W dniu 26 stycznia 2018 r. na Społecznej Akademii Nauk w Łodzi odbyła się Ogólnopolska Konferencja Naukowa poświęcona RODO i reformie danych osobowych.

Prelegenci wraz z licznie zebranymi uczestnikami konferencji dyskutowali nad tematyką RODO w jego praktycznym aspekcie. Podróż po zmianach związanych z wejściem w życie RODO podzielona została na trzy panele tematyczne :

1. RODO – nowe zasady ochrony danych osobowych, odpowiedzialność, dokumentacja;

2. Nowości w zabezpieczeniu i organizacji – prywatność w fazie projektowania, szacowanie ryzyka, szyfrowanie i pseudonimizacja;

3. Profilowanie, powierzenie przetwarzania, obowiązki informacyjne.

Konferencję uświetniły osobistości w dziedzinie ochrony danych osobowych.

Kto taki ? – o tym w dzisiejszej relacji. ️😉

️

PANEL I

Projekt ustawy o ochronie danych osobowych – wystąpienie dr Macieja Kaweckiego z Ministerstwa Cyfryzacji

Co prawda dr Kawecki nie był obecny ciałem podczas konferencji, jednak przygotował wideo-wystąpienie, w którym przybliżył założenia projektu ustawy o ochronie danych osobowych.  Podczas wystąpienia zapowiedziano:

• zmiany w aspekcie proceduralnym- m in. certyfikacja;  

• zmiany pro-biznesowe w oparciu o art 23 RODO, poprzez ograniczenia podmiotowe i przedmiotowe w ustawie o ochronie danych osobowych. Przykładowo obecny projekt zakłada:

  • zwolnienie podmiotowe wobec zatrudniających mniej niż 250 osób, w przypadku braku danych wrażliwych, braku udostępniania podmiotom trzecim, czy przetwarzania jedynie w celach prowadzenia działalności

  • wyłączenia obowiązku informacyjnego w zakresie informacji : o wycieku danych, o naruszeniach, obowiązku informacyjnego. Wobec tych informacji pozostanie jedynie obowiązek powiadomienia Prezesa Urzędu

  • ograniczenie obowiązku informacyjnego nie będzie w założeniu nowego projektu ograniczeniem do zera. Nadal pozostanie obowiązek informowania o ADO, o danych kontaktowych, o  celu oraz podstawie przetwarzania, o danych kontaktowo IDO.

Dr Kawecki zapowiedział także zmiany, mające na celowniku przepisy resortowe. Podzielił to na II aspekty:

• I konieczne dla stosowania RODO

• II niezbędny dla systemu prawnego

W związku z wejściem w życie RODO, zmiana zostaną objęte między innymi resort wymiaru sprawiedliwości, kodeks pracy, resort zdrowia (w tym badania kliniczne), resort finansów.

Prawa osób, których dane dotyczą – znaczenie i realizacja według RODO – dr Arleta Nerka Akademia Leona Koźmińskiego

W swoim wystąpieniu dr Arleta Nerka poświęciła uwagę prawom osób, których dane dotyczą, w ujęciu zapewnienia przez Administratora Danych Osobowych realizacji tych uprawnień.

Katalog praw wskazanych wprost w RODO nie jest katalogiem zamkniętym !  Prawa osób których dane dotyczą wynikają pośrednio z innych przepisów RODO ( przykładowo z zasady rozliczności art 5; legalizacji przetwarzania art 6,9,10; prawa do bycia poinformowanych o naruszeniu art 34 itp.) oraz z innych przepisów jak prawo autorskie, prasowe czy dobra osobiste.

Dr Nerka podkreśliła, iż osoba niepoinformowana, nieświadoma co do osoby ADO, celu, podstawy przetwarzania – nie może wykonać swoich uprawnień. Uprawnienie informacyjne ma bowiem kluczowe znaczenie dla praw kontrolnych i zakazowych.

W swojej prezentacji podkreśliła także kwestię ograniczeń przyjętych przez państwa członkowskie Bowiem motyw 73 jednoznacznie wskazuje na niezbędność i proporcjonalność ograniczeń.

