Tożsamość cyfrowa od UE coraz bliżej

Zaledwie w ciągu jednego roku pandemia COVID-19 radykalnie zmieniła rolę i znaczenie cyfryzacji w naszych społeczeństwach i gospodarkach, a także przyspieszyła jej tempo. W odpowiedzi na zwiększoną cyfryzację usług radykalnie wzrosło zapotrzebowanie użytkowników i przedsiębiorstw na środki umożliwiające identyfikację i uwierzytelnianie online, a także cyfrową wymianę informacji związanych z tożsamością w bezpieczny sposób i przy wysokim poziomie ochrony takich danych.

Rozporządzenie eIDAS2

Nowelizacja rozporządzenia Parlamentu Europejskiego i Rady (UE) 910/2014 („rozporządzenie eIDAS”) ma zaadresować te problemy. Jej celem jest umożliwienie transgranicznego uznawania rządowej identyfikacji elektronicznej („eID”) z takim samym statusem prawnym jak tradycyjne procesy oparte na dokumentach papierowych.

Obecnie różni operatorzy prywatni i publiczni oferują środki identyfikacji cyfrowej na potrzeby dostępu do usług publicznych online lub korzystania z bankowości internetowej (np. cyfrowe portfele na smartfonach do przechowywania kart pokładowych w trakcie podróży lub wirtualne karty bankowe, aby dokonywać płatności). Wspomniane tożsamości cyfrowe zapewniają jednak różne stopnie wiarygodności i bezpieczeństwa. Co prawda, duże platformy umożliwiają swoim użytkownikom zalogowanie się do różnych usług online, począwszy od zakupów po przeglądarki wiadomości, ale takie logowanie nie daje użytkownikom pełnej kontroli nad danymi udostępnianymi przez nich w celu identyfikacji. Na mocy zmienionego rozporządzenia to państwa członkowskie zaoferują obywatelom i przedsiębiorstwom cyfrowe portfele, w których będą mogli łączyć swoją krajową tożsamość cyfrową z dowodem uwierzytelniającym inne dane osobowe (np. prawo jazdy, dyplomy, rachunek bankowy).

Rozwiązanie proponowane przez Komisję Europejską miałoby konkurować z takimi gigantami jak chociażby Google Pay lub Apple Pay na skutek połączenia systemu weryfikacji tożsamości z możliwością wgrywania kart płatniczych.

Prawo czy obowiązek

Na bazie nowych przepisów każdy będzie miał prawo do posiadania europejskiego portfela tożsamości cyfrowej, który będzie akceptowany we wszystkich państwach członkowskich. Oczywiście  nie będzie to obowiązkowe. Użytkownicy będą mogli również lepiej kontrolować, jakie dane osobowe chcą udostępniać w serwisach internetowych.

Nowe europejskie portfele tożsamości cyfrowej umożliwią wszystkim Europejczykom dostęp do usług online bez konieczności korzystania z prywatnych metod identyfikacji lub niepotrzebnego udostępniania danych osobowych. Dzięki temu rozwiązaniu w założeniach mają mieć pełną kontrolę nad udostępnianymi przez siebie danymi, na co zwracała już uwagę przewodnicząca Komisji Europejskiej Ursula von der Leyen, w orędziu o stanie Unii, 16 września 2020 r.

Jak wskazuje Komisja Europejska, aby wspierać konkurencyjność europejskich przedsiębiorstw, dostawcy usług internetowych powinni mieć możliwość polegania na rozwiązaniach w zakresie tożsamości cyfrowej uznawanych w całej Unii, niezależnie od państwa członkowskiego, w którym zostały one wydane, korzystając tym samym ze zharmonizowanego europejskiego podejścia do kwestii zaufania, bezpieczeństwa i interoperacyjności. Zarówno użytkownicy, jak i usługodawcy powinni mieć możliwość korzystania z tej samej wartości prawnej, jaką mają elektroniczne poświadczenia atrybutów takich jak zdobyte uprawnienia np. dyplom uczelni wyższej czy prawo jazdy ważne w całej Unii.

Czy eID ma szanse powodzenia?

Choć już wcześniej dostrzegano potrzebę zapewnienia narzędzia umożliwiającego weryfikację i uwierzytelnianie online, dopiero pandemia COVID-19 sprawiła, że rozwiązania dotychczas przewidywane na poziomie przepisów, stały się rzeczywistością. Regulacje nie nadążyły jednak za dynamicznym rozwojem potrzeb społeczeństwa, przez co pojawiła się luka szybko wypełniona przez największe korporacje.

Skoro tożsamość cyfrowa ma być prawem, a nie obowiązkiem, to żeby konkurować z takimi podmiotami jak Google czy Apple, europejskie rozwiązanie musi być po prostu lepsze – bardziej intuicyjne w obsłudze, niezawodne w działaniu oraz rozbudowane o nowe funkcjonalności.

Jeśli wdrażanie nowego narzędzia będzie bazować wyłącznie na retoryce dotyczącej zwiększonego bezpieczeństwa danych, może stać się jedynie ciekawostką dla największych pasjonatów ochrony danych, błąkającą się na peryferiach AppStore czy Google Play.

 

 

Źródła:

https://ec.europa.eu/commission/presscorner/detail/pl/ip_21_2663

https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-digital-identity_pl

https://digital-strategy.ec.europa.eu/en/library/trusted-and-secure-european-e-id-recommendation

https://eur-lex.europa.eu/legal-content/pl/TXT/?uri=CELEX:52021DC0118

https://iapp.org/news/a/notes-from-the-iapp-europe-managing-director-4-june-2021/

Kara dla P4 Sp. z o.o. od Prezesa UODO – czyli dlaczego błędy pracowników nie zwalniają z przestrzegania terminów ustawowych

Prezes Urzędu Ochrony Danych Osobowych nałożył na P4 Sp. z  o. o. (operator Play), karę pieniężną w wysokości 100 000 PLN [1]. Naruszenie polegało na niezawiadamianiu Prezesa Urzędu Ochrony Danych Osobowych  o naruszeniach danych osobowych w terminie 24 godzin od ich wykrycia.

