Wiele zmieni się w rzeczywistości związanej z przetwarzaniem danych osobowych z uwagi na zdaje się powszechnie już znany fakt rozpoczęcia obowiązywania nowych przepisów w tym zakresie, tj. tak zwanego RODO.
Każdy podmiot ma teraz czas na przygotowanie się do nowej rzeczywistości, a działań, które mają właśnie to na celu, nie warto odkładać na ostatnią chwilę, zwłaszcza w tak dużych podmiotach gospodarczych jak banki.
Cały proces związany z przystosowywaniem funkcjonowania do nowych zasad nie będzie zadaniem, które można wykonać w jeden dzień lub choćby tydzień. Warto przeznaczyć na te czynności co najmniej 6 miesięcy, a w wielu szczególnie dużych podmiotach przygotowania potrwają znacznie dłużej 12 miesięcy i więcej.
Lepiej będzie wyznaczyć sobie ten termin wcześniej, co pozwoli uniknąć udziału w powszechnej panice, jakiej należy się spodziewać tuż przed 25 maja 2018 r.
Autorka
Adw. Aleksandra Piotrowska jest autorką rozdziału Ochrona danych osobowych w bankach. w książce pt: Ochrona danych osobowych i informacji niejawnych z uwzględnieniem ogólnego rozporządzenia unijnego"
O jakie zmiany chodzi
RODO, a więc rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych […] nakłada wiele, różnego rodzaju obowiązków na podmioty, które podczas prowadzenia działalności przetwarzają dane osobowe.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Nie świadczą chociażby usług społeczeństwa informacyjnego skierowanych do dzieci, a więc w praktyce unikną na przykład konieczności spełnienia wymagań związanych z przetwarzaniem danych dzieci poniżej 16 roku życia.
Niemniej jednak warto już dziś wdrożyć plan, który pozwoli na podejmowanie działań w sposób przemyślany i kolejno, a nie chaotycznie, a więc bez planu i w sposób nieuporządkowany.
Możesz powołać zespół, który wdroży zmiany
Warto rozważyć powołanie wewnętrznego zespołu wdrożeniowego. W jego skład powinni wejść przedstawiciele wszystkich działów, które mają do czynienia z danymi osobowymi oraz przedstawiciel działu IT.
Warto jednak zaznaczyć, że aby działania takiego zespołu rzeczywiście mogły przynieść wymierne skutki, przedstawicielami w takim zespole powinny być osoby ze szczebla kierowniczego lub wyższego. Tylko w takim wypadku podejmowane decyzje będą miały przełożenie na rzeczywistość.
Oczywiste jest, że w skład zespołu musi wchodzić wyznaczony administrator bezpieczeństwa informacji. To on bowiem dotychczas zajmował się w podmiocie ochroną danych, dysponuje odpowiednią wiedzą z tego zakresu, dobrze zna organizację. Trudno sobie wyobrazić, aby w zespole tej właśnie osoby mogło zabraknąć.
Przeanalizuj, jakie zasoby posiadasz
Przygotowania warto rozpocząć od przeprowadzenia analizy posiadanych zasobów. Analiza ta to nic innego, jak wewnętrzny audyt, który pozwoli dokładnie zweryfikować, jakie dane są w naszym posiadaniu i w jakich celach są wykorzystywane.
Pozwoli on także ustalić, czy mamy podstawę prawną do przetwarzania danych osobowych, czy w naszych zasobach nie ma danych zapomnianych lub nieadekwatnych do potrzeb.
Uwaga
Taki audyt dobrze jest przeprowadzić z pomocą wspomnianego wcześniej wewnętrznego zespołu wdrożeniowego, w skład którego wejdą przedstawiciele wszystkich działów mających związek z przetwarzaniem danych osobowych.
Podczas takich spotkań audytowych przedstawiciele każdego z działów byliby zobowiązani ustalić, jakie dane w jakich procesach są przetwarzane, czy są jakieś zbiory danych „zapomniane”, z których nikt nie korzysta, lecz zalegają one w systemach lub archiwach i najprawdopodobniej nie ma podstawy prawnej uzasadniającej ich przetwarzanie.
Przygotuj listę kontrolną
Dobrą praktyką, po przeprowadzeniu analizy, jest przygotowanie listy kontrolnej, na której umieszczone zostaną wszystkie czynności, jakie należy podjąć, w uprzednio przemyślanej kolejności.
Taka lista zadań będzie obejmowała już tylko to, co dotyczy naszego podmiotu gospodarczego bezpośrednio i uwzględniała tylko te elementy, które w naszym podmiocie muszą zostać zmienione lub dodane z pominięciem tych zagadnień, które danej jednostki bezpośrednio nie dotyczą.
Powołaj inspektora ochrony danych osobowych
Aktualnie nie ma obowiązku powołania administratora bezpieczeństwa informacji. Administrator sam może wykonywać te czynności. Pod rządami nowych przepisów pojawi się natomiast inspektor ochrony danych i niektóre podmioty będą miały nie prawo, a obowiązek jego powołania.
