Łukasz Kulicki
RADCA PRAWNY | PARTNER
Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.
Opublikowano:
Naruszenie praw i wolności w kontekście ochrony danych osobowych to jedno z kluczowych pojęć w RODO. Od właściwej oceny poziomu tego ryzyka zależy szereg obowiązków administratora danych – od wdrożenia odpowiednich zabezpieczeń, przez przeprowadzenie analizy skutków przetwarzania, aż po konieczność zgłoszenia naruszenia organom nadzorczym i osobom poszkodowanym. W tym artykule przyjrzymy się, jak RODO definiuje te naruszenia i jakie konkretne działania musi podjąć administrator w zależności od poziomu ryzyka.
Naruszenie praw i wolności – co to?
Przetwarzanie danych osobowych wiąże się z różnymi poziomami ryzyka dla praw i wolności osób, których te dane dotyczą. Zagrożenia te mogą przybierać różne formy i prowadzić do konkretnych szkód – zarówno materialnych, jak i niematerialnych.
Szczególnie niebezpieczne sytuacje to przede wszystkim:
- Możliwość wykorzystania danych do dyskryminacji danej osoby
- Ryzyko kradzieży tożsamości lub oszustw
- Potencjalne straty finansowe
- Zagrożenie dla reputacji osoby
- Wyciek informacji objętych tajemnicą zawodową
- Utrata kontroli nad swoimi danymi osobowymi
Poziom ryzyka znacząco wzrasta, gdy przetwarzane są dane szczególnych kategorii, takie jak:
- Informacje o pochodzeniu etnicznym
- Poglądy polityczne i przekonania
- Przynależność do związków zawodowych
- Dane zdrowotne
- Informacje o życiu seksualnym
- Dane o wyrokach karnych
Dodatkową ostrożność należy zachować w przypadku:
- Profilowania osób (np. ocena ich sytuacji finansowej, zdrowotnej, preferencji czy zachowań)
- Przetwarzania danych osób szczególnie wrażliwych, zwłaszcza dzieci
- Operacji na dużych zbiorach danych, które dotyczą znacznej liczby osób
W każdym z tych przypadków skutki niewłaściwego przetwarzania danych mogą być szczególnie dotkliwe dla osób, których te dane dotyczą i wiążą się z ryzykiem naruszenia praw i wolności.
Sprawdź również: Wdrożenie RODO w firmie krok po kroku – od czego zacząć?
Wdrożenie środków technicznych i organizacyjnych
Od ryzyka naruszenia lub wysokiego ryzyka naruszenia praw i wolności osoby, której dane dotyczą RODO uzależnia kilka rzeczy. Jedną z najważniejszych jest konieczność wdrożenia odpowiednich środków technicznych i organizacyjnych. Art. 24 RODO stanowi, że:
- Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
- Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
RODO nie wskazuje jakie dokładnie środki dany podmiot ma wdrożyć. Ocena ryzyka zostaje w tym zakresie pozostawiona danej organizacji.Administratorzy danych nie są pozostawieni sami sobie w kwestii wdrażania odpowiednich środków ochrony danych osobowych. Istnieje kilka wiarygodnych źródeł, z których mogą czerpać wiedzę i wskazówki dotyczące prawidłowego zabezpieczenia danych oraz wykazania zgodności z przepisami. Te praktyczne wskazówki mogą dotyczyć różnych aspektów, takich jak metody identyfikacji potencjalnych zagrożeń, sposoby oceny ryzyka (jego źródeł, charakteru i prawdopodobieństwa wystąpienia) i rekomendowane rozwiązania minimalizujące zidentyfikowane ryzyka
Informacje te mogą być przekazywane poprzez:
- Zatwierdzone kodeksy postępowania dla poszczególnych branż
- Certyfikaty potwierdzające zgodność z wymogami RODO
- Oficjalne wytyczne wydawane przez Europejską Radę Ochrony Danych
- Zalecenia inspektorów ochrony danych
Co ważne, Europejska Rada Ochrony Danych może także wskazywać, które operacje przetwarzania danych nie niosą ze sobą wysokiego ryzyka, oraz jakie podstawowe środki bezpieczeństwa są wystarczające w takich przypadkach.
Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?
Ocena skutków dla ochrony danych
Kolejną sytuacją, w której znaczenie ma ryzyko wysokiego ryzyka naruszenia praw lub wolności osób fizycznych opisana została w art. 35 RODO.
W przypadku, gdy planowane działania związane z przetwarzaniem danych osobowych mogą stwarzać poważne zagrożenia dla praw i wolności osób fizycznych, RODO nakłada na administratora danych osobowych konkretny obowiązek. Musi on przeprowadzić szczegółową ocenę skutków ochrony danych (DPIA – Data Protection Impact Assessment). Taka ocena powinna skupiać się na kilku kluczowych elementach:
- Zidentyfikowaniu źródeł potencjalnego ryzyka,
- Określeniu charakteru zagrożeń,
- Przeanalizowaniu specyfiki ryzyka,
- Oszacowaniu jego powagi.
Na podstawie wyników tej analizy administrator powinien zaplanować i wdrożyć odpowiednie środki bezpieczeństwa, które zapewnią zgodność przetwarzania z wymogami RODO. Jest jednak szczególny przypadek – jeśli przeprowadzona ocena wykaże występowanie wysokiego ryzyka, a administrator stwierdzi, że nie jest w stanie go skutecznie zminimalizować (biorąc pod uwagę dostępne technologie i koszty ich implementacji), musi przed rozpoczęciem przetwarzania skonsultować się z organem nadzorczym tj. Prezesem Urzędu Ochrony Danych Osobowych.
Zgłoszenie naruszenia do PUODO i poinformowanie osoby
Kolejnym istotnym przypadkiem, w którym ważne jest dobre zrozumienie tego z czym wiąże się naruszenie praw i wolności w kontekście danych osobowych jest art. 33 RODO, który dotyczy konieczności zgłoszenia naruszenia ochrony danych do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Do takiego zgłoszenia musi dojść w ciągu 72 godzin po stwierdzeniu naruszenia, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Dodatkowo w przypadku gdy naruszenie może powodować wysokie ryzyko naruszenia tych praw i wolności osoby fizycznej należy poinformować daną osobę o naruszeniu.
Kancelaria Linke Kulicki to kancelaria prawna, która od lat zajmuje się wspieraniem Klientów w sferze ochrony danych osobowych. Nasze działania koncentrują się na różnych płaszczyznach, co daje nam możliwość zapewniania kompleksowej pomocy dla firm. Rzetelnie sprawdzamy wszystkie kwestie, dzięki czemu jesteśmy w stanie wykazać ewentualne braki w zakresie ochrony danych osobowych i zaproponować skuteczne zmiany gwarantujące bezpieczeństwo. Nasza aktywność koncentruje się także na reprezentowaniu Klientów przed Prezesem Urzędu Ochrony Danych Osobowych oraz w postępowaniach sądowych z zakresu ochrony danych osobowych.