  • P4 Spółka z o. o. jest jednym z operatorów telekomunikacyjnych działających na terenie Polski. Spółka przetwarza profesjonalnie i na masową skalę dane osobowe abonentów w związku ze świadczeniem mobilnych usług telekomunikacyjnych, sprzedażą mobilnych urządzeń telekomunikacyjnych oraz świadczeniem usług zarządzania siecią dystrybucji produktów telekomunikacyjnych.
  • Zgodnie z przepisami Prawa telekomunikacyjnego[2] dostawca publicznie dostępnych usług telekomunikacyjnych ma obowiązek zawiadamiać Prezesa Urzędu Ochrony Danych Osobowych (UODO) o naruszeniu danych osobowych[3] .
  • Dostawca jest zobowiązany do powiadomienia właściwego organu krajowego o przypadku naruszenia danych osobowych, nie później niż 24 godziny po wykryciu naruszenia danych osobowych, jeśli jest to wykonalne[4].

Dostawcy usług telekomunikacyjnych są zobowiązani notyfikować Prezesowi UODO naruszenia ochrony danych w wynikającym z przepisów szczególnych w terminie 24, a nie 72 godzin jak wynika z zasad ogólnych RODO. Dlatego organ zarzucił Spółce, że nie zorganizowała procesu notyfikacji w sposób zapewniający jego skuteczność, mimo że była do tego zobowiązana.

Jak podał  Prezes UODO w decyzji Spółka broniła się podnosząc, że badane przez organ opóźnienia były wynikiem nieumyślnych błędów pracowników kancelarii odpowiedzialnych za wysyłkę korespondencji, w tym korespondencji dotyczącej naruszeń danych osobowych kierowanej do Prezesa UODO. Błędy polegały np. na niewpisaniu korespondencji do książki nadawczej, czego efektem był jej zwrot przez operatora pocztowego. Postępowanie dotyczyło zdarzeń z 2020 r., Spółka wyjaśniła, że członkowie zespołu pracowali w trybie zdalnym, a w związku ze stanem zagrożenia epidemicznego ogłoszonym w Polsce, najbliższym możliwym terminem do wysłania zawiadomień  o naruszeniu pocztą tradycyjną był poniedziałek. Spółka przyznała się też do przypadku, gdy pracownik przygotowujący zawiadomienie o naruszeniu ochrony danych osobowych popełnił oczywistą omyłkę pisarską w dacie stwierdzenia naruszenia. Prezes UODO nie uznał jednak, że takie okoliczności stojące za opóźnieniami mogą stanowić podstawę umorzenia postępowania lub odstąpienia od nałożenia kary. Prezes UODO podkreślił, że błędy pracowników Spółki w tym zakresie świadczą właśnie o nieprawidłowym zorganizowaniu przez Spółkę procesu powiadamiania Prezesa UODO o naruszeniach danych osobowych, tym bardziej, że Spółka na żadnym etapie postępowania nie wykazała, aby sprawowała odpowiedni nadzór nad tym procesem, a w szczególności nad pracownikami kancelarii odpowiedzialnymi za wysyłkę tej korespondencji.

Może wydawać się, że taki zarzut i ukaranie Spółki za jednostkowe przypadki opóźnień są nieadekwatne przy ogólnej ilości zgłoszeń terminowych. Należy jednak mieć na uwadze, że już wcześniej Prezes UODO kilkukrotnie (przy okazji wezwań do wyjaśnienia powodów opóźnień) informował Spółkę, że zgłoszenia naruszenia danych osobowych można dokonać elektronicznie, oraz że najszybszą drogą jest wysłanie zgłoszenia za pośrednictwem platformy biznes.gov.pl lub platformy ePUAP. Spółka nie skorzystała jednak z tych sugestii i nadal wysyłała zawiadomienia pocztą tradycyjną. Tym samym, w ocenie PUODO, Spółka wkalkulowała ryzyko niezgłaszania w terminie naruszeń danych osobowych Prezesowi UODO, co również stanowi okoliczność obciążającą.

Spółka zmieniła praktykę zawiadomienia organu nadzorczego dopiero w lutym tego roku i od tej pory naruszenia składane są przez Spółkę za pośrednictwem platformy ePUAP. Na podstawie tego faktu organ wywiódł jednak, że zgłoszenie naruszeń danych osobowych objętych niniejszym postępowaniem Prezesowi UODO w odpowiednim terminie było wykonalne.

Po rozważeniu okoliczności dotyczących pięciu przypadków opóźnień w przesłaniu zawiadomienia o naruszeniu ochrony danych i zapoznaniu się z argumentacją Spółki, Prezes UODO nałożył na Spółkę  administracyjną karę pieniężną kwota stanowi 0,0014 % przychodów operacyjnych osiągniętych przez Spółkę w 2020 r. przy maksymalnej ustawowej wysokości kary ustalonej na 3%.

Pomimo tego, że  decyzja organu dotyczyła operatora telekomunikacyjnego i przepisów szczególnych, to wszystkie podmioty niezależnie od branży powinny wyciągnąć z niej wniosek, że nawet incydentalnie spóźnione zgłoszenia naruszeń ochrony danych osobowych mogą być sankcjonowane karami pieniężnymi. Drugą ważną lekcją powinno być zapamiętanie, że transformacja cyfrowa to nie tylko hasło reklamowe i warto korzystać z nowych rozwiązań również w kontakcie z organami nadzorczymi.

 

Przypisy:

[1] Decyzja PUODO z dn. 8.06.2021 r. znak DKN.5131.10.2020, dostęp: https://www.uodo.gov.pl/decyzje/DKN.5131.10.2020

[2] art. 174a ust. 1 ustawy Prawo telekomunikacyjne

[3] Termin i zasady powiadamiania określone są w rozporządzeniu Komisji (UE) nr 611/2013 z dnia  24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej

[4] Stosownie do  art. 2 ust. 2 rozporządzenia Komisji 611/2013 w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych.

Wynikający z rozporządzenia 611/2013 termin 24 godzin na zgłoszenie naruszenia ochrony danych jest nieprzypadkowy. Liczy się umożliwienie UODO odpowiednio szybkiej reakcji na zgłoszone naruszenia, w celu zapobieżenia ewentualnym negatywnym konsekwencjom dla osób, których dane dotyczą, np. kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. W ocenie organu takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale nr PESEL, nr dokumentu, adres.

