50 Największych Banków w Polsce 2017: Nadchodzi RODO
mec. Marcin Huczkowski
Niemal dokładnie rok temu Parlament Europejski przyjął pakiet legislacyjny w sprawie aktualizacji prawa ochrony danych osobowych (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; tzw. RODO). Zmiany, które zaczną obowiązywać od 25 maja 2018 r., wywołały już spory zamęt w sektorze finansowym. Instytucje takie jak banki czy towarzystwa ubezpieczeniowe przetwarzają każdego dnia ogromną ilość danych osobowych. Jednocześnie pojawiają się publikacje medialne podkreślające radykalny charakter zmian wprowadzonych przez RODO. Czy mamy do czynienia z rewolucją systemu ochrony danych osobowych?
Nowe obowiązki administratora i podmiotu przetwarzającego dane osobowe
RODO wprowadza całkowicie nowy obowiązek dokonywania przez administratorów oraz podmioty przetwarzające dane tak zwanej oceny skutków dla ochrony danych, w przypadkach gdy w danej sytuacji rozpoczęcie przetwarzania danych może potencjalnie zagrażać prywatności osób fizycznych. Dotyczy to na przykład danych wrażliwych czy systematycznego i kompleksowego profilowania. Dlatego obowiązek ten będzie miał szczególne znaczenie dla podmiotów prowadzących działalność biznesową w oparciu o rozbudowane systemy informatyczne. Kolejny zupełnie nowy przepis wymaga informowania organów ochrony danych osobowych (w Polsce Generalny Inspektor Danych Osobowych, dalej: GIODO) o wszelkich naruszeniach ochrony tych danych. Obowiązek ten pojawi się więc np. w przypadku ujawnienia lub wycieku danych osobowych bądź też ich zniszczenia. W takiej sytuacji poza organami państwowymi także osoby, których dane dotyczą, będą uprawnione do otrzymania od administratora bądź podmiotu przetwarzającego informacji o możliwych konsekwencjach zaistniałego naruszenia oraz o podjętych lub sugerowanych działaniach naprawczych. Dotychczas taki wymóg musieli spełniać przedsiębiorcy świadczący usługi telekomunikacyjne. Obecnie, w przypadku spełnienia przesłanek określonych w RODO, obejmie on wszystkie podmioty przetwarzające dane osobowe. RODO istotnie poszerza nałożone na administratorów danych obowiązki odnoszące się do formułowania tzw. klauzul informacyjnych. Zgodnie z nową regulacją, administrator będzie musiał poinformować osoby, których dane przetwarza, również o takich kwestiach jak np. dane kontaktowe inspektora ochrony danych (jeśli taki został powołany), prawna podstawa przetwarzania danych, kategorie przetwarzanych danych, czy też przewidywany termin zakończenia ich przetwarzania. Praktycznym efektem powyższej zmiany jest prawie trzykrotne zwiększenie zawartości treści klauzul informacyjnych, które trzeba będzie udostępnić osobom fizycznym przed rozpoczęciem przetwarzania.
Osoba fizyczna i jej nowe prawa
RODO wprowadza dwie istotne zmiany w zakresie uprawnień osób fizycznych, których dane są przetwarzane. Po pierwsze, RODO ostatecznie formułuje tzw. prawo do bycia zapomnianym (zwane również prawem do usunięcia danych). Inaczej mówiąc, osoba, której dane dotyczą, może zażądać niezwłocznego usunięcia ich przez administratora. W szczególności chodzi o trzy rodzaje przypadków ściśle określone w RODO. Pierwszy to sytuacja, gdy dane osobowe nie są już niezbędne do celów, w których zostały zebrane. Drugi to sytuacja, gdy osoba, której dane dotyczą, cofnęła zgodę na ich przetwarzanie. I wreszcie trzecia sytuacja to ta, gdy dane osobowe są przetwarzane niezgodnie z prawem. Ponadto RODO wprowadza prawo do przenoszenia danych. Daje ono każdej osobie, której dane dotyczą, możliwość żądania od administratora, który przetwarza te dane w sposób zautomatyzowany, udostępnienia ich w ramach ustrukturyzowanego, powszechnie używanego formatu nadającego się do odczytu maszynowego, w celu ich przesłania innemu administratorowi. Uprawnienie przysługuje wyłącznie wtedy, gdy podstawą prawną przetwarzania danych przez pierwotnego administratora jest zgoda osoby, której dane dotyczą, lub niezbędność takiego przetwarzania do zawarcia lub wykonania umowy. W przypadku podmiotów świadczących usługi finansowe prawo to będzie mogło zostać zastosowane w praktyce np. w związku z chęcią przeniesienia przez osobę fizyczną rachunku bankowego, maklerskiego lub umowy kredytu do innego podmiotu. W tym miejscu warto wspomnieć, iż co do zasady RODO nie zezwala na podejmowanie decyzji, która ma wywierać skutki prawne wobec osoby, której dane są przetwarzane, wyłącznie w oparciu o zautomatyzowane przetwarzanie tych danych (np. automatyczne odrzucenie wniosku kredytowego).
