstawy do przetwarzania danych osobowych. I tak np. osoba, która złożyła zamówienie w sklepie internetowym nie może po otrzymaniu zamówienia zwrócić się do sklepu z prośbą o usunięcie jej wszystkich danych, ponieważ „chce być zapominania”. Administrator ma bowiem szereg podstaw do przetwarzania danych osobowych, a w niektórych przypadkach nawet obowiązków przechowywania danych osobowych. Tak będzie właśnie w przypadku umowy sprzedaży, z którą wiążą się obowiązki przechowywania danych dla celów podatkowych. Innym celem uzasadniającym przechowanie minimalnego zakresu danych umożliwiającego identyfikację zamówienia będzie ochrona przed roszczeniami. Po nowelizacji kodeksu cywilnego, okres przedawnienia roszczeń wynosi sześć lat, o ile przepis szczególny nie stanowi inaczej i o ile nie dotyczy to świadczenia okresowego lub roszczenia związanego z prowadzeniem działalności gospodarczej.

A jak ze swoich praw korzystają konsumenci?

Statystyki pokazują, że 60% osób zgłaszających żądania do administratora danych lub inspektora ochrony danych co prawda jest świadoma, z jakim żądaniem występuje, ale tylko 7% z potrafi dokładnie opisać, jakie dane chce usunąć i powołać się przy tym na odpowiednią podstawę prawną.

Z kolei ok. 40% osób występuje do administratora danych lub inspektora danych osobowych z pytaniem „niesprecyzowanym”. Takie pytania każdorazowo wymagają wyjaśnienia i ustalenia żądania, z czego 10% kieruje żądanie do administratora o niewysyłanie wiadomości SPAM, mimo że administrator ma udokumentowaną zgodę marketingową.

Podsumowując: nowe przepisy o przetwarzaniu danych osobowych RODO zostały wprowadzone już pół roku temu. Niestety, jeszcze nie wszystkie firmy potrafią się do nich dostosować. Wynika to przede wszystkim z niezrozumienia konkretnych zapisów. Żeby poprawnie interpretować nowe prawo, zapraszamy do lektury naszych blogowych artykułów, które pomogą rozwiać wiele wątpliwości na temat RODO oraz ochrony danych osobowych.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.