Nowe standardowe klauzule umowne Komisji Europejskiej

Komisja Europejska (KE) przyjęła w piątek 4 czerwca dwa zestawy nowych standardowych klauzul umownych (nowe klauzule) mające ułatwić relację pomiędzy administratorami danych a podmiotami przetwarzającymi w zapewnieniu bezpiecznego transferu danych osobowych do państw spoza EOG[1] (tzw. państw trzecich). Opublikowanie nowych klauzul jest pokłosiem wydanego w lipcu 2020 r. wyroku Trybunału Sprawiedliwości Unii Europejskiej – Shrems II – unieważniającego dotychczasową podstawę transferu jaką była decyzja Privacy Shield[2]. O tym wyroku pisaliśmy już na naszym blogu.

Opublikowane przez KE nowe klauzule mają ułatwić uczestnikom rynku, którzy przetwarzają dane osobowe zapewnienie zgodności z przepisami RODO.

Nowe klauzule oddziałują na dwóch płaszczyznach tj poprzez zapewnienie:

  1. Odpowiedniego poziomu bezpieczeństwa przetwarzanych danych podczas przekazywania danych do państw trzecich.
  2. Odpowiednich narzędzi regulujących przekazywanie danych podmiotom przetwarzającym a także dalszym podmiotom przetwarzającym, czyli takim którzy przetwarzają dane w imieniu administratorów danych.

Nowe standardowe klauzule umowne wprowadzają rozwiązania odpowiadające obecnym wyzwaniom rynku, a mianowicie:

  • Zapewnienie zgodności klauzul z przepisami RODO.
  • Podejście modułowe umożliwiające elastyczne kształtowanie treści klauzul, poprzez wybór odpowiedniego modułu do potrzeb konkretnego procesu przekazywania danych.
  • Możliwość dodania klauzul i korzystania z nich przez więcej niż 2 strony np. przez dalsze podmioty przetwarzające w przypadku przystąpienia przez nie do zawartych przez strony standardowych klauzul umownych.

Nowe przyjęte klauzule mają zastąpić standardowe klauzule umowne obowiązujące do tej pory w oparciu dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Podmioty, które dotychczas opierały przekazywanie danych do państw trzecich na wcześniejszych standardowych klauzulach umownych będą miały okres przejściowy na dostosowanie się do nowej regulacji. Mogą one w dalszym ciągu na ich podstawie przekazywać dane do państw trzecich przez okres przejściowy 18 miesięcy. Okres ten podzielony jest na 2 etapy:

  • I etap – 3 miesiące od dnia przyjęcia nowych klauzul – w tym okresie możliwe jest zawieranie w nowych umowach wcześniejszych klauzul. Po tym okresie ma nastąpić uchylenie decyzji 2001/497/WE i 2010/87/UE zawierającej wcześniejsze klauzule umowne.
  • II etap – 15 miesięcy od dnia uchylenia wcześniejszych klauzul czyli od zakończenia I etapu– w tym okresie, przy zawieraniu nowych umów, możliwe jest używanie jedynie nowych klauzul. W przypadku umów zawierających wcześniejsze klauzule umowne, zawartych przed tym okresem, nie ma konieczności aktualizacji umów, jeżeli aktualizacja miałaby dotyczyć jedynie zmiany klauzul umownych. Konieczność aktualizacji klauzul umownych występuje jedynie w przypadku, gdy w trakcie II etapu nastąpi zmiana treści umowy. Wtedy konieczne jest również dokonanie aktualizacji standardowych klauzul umownych.

Poprzednie standardowe klauzule będą obowiązywać do 27 grudnia 2022 r.

Wprowadzone nowe standardowe klauzule umowne są jedną z możliwości przekazywania danych do państw trzecich. Zaprezentowane klauzule będą najszybszą i najprostszą możliwością zapewnienie odpowiedniego poziomu bezpieczeństwa transferu danych poza EOG. Jest to wygodne i łatwe w stosowaniu podejście modułowe, które uwzględnia 4 możliwości transferu:

  1. Pomiędzy administratorami z czego jeden z administratorów znajduje się w państwie trzecim.
  2. Między administratorem a podmiotem przetwarzającym znajdującym się w państwie trzecim.
  3. Pomiędzy podmiotami przetwarzającymi z czego jeden z podmiotów przetwarzających znajduje się w państwie trzecim.
  4. Między podmiotem przetwarzającym a administratorem znajdującym się w państwie trzecim.

Nowe standardowe klauzule umowne pomogą zapewnić bezpieczeństwo transferu danych do państw trzecich. Jednakże dopiero z perspektywy czasu będzie można wskazać czy wprowadzone rozwiązania ułatwiły proces przekazywania danych poza EOG.

[1] Europejski Obszar Gospodarczy (EOG) – to porozumienia państw zawarte w celu utworzenia wewnętrznego rynku oraz strefy wolnego handlu. Do EOG należą kraje członkowskie Unii Europejskiej oraz Islandia, Norwegia i Liechtenstein.

[2] Privacy Shield – określała zasady transferu danych osobowych między Państwami Unii Europejskiej a Stanami Zjednoczonymi.

Sprzymierzeńcem administratora przy identyfikacji naruszeń jest CZAS

Prezes UODO nałożył kolejną karę pieniężną tym razem na Cyfrowy Polsat S.A. w wysokości 1.136.975 zł.
Jak czytamy w decyzji: Naruszenie polegało na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych we współpracy z podmiotem świadczącym usługi kurierskie przez szybką identyfikację naruszeń ochrony danych osobowych. 

Cyfrowy Polsat S.A. regularnie zgłaszał naruszenia ochrony danych osobowych klientów Spółki do organu nadzorczego. Naruszenia polegały m.in. na utracie przez kurierów dokumentów zawierających dane osobowe lub na wydaniu przez kurierów niewłaściwej osobie dokumentów zawierających dane osobowe takie jak: imię i nazwisko, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, seria i numer dowodu osobistego lub innego dokumentu tożsamości, numer telefonu oraz danych dotyczących łączących stron umów. Dodatkowo okazało się, że 60% łącznej liczby naruszeń firma kurierska wykrywała i raportowała dopiero po 60 lub więcej dniach od ich zaistnienia, natomiast w przypadku ponad 33% po ponad 90 dniach od zdarzenia. Ponad 17% ogólnej liczby naruszeń zgłoszonych w czerwca 2020 r. dotyczyło zdarzeń ze stycznia 2020 r. oraz z 2019 r.,
co oznacza, że zostały one zidentyfikowane dopiero po ponad 120 dniach. Dlaczego też  kara w takiej wysokości.