Należy rozważyć, czy taki obowiązek będą miały banki. Jedną z podstaw obowiązkowego powołania inspektora ochrony danych (dalej „IOD”) jest sytuacja, w której główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na duża skalę.
Nie ulega wątpliwości, że banki podczas wykonywania czynności zasadniczych, a więc czynności bankowych w rozumieniu ustawy Prawo bankowe, co stanowi główną działalność banków, dokonują operacji przetwarzania, które ze względu na zakres, cele oraz charakter wymagają systematycznego monitorowania.
Co więcej, w przypadku operacji bankowych konieczność regularnego i systematycznego monitorowania wynika także z obowiązujących banki przepisów prawa.
Uwaga
Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu zobowiązuje bank do rejestrowania określonych w przepisach transakcji, a żeby tę czynność należycie wykonywać konieczne jest jej stałe monitorowanie, w tym monitorowanie osoby, które ich dokonują.
Przepisy rodo przewidują, że obligatoryjne powołanie IOD może być wymagane przepisami prawa państwa członkowskiego. W moim przekonaniu, banki powinny zostać uwzględnione na ustawowej liście, którą powinna zawierać nowa ustawa regulująca kwestie ochrony danych osobowych, co stanowi postulat de lege ferenda.
Rozwiązanie takie pozwoliłoby uniknąć ewentualnych wątpliwości interpretacyjnych wyżej omówionego zapisu. Banki, bez wątpliwości, powinny podlegać obowiązkowi powołania IOD.
Przede wszystkim dlatego, że posiadają wiele danych, a zakres ich funkcjonowania jest szeroki. Jest tak również dlatego, że podmioty te są szczególnie narażone na incydenty ochrony danych, na które przede wszystkim banki nie mogą sobie pozwolić. Istotne jest również to, że banki należą do podmiotów zaufania publicznego.
Należy też zwrócić uwagę na możliwość powołania jednego inspektora ochrony danych dla grupy przedsiębiorstw, z której zdaje się banki nie powinny korzystać. Stanowisko to nie wynika z zakazów ustawowych, a raczej z wiedzy praktycznej.
Banki są podmiotami o krajowym zasięgu, co samo w sobie będzie nastręczało potencjalnemu IOD trudności ze spełnieniem wszelkich obowiązków i sprawowaniem realnego nadzoru nad właściwym i zgodnym z prawem przetwarzaniem danych osobowych. Trudno więc wyobrazić sobie, aby funkcję tę mógł sprawować jeden IOD dla grupy przedsiębiorstw, nawet jeżeli w skład tejże grupy miałyby wchodzić jedynie dwa podmioty o takim zasięgu i skomplikowanej strukturze, jak bankowa.
Prowadź rejestr czynności przetwarzania
Jednym z obowiązków, jaki wprowadza rodo, jest wdrożenie rejestru czynności przetwarzaniazamiast obecnie obowiązującego obowiązku rejestracji zbiorów danych osobowych. Obowiązek rejestrowania posiadanych zbiorów w praktyce był uciążliwy.
Formularz, który trzeba uzupełnić, aby wypełnić ten obowiązek był długi i niejasny dla osób, które nigdy się tym zagadnienie nie zajmowały i nie mają ponadstandardowej wiedzy prawniczej.
Dodatkowo, obowiązek aktualizacji danych, których ciążył na administratorze, związany był z ponownym wypełnieniem całego formularza. Na mocy nowych przepisów obowiązek ten przestaje obowiązywać.
Rejestr czynności przetwarzania jest rozwiązaniem łatwiejszym do wdrożenia i bardziej praktycznym także dlatego, że łatwiej będzie wprowadzać do jego treści wszelkie aktualizacje.
Ważne
Istota rejestru czynności przetwarzania zbliżona jest nieco w swojej idei do rejestru zbiorów danych osobowych prowadzonego przez administratora bezpieczeństwa informacji. Rozporządzenie wskazuje także okoliczności, w których prowadzenie rejestru czynności przetwarzania nie będzie obowiązkowe, lecz trudno sobie wyobrazić, aby banki spełniły choć jeden z warunków umożliwiających skorzystanie z wyłączeń.
Sprawdź, czy prawidłowo gromadzisz zgody
W następnej kolejności warto ustalić, czy w przypadku, gdy przetwarzanie odbywa się na podstawie zgody spełnione są warunki jej gromadzenia. Chodzi o to, czy bank będzie w stanie wykazać, że osoba, której dane dotyczą, zgodę rzeczywiście wyraziła. Dodatkowo, zgodnie z przepisami rodo administrator musi mieć dowód wyrażenia zgody. Zapis ten nie odbiega jednak znacząco od aktualnej praktyki.
