IP w Sieci Technologie OnLine i więcej

RODO (Rozporządzenie (UE) 2016/679) to fundament współczesnej ochrony danych osobowych w UE, który od 25 maja 2018 r. zmienił sposób, w jaki organizacje przetwarzają informacje o osobach fizycznych.

Przeczytasz w tym artykule:

Rozporządzenie nałożyło szeroki katalog obowiązków na podmioty przetwarzające dane oraz przyznało osobom fizycznym rozległe prawa chroniące ich prywatność. Raport UODO z 2022 r. wskazuje, że nieprzestrzeganie zasady ograniczonego przechowywania odpowiadało za 24% wszystkich kar finansowych, co podkreśla wagę prawidłowego wdrożenia przepisów.

Fundamentalne zasady RODO i rama prawna przetwarzania danych

Siedem zasad RODO tworzy spójny system kontroli nad całym cyklem życia danych – od pozyskania po usunięcie. Oto ich uporządkowane omówienie:

  • zgodność z prawem, rzetelność i przejrzystość – przetwarzanie musi być legalne, uczciwe i zrozumiałe dla osoby, której dane dotyczą;
  • ograniczenie celu – dane zbiera się w konkretnych, wyraźnych i prawnie uzasadnionych celach, bez późniejszego przetwarzania niezgodnego z tymi celami;
  • minimalizacja danych – przetwarzane są wyłącznie dane adekwatne i niezbędne do realizacji celów (Privacy by Design w praktyce);
  • prawidłowość – należy zapewnić aktualność i poprawność danych oraz korygować nieścisłości;
  • ograniczenie przechowywania – dane identyfikujące osobę przechowuje się nie dłużej, niż to konieczne do celów przetwarzania;
  • integralność i poufność – wymagane są środki bezpieczeństwa odpowiednie do ryzyka, w tym ochrona przed utratą, zniszczeniem i nieuprawnionym dostępem;
  • rozliczalność – administrator odpowiada za zgodność i musi umieć ją wykazać dokumentacją, analizami i dowodami.

RODO wymaga, aby przetwarzanie opierało się na jednej z przesłanek legalności z art. 6. Dla przejrzystości wymieniamy je w skróconej formie:

  • zgoda osoby, której dane dotyczą,
  • wykonanie umowy lub działania przedumowne,
  • wypełnienie obowiązku prawnego,
  • ochrona żywotnych interesów osoby,
  • wykonanie zadania w interesie publicznym lub w ramach władzy publicznej,
  • prawnie uzasadniony interes administratora lub strony trzeciej.

Obowiązki administratorów danych i podmiotów przetwarzających

Administrator danych odpowiada za cele i sposoby przetwarzania oraz pełną zgodność procesu z RODO. Jego kluczowe zadania obejmują:

  • legalność przetwarzania – identyfikację właściwej podstawy prawnej i jej dokumentowanie;
  • obowiązek informacyjny – rzetelne informowanie osób o przetwarzaniu danych (art. 13/14);
  • bezpieczeństwo – wdrażanie środków technicznych i organizacyjnych z art. 32;
  • rejestr czynności – prowadzenie aktualnego rejestru przetwarzania (art. 30);
  • DPIA – przeprowadzanie ocen skutków przy wysokim ryzyku (art. 35);
  • zgłaszanie naruszeń – notyfikacje do organu nadzorczego i osób (art. 33–34);
  • realizacja praw osób – sprawna obsługa wniosków z art. 15–22.

Bezpieczeństwo danych to nie tylko szyfrowanie i pseudonimizacja, ale kompletna strategia obejmująca ludzi, procesy i technologię. Obejmuje to kontrolę dostępu, monitorowanie działań, testy zabezpieczeń oraz stałe szkolenia personelu.