Spółka tłumaczyła się m.in. tym, że osoby, którym doręczane są dokumenty, to osoby bliskie (domownicy) osób, których dane dotyczą, co w ocenie firmy kurierskiej powoduje bardzo małe prawdopodobieństwo zmaterializowania się ewentualnego ryzyka naruszenia praw i wolności osób, których dane dotyczą. A w praktyce może okazać się, że właśnie w takich przypadkach może wystąpić wysokie ryzyko naruszenia praw i wolności. Takie przypadki wcale nie są odosobnione.

Organ nadzorczy wskazał następujące naruszenia przepisów RODO:

  1. Niewdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO.
  2. Niezawiadamiania bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu mogącym powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
  3. Nieprzekazywania informacji zgodnie z wnioskiem Prezesa UODO, przekazywanie niepełnych bądź nierzetelnych informacji, nieprzekazywanie dowodów potwierdzających składane wyjaśnienia.

Prezes UODO wskazał również w swojej decyzji, że Spółka pomimo wdrożenia Polityki oraz procedur ochrony danych osobowych związanych ze zgłaszaniem naruszeń, a także zawarcia umowy powierzenia przetwarzania danych osobowych z podmiotem przetwarzającym, nie wypracowała odpowiednich mechanizmów mających na celu kontrolę realizacji przez podmiot przetwarzający swoich zobowiązań.

Jakie wnioski płyną dla wszystkich z tej decyzji organu nadzorczego?

  • Administratorze sprawuj efektywny i realny nadzór nad działaniami podmiotów przetwarzających.
  • W razie potrzeby dokonaj weryfikacji i w miarę potrzeb aktualizacji zawartej umowy powierzenia przetwarzania danych osobnych.
  • Pamiętaj, że nie wystarczy samo zgłoszenie naruszenia do organu nadzorczego, jeżeli jego wykrycie jest opóźnione.
  • Administrator i podmiot przetwarzający mają obowiązek szybkiego identyfikowania naruszenia.

Warto w tym miejscu wspomnieć Motyw 87 RODO:

Należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą. To, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą. Takie zawiadomienie może skutkować interwencją organu nadzorczego, zgodnie z jego zadaniami i uprawnieniami określonymi w niniejszym rozporządzeniu.

Pamiętaj! Aby każde naruszenie indywidualnie rozpatrywać a metodologia ENISA jest tylko narzędziem wspomagającym przeprowadzenie oceny stopnia naruszenia ochrony danych.

Przypominamy! Odpowiedzialność zawsze ciąży na administratorze, a RODO daje ci narzędzia do tego aby weryfikować podmiot przed zawarciem umowy powierzenia a potem abyś mógł go kontrolować i wydawać instrukcje – korzystaj z tego.

Szybko reaguj! Jeżeli jako administrator widzisz pierwsze oznaki nieprzestrzegania warunków zawartej umowy powierzenia nie czekaj … działaj … czas działa albowiem na twoją niekorzyść.  

 

Prezes UODO podejmując decyzję o nałożeniu kary pieniężnej na Spółkę wziął pod uwagę następujące okoliczności:

  1. Charakter, wagę i czas trwania naruszenia – i tutaj kluczowe znaczenie miały opóźnienia w zawiadamianiu klientów Spółki o naruszeniu ochrony ich danych osobowych, gdzie czas ten w niektórych przypadkach wyniósł ponad 120 dni.
  2. Stopień odpowiedzialności Spółki jako administratora z uwzględnieniem wdrożonych środków technicznych i organizacyjnych – zarzut brak nadzoru nad podmiotem świadczącym usługi kurierskie oraz brak wdrożenia mechanizmów gwarantujących skuteczność środków mających zapewnić identyfikowanie naruszeń.
  3. Kategorie danych osobowych, których dotyczyło naruszenie – bardzo szeroki zakres danych osobowych oprócz danych indentyfikacyjno-kontaktowych m.in. numer PESEL, ID kontaktu, numer i kwota faktury VAT oraz numer konta do wpłat. Zdaniem Prezesa UODO tak szeroki zakres danych osobowych ujawniony osobom nieupoważnionym przez długi czas bez wiedzy i możliwości reakcji tych podmiotów narażał je na duże ryzyko naruszenia ich praw i wolności.

Czynnikiem łagodzącym wysokość kary był stopnień współpracy Spółki z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.

W uzupełnieniu: Operatorzy pocztowi oraz firmy kurierskie są co do zasady odrębnymi administratorami jednakże należy zauważyć, że podmiot realizujący usługę nie ma wiedzy, czy i jakie dane zawiera list lub przesyłka. W związku z tym dużo wątpliwości występuje w zakresie co do określenia: czy i w odniesieniu do jakich danych osobowych operator usług pocztowych jest administratorem i jaki podmiot ponosi odpowiedzialność za naruszenia w przypadku  ujawnienia danych zawartych w niedoręczonych lub zagubionych przesyłkach. Obowiązki administratora w rozumieniu przepisów RODO operator pocztowy oraz firma kurierska wykonuje wyłącznie w odniesieniu do takich danych, jak imiona, nazwiska i adresy osób, do których kierowana jest korespondencji. Administratorem danych osobowych zawartych w korespondencji pozostaje podmiot je wysyłający, a w omawianym przypadku Cyfrowy Polsat. Reasumując: tylko nadawca posiada wiedzę o tym, jakie dane przekazywane są w przesyłce, a tym samym może ocenić, jakim ryzykiem dla praw i wolności osoby fizycznej skutkuje utrata przesyłki, i ma tym samym możliwości wykonania obowiązku z art. 33 i 34 RODO. Firma kurierska takiej wiedzy nie posiada i posiadać nie może.