Inspektor ochrony danych wkracza na scenę
RODO precyzuje, kiedy administrator danych lub podmiot je przetwarzający zobowiązani są do wyznaczenia tzw. inspektora ochrony danych (według obecnie obowiązującego prawa taką osobę określa się mianem administratora bezpieczeństwa informacji, w skrócie ABI). Obowiązek ten zostanie nałożony m.in. na podmioty, których działalność wiąże się z systematycznym monitorowaniem na dużą skalę osób, których dane dotyczą. Zatem bardzo prawdopodobne, że do powołania inspektora ochrony danych (IOD) będzie zmuszona większość przedsiębiorców oferujących usługi finansowe, w tym np. banki lub domy maklerskie. Zakres kompetencji i funkcja pełniona przez IOD w danym przedsiębiorstwie pokrywa się wprawdzie w pewnym stopniu ze stanowiskiem ABI, wszystkim już doskonale znanym, jednak RODO wprowadza ważną zmianę polegającą na bezpośrednim nałożeniu na IOD obowiązku sprawowania funkcji tzw. punktu kontaktowego dla wszystkich osób fizycznych, których dane są przetwarzane. Zmiana ta na pewno w bardzo istotnym stopniu przyczyni się do dodatkowego obciążenia czasowego ABI.
Będziemy prowadzić rejestr
RODO wprowadza liczne innowacyjne rozwiązania, ale przede wszystkim znosi obowiązek zgłaszania przez administratorów zbiorów danych osobowych organom ich ochrony (w Polsce zadanie to należy do GIODO). Zamiast tego wprowadza zupełnie nowy wymóg prowadzenia rejestru czynności przetwarzania danych, obowiązujący zarówno administratorów, jak i podmioty przetwarzające dane. Rejestr ten ma zawierać m.in. informacje o administratorze, celach przetwarzania, odbiorcach, a także ogólny opis technicznych i organizacyjnych środków służących do zabezpieczenia danych. Zlikwidowanie obowiązku rejestracji zbiorów to zdecydowana ulga dla przedsiębiorców. Procedura rejestracji i aktualizacji takich zbiorów była często bardzo uciążliwa i w wielu przypadkach wcale nie gwarantowała prawidłowego przetwarzania i zabezpieczenia danych osobowych.
Rewolucja w zakresie kar finansowych
Aby nowe regulacje nie stały się przepisami martwymi, RODO przewiduje możliwość nałożenia kary finansowej w wysokości do 20 mln euro albo do 4% rocznego światowego obrotu danego przedsiębiorstwa (w zależności od tego, która z tych wartości będzie wyższa), m.in. w przypadku naruszenia podstawowych zasad przetwarzania danych osobowych. Przykładowo – sankcje czekają wszystkich odmawiających wykonania decyzji organu ochrony danych osobowych lub naruszających prawa osób, których dane przetwarzają. Niższe kary (do 10 mln euro albo 2% światowego obrotu) będą grozić np. za niewłaściwe zabezpieczenie przetwarzanych danych, niepoinformowanie organu ochrony danych osobowych o naruszeniu bezpieczeństwa danych bądź też niepowołanie IOD. Najistotniejszą kwestią w tym miejscu wydaje się zmiana systemowa, pozwalająca organowi nadzorczemu na natychmiastowe nałożenie kary. Zgodnie z ustawą obecnie obowiązującą w Polsce GIODO ma możliwość wyegzekwowania kar finansowych jedynie w sposób następczy, czyli po uprzednim wezwaniu danego przedsiębiorcy do zaprzestania dalszych naruszeń. Nowe regulacje zakładają możliwość natychmiastowego egzekwowania kar od przedsiębiorców, którzy się do nich nie zastosują. To właśnie ta ostatnia zmiana w zakresie kar finansowych jednoznacznie przesądza o rewolucyjnym charakterze RODO. W bardzo istotny sposób rozporządzenie to zwiększa wysokość kar finansowych z tytułu naruszenia ochrony danych osobowych. Zapewnia również możliwość bezpośredniego nakładania kar na przedsiębiorców, co powinno przyczynić się co najmniej do znacznego ograniczenia (jeśli nie całkowitego wyeliminowania) funkcjonującego obecnie lekceważącego podejścia „biznesu” do obowiązków związanych z ochroną danych osobowych.