Podmiot przetwarzający działa w imieniu administratora na mocy umowy i nie decyduje o celach ani sposobach. Umowa powierzenia (art. 28) powinna precyzować co najmniej:

  • przedmiot, czas trwania, charakter i cel przetwarzania – wraz z rodzajami danych i kategoriami osób;
  • przetwarzanie na polecenie – wyłącznie na udokumentowane instrukcje administratora;
  • poufność – obowiązek zachowania tajemnicy przez osoby upoważnione;
  • bezpieczeństwo – środki zgodne z art. 32 i ich regularne testowanie;
  • subprocesorzy – warunki korzystania i obowiązek uzyskania zgody;
  • współpraca – pomoc przy realizacji praw osób i obowiązków z art. 32–36;
  • zgłaszanie naruszeń – niezwłocznie, nie później niż w 48 godzin.

Gdy subprocesor jest angażowany, wymagana jest uprzednia zgoda (szczegółowa lub ogólna) oraz informowanie o zmianach, by administrator mógł wnieść sprzeciw. EDPB rekomenduje pełną widoczność łańcucha przetwarzania.

Zasady przechowywania danych i ograniczenie czasowe przetwarzania

Zasada ograniczenia przechowywania (art. 5 ust. 1 lit. e) wymaga definiowania minimalnych, uzasadnionych okresów retencji dla każdej kategorii danych.

„Niezbędny” okres należy ustalać poprzez analizę celów i ryzyka, dokumentując decyzje i uzasadnienie. Wyjątkiem są cele archiwalne w interesie publicznym, naukowe, historyczne lub statystyczne (art. 89 ust. 1) – z zastosowaniem odpowiednich zabezpieczeń.

Aby wdrożyć skuteczną politykę retencji, organizacje powinny konsekwentnie stosować następujące praktyki:

  • zdefiniować kategorie danych i przypisane cele,
  • określić terminy usunięcia lub przeglądu dla każdej kategorii,
  • uwzględnić przepisy sektorowe (np. rachunkowość, e‑commerce, telekomunikacja),
  • zautomatyzować egzekwowanie retencji w systemach,
  • regularnie audytować i aktualizować harmonogramy retencji.

Ustalenia w zakresie retencji należy odzwierciedlać w rejestrze czynności przetwarzania, co wspiera zasadę rozliczalności i ułatwia kontrole UODO.

Obowiązek informacyjny i transparentna komunikacja z osobami, których dane dotyczą

Obowiązek informacyjny (art. 13/14) zapewnia przejrzystość i realną kontrolę nad danymi przez osoby, których dane dotyczą. Należy go spełnić w rozsądnym terminie, nie później niż w ciągu miesiąca, a przy komunikacji – najpóźniej przy pierwszym kontakcie.

W klauzuli informacyjnej powinny znaleźć się co najmniej następujące elementy:

  • tożsamość i dane kontaktowe administratora oraz IOD (jeśli powołano),
  • cele i podstawy prawne przetwarzania,
  • kategorie odbiorców danych i informacja o transferach poza EOG,
  • okres przechowywania lub kryteria jego ustalania,
  • prawa osób (w tym prawo do sprzeciwu przy art. 6 ust. 1 lit. f),
  • jeśli podstawa to uzasadniony interes – wskazanie tego interesu.

Motyw 60 podkreśla potrzebę prostego języka i dostępnej formy – bez żargonu prawniczego i „ukrytych” informacji. Skuteczne jest stosowanie warstwowego obowiązku informacyjnego: pierwsza warstwa z najważniejszymi faktami, druga – ze szczegółami.

Środki bezpieczeństwa i techniczne wymogi ochrony danych

Art. 32 RODO wymaga wdrożenia środków adekwatnych do ryzyka – z uwzględnieniem stanu wiedzy, kosztów, zakresu i celu przetwarzania.

Przy planowaniu zabezpieczeń warto rozważyć m.in. następujące rozwiązania:

  • pseudonimizację i szyfrowanie danych,
  • zapewnienie poufności, integralności, dostępności i odporności systemów,
  • procedury odtwarzania ciągłości i szybkiego przywracania dostępu,
  • regularne testowanie oraz ocenę skuteczności środków,
  • stosowanie zatwierdzonych kodeksów postępowania lub certyfikacji.