 

Źródło: https://uodo.gov.pl/pl/138/2048 oraz https://www.uodo.gov.pl/decyzje/DKN.5130.3114.2020

Pierwszy zatwierdzony kodeks postępowania RODO

Belgijski organ właściwy ds. ochrony danych osobowych poinformował o zatwierdzeniu pierwszego w Unii Europejskiej kodeksu postępowania, po uzyskaniu pozytywnej opinii ze strony Europejskiej Rady Ochrony Danych. Kodeks ten określa dobre praktyki dla dostawców usług w chmurze. Do zatwierdzonego kodeksu postępowania mogą dołączyć także podmioty, które nie podlegają pod RODO; przeznaczony jest dla organizacji będących podmiotami przetwarzającymi dane osobowe w ramach powierzenia danych.

Przyjęty kodeks postępowania – EU Data Protection Code of Conduct for Cloud Service Providers („EU Cloud CoC”) – konkretyzuje  przepisy RODO, m.in. wymogi dotyczące powierzenia przetwarzania danych osobowych (art. 28 RODO). Obejmuje różne modele świadczenia usług w chmurze (IaaS, PaaS, SaaS). Kodeks ma w zamierzeniu stanowić podstawę i wzorzec wdrożenia i stosowania RODO przez dostawców tych usług, dotyczy jednak wprost tylko tych dostawców, którzy pełnią rolę podmiotu przetwarzającego dane osobowe powierzone przez administratora. Nie ma także zastosowania dla usług B2C (business to consumer).

Niestety EU Cloud CoC nie przewiduje mechanizmu dotyczącego legalizacji transferu danych osobowych do państw trzecich, czyli ujętego w art. 46 ust. 2 lit. e) RODO jednego z odpowiednich zabezpieczeń umożliwiających transfer danych poza EOG.

Wartością dodaną zatwierdzonego kodeksu jest to, że określa wytyczne stosowania przepisów RODO oraz wyznacza wiążące wymagania dla podmiotów, które do niego przystąpią. Jako podmiot monitorujący przestrzeganie kodeksu – a więc monitorujący wszystkie podmioty, które przystąpią do kodeksu – został wybrany Scope Europe. Kodeks określa także zasady zgodności z kodeksem oraz kontroli tej zgodności, a także możliwość nakładania sankcji na członków kodeksu.

Kodeks określa m.in. sposób korzystania z kolejnych podmiotów przetwarzających, wymogi dotyczące audytów, bezpieczeństwa danych, realizacji praw podmiotów danych oraz transparentności organizacji.

Jedna z korzyści udziału organizacji w kodeksie postępowania wynika z tego, że na podst. art. 28 ust. 5 RODO stosowanie zatwierdzonego kodeksu postępowania umożliwia wykazanie, że podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Przystąpienie do zatwierdzonego kodeksu postępowania będzie dla branży usług chmurowych miernikiem profesjonalnego podejścia do kwestii związanych z ochroną danych osobowych. Niektóre duże korporacje (Microsoft) już zadeklarowały zamiar przystąpienia do kodeksu w zakresie swoich wybranych usług chmurowych. Będziemy z uwagą śledzili, czy przystąpienie do kodeksu postępowania będzie się faktycznie przekładało na wyższy poziom bezpieczeństwa i rzetelności przetwarzania danych osobowych w chmurze.

Źródło:

  1. https://www.dataprotectionauthority.be/citizen/the-be-dpa-approves-its-first-european-code-of-conduct

 

 

Uprawnienia kontrolujących z Urzędu Ochrony Danych Osobowych

Wyobraźmy sobie, że wpływa do administratora danych pismo z Urzędu Ochrony Danych Osobowych (UODO) informujące o zamiarze przeprowadzenia w określonym terminie czynności kontrolnych pod kątem ochrony danych osobowych. Bywa, że po takim piśmie albo ewentualnie telefonie w podmiocie kontrolowanym następuje panika. Gdy emocje opadną, zaczynamy się zastanawiać, czy to aby na pewno kontrolujący z UODO, jakie tak naprawdę mają uprawnienia kontrolujący z UODO?

Jak to wszystko sprawdzić ?

Kontrolujący ma obowiązek okazać administratorowi danych imienne upoważnienie nadane przez Prezesa Urzędu Ochrony Danych  wraz z aktualną legitymacją służbową.

Takie imienne upoważnienie do przeprowadzenia kontroli powinno zawierać:

  • Wskazanie podstawy prawnej przeprowadzenia kontroli.
  • Oznaczenie organu.
  • Imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej.
  • Określenie zakresu przedmiotowego kontroli.
  • Oznaczenie kontrolowanego.
  • Wskazanie daty rozpoczęcia i przewidywanego zakończenia czynności kontrolnych.
  • Podpis Prezesa Urzędu.
  • Pouczenie kontrolowanego o jego prawach i obowiązkach.
  • Datę i miejsce jego wystawienia.

Jeśli w dalszym ciągu mamy wątpliwości co do wiarygodności kontrolujących, możemy zadzwonić do UODO na nr telefonu (22) 531 04 44 lub zawiadomić organy ścigania (policja).

Co dalej z tymi kontrolującymi?

Pamiętajmy, że czynności kontrolnych dokonuje się w obecności kontrolowanego lub osoby przez niego upoważnionej. Kontrolowany jest obowiązany do pisemnego wskazania osoby upoważnionej do reprezentowania go w trakcie kontroli. Nie zostawiajmy kontrolujących samych. Zapewnijmy kontrolującemu oraz osobom upoważnionym do  kontroli warunki i środki niezbędne do sprawnego przeprowadzenia kontroli.

Jakie prawa mają osoby kontrolujące ?

Kontrolujący mają prawo:

  • Wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń (kontrolujący na szczęście to też ludzie i zarówno zaczynają, jak i kończą dzień pracy zgodnie z godzinami pracy w kontrolowanej jednostce).
  • Wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli (kontrolowany sporządza we własnym zakresie kopie i wydruki dokumentów, o jakie poproszą kontrolujący i potwierdza za zgodność z oryginałem).
  • Przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych czyli mogą oglądać pomieszczenia, gdzie są przetwarzane dane osobowe, sprawdzić czy pomieszczenia i szafy są zamykane na klucz, czy ,, czy jest system alarmowy, monitoring wizyjny, jak ustawione są komputery itp.
  • Żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego (za pracownika kontrolowanego uznaje się osobę zatrudnioną na podstawie stosunku pracy lub wykonującą pracę na podstawie umowy cywilnoprawnej).
  • Zlecać sporządzanie ekspertyz i opinii.
  • W uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz lub dźwięk. Informatyczne nośniki danych na których zarejestrowano przebieg kontroli lub poszczególne czynności w jej toku, stanowią załącznik do protokołu kontroli.

