Migoczące wystawy sklepowe i przesłodzone reklamy telewizyjne przypominają nam o zbliżających się bożonarodzeniowych obowiązkach. I choć jedni lubią je bardziej, inni mniej, każdy z nas na swój sposób doświadczy magii świąt. Bo rodzina, bo zwyczaj, bo tradycja, bo tak trzeba… i tak też jest z ochroną danych osobowych.
Możemy rzucać się i rozdzierać szaty niczym Rejtan, mówiąc, że to niewydarzone pomysły Unii Europejskiej, ale nie zmienia to stanu faktycznego – przepisy obowiązują, trzeba je znać i stosować albo zadbać o to, aby inni wykonali to, do czego jesteśmy zobowiązani, a nie mamy ochoty się tym zajmować.
Niezależnie od tego, które rozwiązanie wybierzemy, warto znać podstawy, na których opiera się ochrona danych osobowych. Nie po to, aby zabłysnąć w towarzystwie, bo – znając naturę Polaków – prędzej zdobylibyśmy poklask narzekając na RODO, a nie wykazując się jakąkolwiek wiedzą w tym zakresie. Naruszenia z obszaru bezpieczeństwa informacji mogą jednak skutkować wysokimi karami finansowymi, a po co tracić pieniądze z powodu czegoś tak niedorzecznego? Lepiej je zainwestować w rozwój firmy. Mając na uwadze powyższe, pozwolę sobie przybliżyć jedno z podstawowych zagadnień – udostępnienie a powierzenie danych osobowych.
Przybieżeli urzędnicy
Od czasu do czasu każdemu małemu i średniemu operatorowi telekomunikacyjnemu wpadnie do rąk pismo z sądu, policji, prokuratury, a może nawet i od komornika. Co wtedy? W takim przypadku mamy do czynienia z udostępnieniem danych osobowych.
W praktyce oznacza to, że trzeba zweryfikować wniosek, sprawdzić podstawę prawną uprawniającą wnioskodawcę do żądanego zakresu danych, uznać wniosek za zasadny i udostępnić dane albo odrzucić wniosek i wystosować pismo odmowne. Czy zrobimy to osobiście, czy zrobi to oddelegowany pracownik albo wyznaczony inspektor ochrony danych jest sprawą drugorzędną (choć może jak będziecie tracić czas, wertując przepisy, uznacie inaczej). Ważne, żeby mieć pewność, że wnioskodawca jest podmiotem uprawnionym i możemy udostępnić mu żądane dane osobowe na wniosek.
Po co? W takim przypadku mamy relacje dwóch współadministratorów (administrator to podmiot, który decyduje o celach i środkach) i każdy z nich wykorzystuje dane osobowe do realizacji swoich obowiązków prawnych. Wnioskodawca zatem potrzebuje informacji, którymi dysponujemy, aby wykorzystać je do realizacji swoich zadań, celów itp. Każdy z administratorów odpowiada osobiście za poprawność przetwarzania danych. Każdy z nich odpowiada osobiście przed organem nadzorczym, jak i przed właścicielami danych. Możliwe ryzyka to w przypadku nieuzasadnionego nieudzielenie odpowiedzi organowi – oskarżenie o utrudnianie postępowania, postępowanie kontrolne, kary finansowe, natomiast w przypadku nieuprawnionego udostępnienia danych – naruszenie ochrony danych osobowych, skarga właściciela danych, postępowanie kontrolne, kara finansowa, postępowanie cywilne, nie wspominając o negatywnych opiniach i utracie zaufania wśród klientów, o co zapewne poszkodowany/a się postara.
Pracownicy przetwarzają
Jak zostało wspomniane powyżej, jako przedsiębiorcy możemy pewne obowiązki wykonywać osobiście bądź też oddelegować na swoich pracowników, inne natomiast przekazać do realizacji firmie zewnętrznej. Jeśli łączy się to z przetwarzaniem danych osobowych, jesteśmy zobowiązani do podpisania umowy powierzenia przetwarzania danych osobowych, a wspomniana firma zewnętrzna staje się naszym podmiotem przetwarzającym.
Co dalej w takim przypadku? Nie jest to jednorazowy wniosek, który jest naszym problemem na chwilę, tylko relacja na rok, dwa, a może i dłużej. Tutaj w sukurs przychodzi nam art. 28 RODO, w którym czytamy, że jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Co to oznacza? Przykładowo, obok umowy dot. świadczenia usług kadrowych, musicie podpisać umowę powierzenia przetwarzania danych, w której ustalicie relację pomiędzy Wami jako administratorem, na którym cały czas spoczywa odpowiedzialność za dane a podmiotem przetwarzającym, który przetwarza dane osobowe na Wasze polecenie i przed Wami odpowiada.