Privacy by Default oznacza, że domyślnie przetwarzasz tylko dane niezbędne do konkretnego celu, z ograniczeniem zakresu, czasu przechowywania i dostępności.

Prawa osób, których dane dotyczą – katalog i wykonywanie

RODO daje osobom realną kontrolę nad danymi, a administrator musi działać bez zbędnej zwłoki – co do zasady w ciągu miesiąca. Poniżej zestawienie najważniejszych praw:

  • prawo dostępu – uzyskanie potwierdzenia przetwarzania, kopii danych i informacji o operacjach;
  • prawo do sprostowania – korekta nieprawidłowych danych i uzupełnienie niekompletnych;
  • prawo do usunięcia – „bycie zapomnianym” w przypadkach wskazanych w art. 17;
  • prawo do ograniczenia – czasowe ograniczenie przetwarzania w określonych sytuacjach;
  • prawo do przenoszenia – otrzymanie danych w formacie nadającym się do odczytu maszynowego i przekazanie innemu administratorowi;
  • prawo do sprzeciwu – wobec przetwarzania opartego na uzasadnionym interesie – wymóg wykazania nadrzędnych podstaw przez administratora.

Zgłaszanie naruszeń ochrony danych i procedury reagowania

Naruszenia należy zgłaszać do organu nadzorczego bez zbędnej zwłoki – nie później niż w 72 godziny od stwierdzenia (art. 33). Podmiot przetwarzający zgłasza administratorowi niezwłocznie, jednak nie później niż w 48 godzin.

Zgłoszenie do UODO powinno zawierać co najmniej:

  • opis charakteru naruszenia,
  • orientacyjną liczbę osób i rekordów objętych incydentem,
  • prawdopodobne skutki naruszenia,
  • zastosowane lub planowane środki zaradcze,
  • dane kontaktowe IOD lub punktu kontaktowego.

Jeśli ryzyko dla osób jest wysokie, administrator zawiadamia osoby, których dane dotyczą, jasnym, prostym językiem. Komunikat opisuje charakter naruszenia, możliwe konsekwencje, podjęte środki oraz dane kontaktowe IOD. Zawiadomienie nie jest wymagane, gdy odpowiednie środki uniemożliwiają odczyt danych lub ryzyko zostało zminimalizowane.

Rejestr czynności przetwarzania i dokumentacja zgodności

Rejestr czynności przetwarzania (art. 30) to klucz do zasady rozliczalności – dokumentuje „kto, co, dlaczego i jak” przetwarza.

Rejestr administratora powinien obejmować co najmniej:

  • dane administratora, współadministratorów, przedstawiciela i IOD,
  • cele przetwarzania i opis kategorii osób oraz danych,
  • kategorie odbiorców i informacje o transferach poza EOG,
  • planowane terminy usunięcia danych,
  • ogólny opis środków technicznych i organizacyjnych.

Rejestr podmiotu przetwarzającego powinien zawierać:

  • dane podmiotu przetwarzającego, administratorów i IOD,
  • kategorie czynności wykonywanych dla każdego administratora,
  • informacje o transferach poza EOG,
  • ogólny opis środków bezpieczeństwa.

Zwolnienie dla podmiotów poniżej 250 osób nie dotyczy sytuacji, gdy przetwarzanie nie jest sporadyczne, obejmuje dane szczególnych kategorii lub może powodować ryzyko naruszenia praw lub wolności osób.

Ocena skutków dla ochrony danych i zarządzanie ryzykiem

DPIA (art. 35) jest obowiązkowa, gdy przetwarzanie może powodować wysokie ryzyko – to podstawowy mechanizm „privacy risk management”.

Ocena skutków jest wymagana m.in. w przypadkach:

  • zautomatyzowanego podejmowania decyzji i profilowania wywołującego skutki prawne,
  • przetwarzania na dużą skalę danych szczególnych kategorii,
  • systematycznego monitorowania na dużą skalę miejsc publicznych.