Natomiast, jeśli z jakiś powodów, znanych tylko administratorowi danych, nie będziemy chcieli rozmawiać z kontrolującymi, a nawet ich nie wpuścimy za próg, to Prezes Urzędu lub kontrolujący mogą zwrócić się do właściwego miejscowo komendanta Policji o pomoc, jeżeli będzie to niezbędne do wykonywania czynności kontrolnych.

 Jak długo mogą gościć kontrolujący u administratora danych?

Kontrola nie może trwać dłużej niż 30 dni od okazania kontrolowanemu upoważnienia i legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość (z reguły czynności kontrolne trwają 4-5 dni).

Oczywiście przebieg czynności kontrolnych kontrolujący przedstawiają w protokole kontroli, a terminem zakończenia kontroli jest dzień podpisania protokołu kontroli przez kontrolowanego albo dzień dokonania wzmianki o odmowie podpisania.

I tu wizyta, kontrolujących z UODO u administratora danych, się kończy. Organ nadzorczy (Prezes UODO) dokonuje analizy zgromadzonego materiału dowodowego.

Nadzór administratora danych nad podmiotem przetwarzającym

Sytuacja, w której podmioty gospodarcze w ramach prowadzonej przez siebie działalności, zlecają część swoich zadań podmiotom zewnętrznym jest obecnie standardem. Podmioty gospodarcze korzystają z usług podwykonawców w ramach wykonywania swojej głównej działalności czy też poszukują wsparcia firm świadczących usługi informatyczne, finansowe czy marketingowe.  Jeśli w związku ze zleceniem przez zlecającego (administratora danych) wspomnianych czynności podmiot zewnętrzny przetwarza dane osobowe w imieniu zlecającego administratora danych to mamy do czynienia z powierzeniem przetwarzania danych osobowych, które wymaga zabezpieczenia.

Weryfikacja procesora

Weryfikacja podmiotu przetwarzającego, jest obowiązkiem administratora wynikającym z art. 28 ust. 1 RODO. Administrator powinien korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą.

Podobnie motyw 81 RODO stanowi, że w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania.

Co zatem może zrobić administrator aby zrealizować powyższe wymogi RODO ?

Pierwszym sposobem weryfikacji procesora już na etapie szukania odpowiedniego kontrahenta jest stosowanie ankiety weryfikacyjnej z pytaniami dla podmiotu przetwarzającego. Taka ankieta pozwala sprawdzić spełnienie przez procesora podstawowych wymogów RODO takich jak powołanie inspektora ochrony danych czy nadawanie upoważnień do przetwarzania danych. Pozwala też na wstępne sprawdzenie czy procesor wdrożył odpowiednie środki techniczne i organizacyjne wymagane przez administratora. Ponadto ankiety, mogą zawierać pytania dotyczące stanu faktycznego w ramach którego będziemy układać naszą relację z procesorem np. kwestię ewentualnego transferu do państw trzecich czy korzystania z dalszych podmiotów przetwarzających.

Wstępną weryfikację procesora można również podzielić na kilka etapów: pierwszy etap, pozwalający uzyskać odpowiedzi na podstawowe pytania dotyczące zgodności z przepisami i poziomu stosowanych zabezpieczeń oraz drugi etap, dostosowany do konkretnego procesora, uwzględniający specyfikę zlecanych mu czynności oraz ilość, rodzaj i kategorie przetwarzanych przez niego danych osobowych.

Ankiety mogą być stosowane nie tylko na etapie wstępnej weryfikacji kontrahenta – w trakcie umów długoterminowych, mogą służyć jako element aktualizacji wiedzy na temat podmiotu przetwarzającego.

Umowa powierzenia przetwarzania danych

Kolejnym ważnym elementem który zabezpiecza interesy administratora danych w relacji z procesorem oraz stanowi element nadzoru nad nim jest umowa o powierzeniu przetwarzania.

Umowa o powierzeniu przetwarzania określa szczegóły relacji pomiędzy administratorem i podmiotem przetwarzającym. Art. 28 RODO wskazuje szereg warunków, które powinny być przedmiotem takiej umowy. Jednym z nich jest możliwość przeprowadzenia przez administratora audytu lub inspekcji podmiotu przetwarzającego.

Zgodnie z art. 28 ust. 3 lit. h RODO, podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W związku z tym, na etapie przygotowania umowy powierzenia warto zadbać aby zawierała ona postanowienia precyzujące okoliczności prowadzenia audytu przez administratora.

W szczególności możemy w niej określić:

  • Termin na poinformowanie podmiotu przetwarzającego o planowanym audycie.
  • Zasady ponoszenia kosztów przeprowadzenia audytu.
  • Warunki korzystania z usług zewnętrznych podmiotów audytujących.

Oczywiście wypracowanie końcowego brzmienia postanowień umownych dotyczących audytu będzie zależało od woli stron, ich pozycji rynkowej oraz negocjacyjnej.

Szczególną uwagę warto zwrócić na sytuacje naruszenia ochrony danych osobowych u procesora – na tę okoliczność, administrator może zastrzec w umowie specjalny tryb prowadzenia audytu np. zapewniając sobie krótszy termin na powiadomienie o audycie, konieczność niezwłocznego udostępnienia zasobów oraz dokumentacji dotyczącej naruszenia oraz możliwość kontrolowania sposobu wdrażania przez procesora zaleceń poaudytowych.

Zgodnie z zasadą rozliczalności administrator jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie – należy więc pamiętać że wszelkie formy weryfikacji procesora należy odpowiednio udokumentować poprzez przygotowanie raportu z audytu i przechowywanie ankiet weryfikacyjnych.

Przygotowanie do kontroli Urzędu Ochrony Danych Osobowych

Zgodnie z przepisami ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych[i]  i Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, (RODO) Prezes Urzędu Ochrony Danych Osobowych (UODO) przy pomocy kontrolujących przeprowadza kontrole zgodności z przepisami o ochronie danych osobowych.

Jak to się wszystko zaczyna?