Zgodnie z obowiązującymi przepisami dane mogą być przetwarzane na podstawie zgody, przy czym w razie sporu, to podmiot z niej korzystający będzie musiał wykazać, broniąc swojego stanowiska, że zgoda została wyrażona. W konsekwencji sprowadza się to do tego, że choć aktualnie obowiązująca ustawa dowodu na jej wyrażenie nie wymaga, administratorzy musza je gromadzić na ewentualność sporu. Co więcej przed zebraniem zgody administrator będzie musiał poinformować osobę o prawie do jej cofnięcia w każdym czasie. Informacja taka musi zostać podana przed jej wyrażeniem.
Uwaga
Zgody wyrażone przed wejściem w życie przepisów rodo pozostają aktualne, jeżeli spełnione będą wskazane w rodo warunki ich wyrażenia. Warto więc już dziś wprowadzić odpowiednie zmiany, aby w późniejszym czasie móc z wyrażonych wcześniej zgód korzystać.
Spełnij obowiązek informacyjny
Należy zweryfikować również obowiązek informacyjny. Informacje przekazywane w jego treści aktualnie są zdecydowanie bardziej ograniczone w stosunku do tego, co będzie trzeba zawrzeć w jego treści po rozpoczęciu obowiązywania nowych przepisów. Już teraz można sformułować obowiązek informacyjny w taki sposób, aby spełnione były wymagania zawarte w rodo. Przed samym rozpoczęciem obowiązywania nowych przepisów warto jedynie zweryfikować, czy rzeczywiście udało nam się wprowadzić wszędzie obowiązek informacyjny w nowej wersji.
Ważne
Nowy obowiązek informacyjny można uwzględnić już teraz w aktualnie obowiązujących politykach prywatności.
Oszacuj ryzyko
DPIA i analiza ryzyka.
Jak to zrobić?
Co ze zautomatyzowanym przetwarzaniem w tym profilowaniem
Przepisy rodo regulują zagadnienie zautomatyzowanego przetwarzania, w tym profilowania. Korzystają z niego również banki, a więc także będą musiały się zmierzyć z wyzwaniem dopasowania swoich działań do wymagań nowych przepisów w tym zakresie. Dotychczas profilowanie nie było regulowane. Ustawa o ochronie danych osobowych w art. 26 a wskazuje jedynie, że niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym.
Ważne
Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 24 listopada 2011 r. orzekł, że: „Skoro decyzja o odmowie pożyczki w związku z negatywną oceną scoringową jest podejmowana automatycznie przez system informatyczny, to w świetle postanowień art. 26 a […] takie postępowanie jest niedopuszczalne.” (II SA/Wa 1335/05). Niedopuszczalne jest więc podejmowanie decyzji jedynie na podstawie automatycznego profilowania.
Nowe przepisy wskazują, że osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu w tym profilowaniu i wywołuje wobec niej skutki prawne lub istotnie na nią wpływa. Wydaje się więc, że przepis ten jest bardziej liberalny niż dotychczas obowiązujący, który kategorycznie zabrania podejmowania ostatecznych rozstrzygnięć na tej podstawie z uwzględnieniem wyjątków od zakazu. Profilowanie aktualnie jest codziennością. Choć nie ma wątpliwości, że profilowanie będzie dopuszczane w świetle nowych zasad, to jednocześnie te nowe przepisy będą gwarantowały nam możliwość „kontaktu z człowiekiem”, aby decyzje nas dotyczące nie były jedynie podejmowane przez maszyny. Profilowanie będzie objęte obowiązkiem informacyjnym.
Przyjmij wewnętrzne polityki
Ogólne rozporządzenie odchodzi od obowiązku posiadania skonkretyzowanej dokumentacji ochrony danych osobowych. Niemniej jednak w preambule rodo rekomendowane jest przyjęcie wewnętrznych polityk. Ustawodawca nie sprecyzował elementów składowych takich dokumentów. Niemniej jednak zasadne byłoby ich wprowadzenie w banku. Zdaje się, że dokumenty te powinny obejmować chociażby podstawowe kwestie, jak nadawanie uprawnień czy zgłaszanie i reagowanie na incydenty. Nic też nie stoi na przeszkodzie, aby zaczerpnąć w tym zakresie z dokumentacji, która aktualnie obowiązuje u administratora.
Podsumowanie
Omówione zagadnienia są jedynie kroplą w morzu zmian niezbędnych do wdrożenia. Wiele przepisów już budzi wątpliwości interpretacyjne i pozostawia pole do interpretacji. Dlatego też powołanie zespołu wdrożeniowego wydaje się być jedynym słusznym rozwiązaniem przy podmiotach gospodarczych o tak rozległej strukturze, jak banki. Pozwoli ono na to, aby żaden istotny element nie umknął uwadze. Jeśli natomiast ogrom zadań i zmian budzi przerażenie, warto rozważyć zaproszenie do zespołu osoby, która posiada odpowiednią wiedzę z przedmiotowego zakresu, ochroną danych osobowych zajmuje się profesjonalnie i pomoże w należytym przeanalizowaniu zasobów i wprowadzeniu odpowiednich zmian.