Zmiany w ochronie danych osobowych, które dotyczą również organizacji pozarządowych
Przed nami (r)ewolucja w ochronie danych osobowych. Dwa lata temu wydane zostało Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. L nr 119 z 4.05.2016 r., s. 1 rodo). Dodać należy, że rozporządzenie obowiązuje bezpośrednio i nie musi być w żaden sposób wprowadzone do krajowego porządku prawnego przez nasz parlament. Tym samym z dniem 25 maja 2018 r. wchodzi w życie wiele zmian, które dotykają wszystkich administratorów danych osobowych, a w tym i organizacji pozarządowych. Być może niektórzy chcieliby powiedzieć: „u nas się nie przetwarza danych osobowych…”. Nic bardziej mylnego. Nawet jeżeli pozostajecie „w letargu”, nie realizujecie żadnych projektów, a posiadacie dane swoich członków (rzecz jasna musicie je mieć), to już przetwarzacie dane osobowe.
Zacznijmy jednak od początku. Rozporządzenie wprowadza kilka zasad, które zmieniają podejście do ochrony danych osobowych. Najważniejszą z nich będzie zasada rozliczalności, zgodnie z którą musimy być w stanie udowodnić na każdym etapie, że przestrzegamy przepisy w zakresie ochrony danych osobowych (dalej: RODO). Mając na względzie tę zasadę musimy opracować całą masą procedur, dokumentów informacyjnych oraz zasad postępowania w określonych sytuacjach, które ostatecznie znaleźć się powinny do polityce bezpieczeństwa danych osobowych (chociaż nazwy tego dokumentu mogą być różne). Inną z zasad jest zasada minimalizacji danych, wg której nie możemy wchodzić w posiadanie większej ilości danych niż wymaga tego od nas przepis prawny lub umowa. Inną będzie zasada ograniczenia przechowywania, zgodnie z którą nie możemy przechowywać danych dłużej, niż wymaga tego przepis. Oczywistą wydaje się zasada bezpieczeństwa danych, której zakres obejmuje sposoby przechowywania i przetwarzania. Mamy tu na myśli zarówno przechowywanie danych osobowych w wersji papierowej, jak również w urządzeniach informatycznych. Zwłaszcza te drugie, jako gromadzone i przetwarzane przy wykorzystaniu technologii informatycznej wymagają szczególnej ochrony.
O ile dotychczas obowiązująca ustawa z 1997 r. o ochronie danych osobowych nakładała na wszystkich administratorów danych obowiązek informacyjny, w rozumieniu którego winniśmy informować każdą osobę, której dane przetwarzamy m.in. o tym w jakim celu gromadzimy dane, o możliwości wycofania zgody na przetwarzanie danych itp. O tyle zazwyczaj nikt tego obowiązku nie przestrzegał, a nasze obowiązki informacyjne ograniczały się do zdawkowej regułki: „Wyrażam zgodę na przetwarzanie danych osobowych, zgodnie z ustawą ….”. Po 25 maja nastąpi w tym zakresie zasadnicza zmiana. Każdej osobie fizycznej, od której pozyskamy dane osobowe musimy wręczyć cały zestaw informacji, a jakby tego było mało, zgodnie z zasadą rozliczalności, zobowiązani jesteśmy dysponować potwierdzeniem, że osoba zapoznała się z informacją, czyli kopię takiego dokumentu z podpisem osoby, której dane przetwarzamy (bądź też inną formę potwierdzenia).
Zmiany obejmować będą także przestrzeganie obowiązku informacyjnego w zakresie „potencjalnych” danych, które możemy pozyskać. Będzie to miało znaczenie np.: w sytuacjach ogłoszeń o naborze, czy realizacji postępowań o zamówienia publiczne. Nieodzownym elementem będzie opracowanie procedur dla wszystkich procesów zachodzących u danego administratora danych, jak np.: przyjmowanie nowych członków stowarzyszenia, realizacja projektu, zatrudnienie pracowników itp.
Wśród procedur musi się znaleźć przede wszystkim procedura notyfikacji. Dotyczy ona działań, jakie spoczywają na administratorze danych osobowych, w sytuacji naruszenia, utraty, czy innych negatywnych sytuacji występujących w obszarze przetwarzania danych osobowych. W ramach notyfikacji (co jest nowością) administrator będzie zobowiązany zawiadomić zarówno osobę (osoby), których dane osobowe zostały naruszone, jak i Prezesa Urzędu Ochrony Danych Osobowych. Naruszenie ochrony danych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Notyfikacja musi nastąpić w terminie do 72 godzin od powzięcia informacji o naruszeniu danych osobowych. Oczywiście nie będzie ona dotyczyła sytuacji, kiedy występuje znikome prawdopodobieństwo naruszenia danych osobowych.
Kolejną nowością jest obowiązek zatrudnienia Inspektora Ochrony Danych Osobowych. Nie będzie on jednak dotyczył wszystkich administratorów. Jednakże każdy jest zobowiązany przeprowadzić analizę potrzeb w tym zakresie, która, zgodnie z zasadą rozliczalności, musi zostać udokumentowana.
Zmieniają się także kwestie dotyczące rejestracji zbiorów danych osobowych. Po 25 maja nie będziemy mieli obowiązku rejestracji zbiorów danych osobowych u GIODO (dla niewtajemniczonych warto wspomnieć, że póki co istnieje taki obowiązek, którego zapewne znaczna część organizacji pozarządowych, czy przedsiębiorców nie realizowała). W to miejsce winniśmy prowadzić rejestr czynności przetwarzania danych osobowych, a w niektórych przypadkach także rejestr kategorii danych osobowych.