Opcji jest kilka:

  1. Kontrolowany może widnieć w rocznym planie kontroli sektorowych Urzędu Ochrony Danych Osobowych udostępnianym na stronie www.uodo.gov.pl.
  2. Do Urzędu wpłynęła skarga, którą Urząd stara się wyjaśnić pisemnie w drodze postępowania administracyjnego) lub więcej skarg; zwiększona ilość skarg w jednej sprawie zwiększa prawdopodobieństwo kontroli.
  3. Zostało zgłoszone naruszenie (w zależności od ciężaru naruszenia, Urząd stara się wyjaśnić sprawę pisemnie), wystąpienie większej ilości naruszeń u tego samego podmiotu zwiększa prawdopodobieństwo kontroli.

Zanim pojawi się kontrolujący z UODO, wcześniej Urząd zawiadomi o takiej kontroli pisemnie, a możliwe, że także telefonicznie.

Wiedza co potencjalnie mogłoby być przedmiotem kontroli oraz jaki może być jej zakres, jest bardzo ważna nie tylko przy bezpośrednim przygotowaniu jednostki do kontroli, ale przede wszystkim przy osiąganiu i utrzymywaniu zgodności z RODO.

Co ma zrobić administrator danych, który będzie kontrolowany ?

Zawiadomić o kontroli Inspektora Ochrony Danych (jeśli jest wyznaczony), Koordynatora ds. ochrony danych osobowych lub osobę odpowiedzialną w organizacji za ochronę danych osobowych. Wskazane osoby będą przede wszystkim zorientowane w tematyce kontroli, będą opiekunami i przewodnikami dla kontrolujących z UODO.

Następnym krokiem jest przygotowanie:

1. Struktury organizacyjnej podmiotu kontrolowanego

2. Dokumentacji dotyczącej ochrony danych osobowych, w szczególności:

  • Polityki ochrony danych, w tym procedur zarządzania systemem informatycznym.
  • Polityki retencji danych.
  • Procedury reakcji na incydenty.
  • Procedury obsługi wniosków podmiotów danych.
  • Procedury Privacy by design i Privacy by default oraz Oceny Skutków dla Ochrony Danych (DPIA).
  • Procedury analizy ryzyka.
  • Rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania (ten drugi rodzaj rejestru jeśli firma występuje w charakterze podmiotu przetwarzającego).

3. Warto mieć przygotowane, bo o to najprawdopodobniej zapytają kontrolujący, przykładowe:

  • Upoważnienia do przetwarzania danych osobowych.
  • Oświadczenia o zachowaniu danych w tajemnicy.
  • Klauzule informacyjne np. dla kandydatów do pracy, pracowników.
  • Umowy powierzenia, w przypadku korzystania np. z usług kadrowo-księgowych firmy zewnętrznej.
  • Poświadczenia o odbytych szkoleniach z ochrony danych osobowych pracowników dopuszczonych do przetwarzania danych osobowych.

4. Trzeba również zastanowić się, kto konkretnie będzie reprezentować np. dany dział, w którym pracownicy przetwarzają dane osobowe, a co za tym idzie udzielał ustnych wyjaśnień kontrolującym, oprócz oczywiście Inspektora Ochrony Danych czy Koordynatora ds. ochrony danych.

5. Należy także pamiętać o osobie odpowiedzialnej za system informatyczny, albowiem kontrolujący również będą potrzebować informacji dotyczących np. zabezpieczeń systemów informatycznych, lokalizacji serwerów itp.

6. Trzeba przygotować pomieszczenie dla kontrolujących, w którym będą spotykać się z osobami wytypowanymi do udzielania ustnych wyjaśnień. I przede wszystkim współpracować z kontrolującymi.

Mając przygotowane wymienione powyżej dokumenty, przeszkolonych z ochrony danych osobowych pracowników, świadomość i przestrzeganie procedur, kontrola z UODO nie będzie taka straszna. Należy pamiętać, że podczas kontroli będą badane wszystkie fakty i okoliczności, które mogą mieć znaczenie dla oceny zgodności z przepisami o ochronie danych osobowych. Natomiast samej oceny zgodności Prezes UODO dokona już po zakończeniu czynności kontrolnych – na podstawie zebranych informacji i materiałów.

[i] Dz. U. z 2018 r. poz. 1000 ze zm.

Webinar: Jak analizować zabezpieczenia, aby uniknąć ryzyka kar z art. 32 RODO?

Coraz częściej pojawiają się informacje o włamaniach do systemów informatycznych oraz związanych z nimi karach nakładanych przez Prezesa UODO. W odpowiedzi na zaistniałe działania, przygotowaliśmy spotkanie z naszymi ekspertami, którzy omówią zagadnienie stosowania odpowiednich środków technicznych i organizacyjnych,  w celu zapewnienia należytego bezpieczeństwa przetwarzania danych osobowych.

Agenda spotkania:

  • Case study: Konsekwencje braku monitorowania i testów zabezpieczeń IT (art. 32 RODO) – omówienie decyzji organów ochrony danych osobowych.
  • Dobre praktyki vs. przepisy (nie tylko RODO). Dlaczego UODO wymaga rzetelnej analizy zabezpieczeń?
  • Jak zgodnie z nowymi zaleceniami skutecznie monitorować zgodność z RODO i bezpieczeństwo danych?
  • Sesja Q&A.

Korzyści z udziału w spotkaniu:

  • Zapoznanie się z ostatnimi decyzjami Prezesa UODO, dotyczącymi stosowania zabezpieczeń danych osobowych.
  • Poznanie rekomendowanych działań, w celu zapewnienia zgodności z art. 32 RODO.
  • Podniesienie własnej wiedzy z zakresu bezpieczeństwa informacji.
  • Możliwość konsultacji z ekspertem z obszaru bezpieczeństwa IT.
  • 2 tygodniowy dostęp do szkolenia e-learningowego „Cyberbezpieczeństwo”.

Termin spotkania: 8 kwietnia 2021 r.

Godzina 10:00 – 11:30

Miejsce: Platforma Clickmeeting

Udział w spotkaniu jest bezpłatny.
>>Zarejestruj się <<

Zapraszamy!