Umowa powierzenia przetwarzania danych powinna zawierać: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Wśród obowiązków, z których powinniście rozliczyć procesora są: niekorzystanie z podwykonawców i nieprzetwarzanie danych poza Europejskim Obszarem Gospodarczym, chyba że o tym wiecie i wyraziliście na to zgodę, zapewnienie, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy, podejmowanie wszelkich środków i obowiązków wymaganych na mocy art. 32-36 RODO, pomoc administratorowi w odpowiedzi na realizację praw właścicieli danych, umożliwienie administratorowi/audytorowi przeprowadzenie kontroli.
MiŚOT-y powierzają
W którym momencie mali i średni operatorzy telekomunikacyjni mogą mieć styczność z powierzeniem danych? Wszędzie tam, gdzie Wasze zadania realizuje firma zewnętrzna, a realizacja zadania łączy się z przetwarzaniem danych osobowych. Będą to firmy świadczące usługi BHP, ODO, obsługę kadrową, księgową, szkoleniową, obsługę biura i inne.
W praktyce trzeba by zrobić rejestr podpisanych umów i przeanalizować poszczególne pozycje pod kątem powierzenia danych osobowych. Jeśli nasza analiza lub osób do tego wykwalifikowanych – to już osobista decyzja każdego przedsiębiorcy – wykaże, że mamy do czynienia z powierzeniem danych, należy niezwłocznie zredagować, przygotować i podpisać umowy powierzenia przetwarzania danych.
Dla porządku, zarówno w przypadku udostępnienia, jak i powierzenia warto prowadzić rejestry – odpowiednio rejestr udostępnień, jak i rejestr powierzeń. Analizując powyższe, trzeba byłoby dodać, że na tym podobieństwo się kończy – udostępnienie jest bowiem realizowane na wniosek pomiędzy dwoma administratorami, z których każdy odpowiada za siebie, a powierzenie to przypadek outsourcingu usług, zatem moje zadanie realizuje podmiot ode mnie zależny, ale ja wciąż prawnie odpowiadam za jego realizację, choć mogę zabezpieczyć się odpowiednimi paragrafami dot. poufności i odpowiedzialności odszkodowawczej w umowach.
Święta, święta i po świętach…
Nawet się nie obejrzymy, jak będziemy używać czasu przeszłego w stosunku do zbliżających się Świąt Bożego Narodzenia. W stosunku do ochrony danych osobowych nic nie zapowiada takiego scenariusza, dlatego poznanie podstaw i możliwych zagrożeń wydaje się uzasadnione. Wszystko niesie bowiem z sobą ryzyka, nawet Święta – zagrożenie wiatrem hulającym w portfelu, przejedzeniem i wielogodzinnym siedzeniem, stresem pourazowym w przypadku rodzinnych wizyt, czy też wysokim ciśnieniem związanym z programem telewizyjnym. Ale nawet wtedy możemy utrwalić sobie to, co próbowaliśmy zgłębić powyżej – odwołując się do dręczącego, kiepskiego i taniego Mistrza Serc i Hartu Ducha Polaków – Sienkiewicza, czy też Hoffmana, którego ekranizacje Sienkiewiczowskiej Trylogii są powtarzane co święta.
Udostępnienie to relacja Bohun – Kniahini Kurcewiczowa – Skrzetuski. Obaj panowie zawnioskowali do Kniahini o Helenę. Każdy z nich chciał zrealizować swoje cele, żądając ręki dziewczyny, którą dysponowała kobieta. Ale i ona miała swoje cele i środki jako opiekunka Heleny. Każdy jednak działa na swój rachunek i za te rachunki płaci. Natomiast powierzenie to relacja Skrzetuski – Jan Onufry Zagłoba – Helena. Zagłoba wykonuje usługę dla Skrzetuskiego, opiekując się Heleną i pomagając jej uciec od oprawców. Wszystko po to, aby młodzi mogli być razem i choć może nie do końca Skrzetuski mu to zlecił, to jednakże mamy tutaj swoisty siedemnastowieczny outsourcing. I w takim kontekście oręża polskiego przypomnijmy, że MiŚOT SA już dawno podjęła temat bezpieczeństwa i za pośrednictwem spółki Projekt MdS służy wsparciem w tym zakresie.