Zakres DPIA powinien obejmować co najmniej:

  • opis operacji przetwarzania i ich celów,
  • ocenę zgodności, niezbędności i proporcjonalności,
  • analizę ryzyka dla praw i wolności osób,
  • środki eliminujące lub ograniczające ryzyko,
  • wynik konsultacji z IOD i – jeśli to konieczne – z UODO.

Wymogi sektora telekomunikacyjnego i przepisy branżowe

Dostawcy publicznie dostępnych usług telekomunikacyjnych mają odrębne, sektorowe obowiązki. Rozporządzenie Komisji (UE) nr 611/2013 wymaga notyfikacji wszystkich naruszeń danych organowi właściwemu, niezależnie od poziomu ryzyka (odmiennie niż art. 33 RODO).

Podmioty przetwarzające przekazują informacje administratorowi bez zbędnej zwłoki, nie później niż w 48 godzin. Administrator powiadamia osoby przy wysokim ryzyku – z wyjątkami tylko w przypadkach określonych przepisami (np. czynności operacyjno‑rozpoznawcze, bezpieczeństwo publiczne).

Inspektorzy ochrony danych i ich rola w systemie compliance

IOD to strażnik zgodności i „ambasador” kultury ochrony danych w organizacji. Wyznaczenie IOD jest obowiązkowe, gdy:

  • przetwarzania dokonuje organ lub podmiot publiczny (z wyłączeniem sądów),
  • główna działalność wymaga regularnego i systematycznego monitorowania osób na dużą skalę,
  • główna działalność obejmuje przetwarzanie na dużą skalę danych szczególnych kategorii lub danych o wyrokach.

Kompetencje IOD powinny obejmować m.in.:

  • znajomość przepisów RODO i praktyk ochrony danych,
  • zrozumienie działalności i specyfiki sektora organizacji,
  • wiedzę o procesach, systemach IT i zabezpieczeniach,
  • u organów publicznych – znajomość procedur administracyjnych.

Zgodnie z wytycznymi Grupy Roboczej art. 29 priorytetem IOD jest:

  • promowanie kultury ochrony danych,
  • wspieranie wdrożeń (zasady, prawa osób, Privacy by Design/Default),
  • prowadzenie rejestru czynności,
  • współpraca przy bezpieczeństwie i zgłaszaniu naruszeń.

Kary i egzekwowanie zgodności

RODO przewiduje kary do 20 mln euro lub 4% globalnego obrotu – w zależności od tego, która kwota jest wyższa. Dwa progi (do 10/20 mln euro lub do 2%/4%) zależą od rodzaju naruszenia.

Przy wymiarze kary UODO uwzględnia m.in.:

  • charakter, wagę i czas trwania naruszenia,
  • umyślność lub nieumyślność,
  • liczbę poszkodowanych i skalę szkody,
  • kategorię danych (w tym dane wrażliwe),
  • podjęte środki minimalizujące szkodę,
  • stopień odpowiedzialności i wdrożone zabezpieczenia,
  • historię naruszeń i współpracę z organem,
  • okoliczności ujawnienia naruszenia.

Za bezprawne przetwarzanie odpowiedzialność karną ponosi osoba fizyczna, która się go dopuszcza – niezależnie od obowiązków organizacji.

Audyty zgodności i wdrażanie bezpieczeństwa w praktyce

Audyt RODO to punkt startowy i mechanizm ciągłej weryfikacji dojrzałości ochrony danych. Typowy audyt obejmuje:

  • warsztaty wstępne i mapowanie procesów w działach,
  • opracowanie mapy procesów przetwarzania i rejestru czynności,
  • audyty fizyczne pomieszczeń i przegląd zabezpieczeń IT,
  • przegląd dokumentacji RODO i serwisów cyfrowych,
  • raport z rekomendacjami i planem działań.

W trakcie audytu weryfikuje się m.in.:

  • legalność podstaw przetwarzania i zgodność z celami,
  • wdrożenie środków bezpieczeństwa (art. 32),
  • rzetelność obowiązku informacyjnego,
  • rejestr czynności i procedury realizacji praw osób,
  • procedury reagowania na naruszenia (art. 33–34),
  • wyznaczenie i funkcjonowanie IOD.