W Rozporządzeniu pojawiają się także nowe definicje odnoszące się do ochrony danych osobowych, wśród których należy zwrócić uwagę na szyfrowanie oraz pseudonimizację. Generalnie chodzi o sposoby zabezpieczania danych osobowych przed dostępem osób niepowołanych. Zastosowanie tych metod jest wymagane m.in. przy przekazywaniu danych osobowych drogą elektroniczną.
Często pojawiają się wątpliwości w zakresie utrwalania, czy publikacji wizerunku osób fizycznych. Należy pamiętać, że wizerunek to dane biometryczne identyfikujące osobę fizyczną, a jako takie są danymi wrażliwymi. Oczywiście czym innym jest fotografowanie lub filmowanie imprez plenerowych, a czym innym dokumentowanie określonych działań wąskiej grupy osób, np.: podczas realizacji projektu. Przepis art. 81 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 2017 r., poz. 880 ze zm.) stanowi, że „Rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej. W braku wyraźnego zastrzeżenia zezwolenie nie jest wymagane, jeżeli osoba ta otrzymała umówioną zapłatę za pozowanie.”. Istotnym dla powyższych rozważań jest ust. 2 tejże ustawy, który stanowi, że „Zezwolenia nie wymaga rozpowszechnianie wizerunku: osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych jak również osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza.”. Należy zatem przed publikacją zdjęć zastanowić się, czy naszym zamiarem jest publikacja wizerunku osoby, czy też większej całości z „nieistotnym szczegółem”, jaki stanowi osoba fizyczna. W pierwszym przypadku należy niewątpliwie uzyskać odpowiednią zgodę osoby, której wizerunek mamy zamiar opublikować (chociażby w mediach społecznościowych).
Rozporządzenie wprowadza również inną (w porównaniu do prawa krajowego) granicę wieku osób fizycznych, których wypowiadanie się w zakresie ochronnych ich danych osobowych mogą już samodzielnie się wypowiadać. Jest to granica wieku ukończonych 16 lat. Po przekroczeniu tej granicy obowiązek informacyjny winniśmy spełnić wobec osoby fizycznej. Dla osób młodszych wszelkie zgody wyrażają rodzice (opiekunowie prawni).
Wejście w życie Rozporządzenia wprowadza również nową „instytucję” tzw. prawa do bycia zapomnianym. Każdy, którego dane osobowe dotyczą powinna zostać o takiej możliwości poinformowana, a tym samym może wystąpić do administratora danych osobowych z wnioskiem o usunięcie jej danych osobowych (oczywiście, jeżeli przepis prawa się temu nie sprzeciwia).
Ważnym elementem zmian jest także powierzanie danych osobowych. Wiąże się to z przekazywaniem danych osobowych osób fizycznych innym instytucjom czy organizacjom. Będzie to miało znaczenie np. podczas przekazywania wraz z rozliczeniem przyznanej dotacji, list obecności uczestników projektu. W takiej sytuacji zobowiązani jesteśmy posiadać umowę powierzenia danych osobowych z instytucją czy organizacją, której przekazujemy dane osobowe. Będzie to także miało miejsce w sytuacjach, kiedy korzystamy z usług firm zewnętrznych dostarczających nam np. oprogramowanie komputerowe, za pomocą którego przetwarzamy dane osobowe.
Zmiany, które zaczną obowiązywać od 25 maja są znaczące, a tym samym każdy, kto przetwarza jakiekolwiek dane osobowe powinien mieć ich świadomość. Jest to szczególnie ważne w kontekście ewentualnych skutków, jakie może pociągnąć za sobą niedopełnienie szeregu obowiązków, jakie dotyczą administratorów danych osobowych. Przede wszystkim konsekwencją nieprzestrzegania przepisów o ochronie danych osobowych jest możliwość nałożenia kary przez Prezesa Urzędu Ochrony Danych Osobowych, w tym również finansowej. Rozporządzenie przewiduje kary bardzo wysokie, których maksymalny poziom kształtuje się w zakresie milionów euro. Niemniej jednak można odnieść wrażenie, że nie to jest najgorsze, gdyż każda osoba, która ma poczucie naruszenia jej danych osobowych może wystąpić przeciwko nam na drogę sądową wnosząc powództwo cywilne. Niestety to po stronie administratora danych osobowych będzie obowiązek udowodnienia swojej niewinności. Dokonać tego możemy jedynie posiadając odpowiednie procedury oraz udokumentowane sytuacje, których sprawa może dotyczyć, jak również legitymując się odpowiednimi zabezpieczeniami danych osobowych.
W skrócie…
Na dzień 25 maja 2018 r. powinniśmy mieć co najmniej:
- przeprowadzoną i udokumentowaną inwentaryzację zasobów,
- przeprowadzoną ocenę skutków dla przetwarzania danych osobowych (DPIA),
- przeprowadzoną ocenę ryzyka,
- opracowaną i wdrożoną politykę bezpieczeństwa danych osobowych,
- opracowane procedury postępowania z danymi osobowymi oraz wzory informacji i zgód w zakresie przetwarzania danych osobowych.
Mamy świadomość, że zaprezentowane zmiany mogą (przynajmniej niektórych czytelników) przerażać, niemniej jednak warto wiedzieć, jakie zmiany stoją przed nami i jak powinniśmy się do nich przygotować. Jeżeli nacie Państwo jakieś pytania lub potrzebujecie wsparcia doradczego, Fundacja Fundusz Lokalny SMK świadczy również takie usługi. Zachęcamy do kontaktu z nami.
Sebastian Nabrzeski