KE coraz bliżej wydania decyzji stwierdzającej odpowiedni poziom ochrony danych osobowych dla Wielkiej Brytanii

Brexit a dane osobowe

W momencie wystąpienia z Unii Europejskiej (dalej: UE) Wielka Brytania stała się „państwem trzecim” i od tego dnia zastosowanie mają przepisy UE dotyczące przekazywania danych osobowych do państw trzecich. Na mocy umowy między UE a Wielką Brytanią, pod pewnymi warunkami, przez kilka najbliższych miesięcy transfer danych do Zjednoczonego Królestwa nie będzie jednak uznawany za przekazywanie danych do państwa trzeciego.

Zgodnie z komunikatami, swobodny przepływ danych między Europejskim Obszarem Gospodarczym (dalej: EOG) a Zjednoczonym Królestwem zostanie utrzymany maksymalnie do 1 lipca 2021 r. (pisaliśmy o tym w podsumowaniu roku 2020) jednak Komisja Europejska (dalej: KE, Komisja) w Deklaracji dotyczącej przyjęcia decyzji w sprawie odpowiedniego poziomu ochrony w odniesieniu do Zjednoczonego Królestwa zapowiedziała chęć szybkiego rozpoczęcia formalnej procedury w tym zakresie i 19 lutego br., dokładnie w rok po opublikowaniu „Europejskiej strategii w zakresie danych” podjęła istotny krok w tym kierunku.

W ciągu ostatnich miesięcy Komisja dokonała dokładnej oceny prawa i praktyki Zjednoczonego Królestwa w zakresie ochrony danych osobowych, w tym zasad dostępu organów publicznych do danych. Komisja doszła do wniosku, że Wielka Brytania zapewnia poziom ochrony zasadniczo równoważny z poziomem gwarantowanym na mocy ogólnego rozporządzenia o ochronie danych (RODO) oraz, po raz pierwszy, na mocy tzw. dyrektywy policyjnej (ang. LED), która ma zastosowanie do przetwarzania danych przez właściwe organy w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Brytyjska Komisarz ds. informacji, Elizabeth Denham, wskazała:

Projekty decyzji w sprawie odpowiedniego poziomu ochrony są ważnym kamieniem milowym w zabezpieczeniu dalszego bezproblemowego przekazywania danych z UE do Zjednoczonego Królestwa. (…) ogłoszenie przybliża nas o krok do uzyskania jasnego obrazu sytuacji dla organizacji przetwarzających dane osobowe z UE i z zadowoleniem przyjmuję poczynione postępy.

Dane = pieniądze

Entuzjastycznie przyjęcie informacji o podjęciu prac nad przyjęciem decyzji w sprawie adekwatnego poziomu ochrony nie powinno dziwić. Na przetwarzaniu danych już dzisiaj opiera się bardzo duża część unijnej gospodarki. Komisja Europejska prognozuje, że w 2025 roku:

530 % 829 mld euro 10,9 mln 65 %
O tyle wzrośnie ogólna ilość danych — z 33 zettabajtów (zettabajt = 10 21 bajtów) w 2018 r. do 175 zettabajtów Taką wartość osiągnie gospodarka danych w UE-27 — wzrost z 301 mld euro (2,4 proc. PKB w UE) w 2018 r. Liczba specjalistów ds. danych w UE-27wzrost z 5,7 mln w    2018 r. Taki odsetek mieszkańców UE nabędzie podstawowe umiejętności cyfrowe — wzrost z 57 proc. w 2018 r.

Źródło: https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_pl

Dlaczego decyzja Komisji jest istotna

Artykuł 45 ust. 3 RODO i art. 36 ust. 3 tzw. dyrektywy policyjnej przyznają Komisji uprawnienia do podjęcia decyzji, w drodze aktu wykonawczego, stwierdzającej że państwo spoza UE zapewnia „odpowiedni poziom ochrony”, tj. poziom ochrony danych osobowych, który jest zasadniczo równoważny z poziomem ochrony w UE. Jeżeli państwo spoza UE zostało uznane za „odpowiednie”, przekazywanie danych osobowych z UE do tego państwa może odbywać się bez konieczności spełnienia jakichkolwiek dalszych warunków. W szczególności administratorzy nie muszą stosować odpowiednich zabezpieczeń, o których mowa w art. 46 RODO na przykład wiążących reguł korporacyjnych czy standardowych klauzul umownych (ang. SCC). Stosowanie tych zabezpieczeń wpływa obecnie na koszty, które ponoszą administratorzy danych, a co za tym idzie, na decyzję czy transferować dane do Wielkiej Brytanii czy zdecydować się np. na przekazanie danych do innego państwa pozostającego w ramach struktur EOG.

Kolejne kroki

Omawiane projekty decyzji stwierdzających odpowiedni poziom ochrony dotyczą przepływu danych z UE do Wielkiej Brytanii. Przepływ danych w drugim kierunku – ze Zjednoczonego Królestwa do UE – regulują przepisy brytyjskie, które mają zastosowanie od dnia 1 stycznia 2021 r. Zjednoczone Królestwo uznało, że UE zapewnia odpowiedni poziom ochrony i dlatego dane mogą swobodnie przepływać ze Zjednoczonego Królestwa do UE.

Przyjęcie, że stopień ochrony danych osobowych w Wielkiej Brytanii jest adekwatny do poziomu w UE jest o tyle łatwiejsze do osiągnięcia w porównaniu do krajów spoza Unii, że prawo UE kształtowało brytyjski system ochrony danych przez dziesięciolecia. Jednocześnie z punktu widzenia administratorów danych istotne jest, aby ustalenia dotyczące adekwatności przetrwały próbę czasu ponieważ Wielka Brytania nie będzie już związana unijnymi przepisami dotyczącymi prywatności. Dlatego też po przyjęciu tych projektów decyzji obowiązywałyby one przez pierwszy okres czterech lat. Po upływie tych czterech lat możliwe będzie odnowienie ustaleń dotyczących odpowiedniego poziomu ochrony, jeżeli poziom ochrony w Zjednoczonym Królestwie będzie nadal odpowiedni.

Po uwzględnieniu opinii Europejskiej Rady Ochrony Danych Komisja zwróci się do przedstawicieli państw członkowskich o zielone światło w ramach tzw. procedury komitetowej. Następnie Komisja Europejska może przyjąć ostateczne decyzje dotyczące adekwatności w odniesieniu do Zjednoczonego Królestwa.

Źródła:

https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_pl

https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:22020A1231(01)&from=EN

https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32016R0679

https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016L0680&from=EN