Dokumentacja odpowiadająca wymogom  RODO – dr Jakub Rzymowski Uniwersytet Łódzki

W prezentacji dr. Rzymowskiego podkreślono wagę dokumentacji dla realizacji obowiązku rozliczalności w RODO. Z zasady art 5, dotyczącej właśnie rozliczalności, ADO musi być w stanie wykazać przestrzeganie przepisów RODO. Niewykazanie wiąże się z wyższa karą z art. 83 ust 5 . Bowiem za naruszenie zasad przetwarzania (w tym art 5 – czyli niemożliwości wykazania) administracyjna kara pieniężna może wynieść do 20 milionów Euro.

Dr Rzymowski zaprezentował także katalog podstawowych na tle RODO dokumentów jakimi musi się legitymować ADO. Katalog ten to minimum minumorum na tle zasady rozliczalności.

Odpowiedzialność na gruncie RODO – dr Krzysztof Wygoda Uniwersytet Wrocławski

Ostatnim wystąpieniem podczas I panelu był referat dr Krzysztofa Wygody. Poruszył on tematykę odpowiedzialności na tle RODO. Zwrócił uwagę uczestników konferencji na możliwość odpowiedzialności karnej (obok administracyjnej oraz cywilnej) za naruszenia w procesie przetwarzania danych.

Pochylił się także nad kwestią podstawy współpracy z IDO – czy umowa o pracę czy kontrakt cywilnoprawny? Wybranie odpowiedniej formy ma bowiem kluczowe znaczenie dla zakresu odpowiedzialności IDO.

PANEL II

Uwzględnienie ochrony danych osobowych w fazie projektowania i domyślna ochrona – dr Paweł Litwiński Instytut Allerhanda

Dr Paweł Litwiński rozpoczął drugi panel konferencji tematem, który ma elementarne znaczenie dla przetwarzania danych osobowych po wejściu w życie RODO. Zmiana filozofii przetwarzania – tym właśnie jest privacy by design, o czym przekonywał dr Litwiński. Nie zabrakło w nim także odwołania się do 7 zasad by Ann Cavoukian niezwykle istotnych, wręcz podstawowych dla zaplanowania procesu przetwarzania przez Administratorów.

Szacowanie ryzyka i ocena skutków dla ochrony danych – nowe mechanizmy zabezpieczenia RODO mgr Tomasz Izydorczyk Wyższa Szkoła Bankowa w Poznaniu

Szacowanie ryzyka i ocena skutków dla ochrony danych- jedna z największych nowości i zarazem niewiadomych RODO. Zagadnienie to przybliżył mgr. Tomasz Izydorczyk.  ADO musi bowiem podjąć 4 podstawowe kroki :

1. Określić cel i zakres procesu przetwarzania;

2. Określić i zidentyfikować zagrożenia wobec danych jakie przetwarza;

3. Zaplanować zabezpieczenia;

4. Ocenić ryzyko naruszenia praw i wolności.

Tomasz Izydorczyk zobrazował proces oceny ryzyka za pomocą diagramu w którym odpowiedzi na kolejno zadawane pytania tworzą de facto ocenę ryzyka. Nie ma jednej recepty na szacowanie ryzyka- bowiem każdy Administrator ocenia i szacuje na bazie własnego punktu widzenia i procesu przetwarzania.

Szyfrowanie i pseudonimizacja – istotne środki zabezpieczenia danych  w RODO – mgr Piotr Topolski Uniwersytet Łódzki

Jednej technicznej metody szyfrowania nie ma. Piotr Topolski przedstawił plusy i minusy dla :

• Szyfrowania całych dysków

• Szyfrowania pojedynczych plików, folderów

• Szyfrowania ukrytych folderów w zaszyfrowanej przestrzeni

Przedstawione zostały także dwie metody szyfrowania :

• Symetryczne – ten sam klucz jest do szyfrowania i deszyfrowania

• Asymetryczne- większa ilość kluczy

Podkreślił także wagę zaprojektowania i wdrożenia szyfrowania. Przestawione zostały także metody pseudonimizacji:

• Odwracalnej (dwukierunkowej)

• Nieodwracalnej (jednokierunkowej)

Panel III

Profilowanie na gruncie RODO – mgr Elżbieta Niezgódka Uniwersytet Kardynała Stefana Wyszyńskiego

Elżbieta Niezgódka wskazała, iż profilowanie samo w sobie jest dozwolone. RODO odnosi się do zautomatyzowanego podejmowania decyzji. Wyróżniła także profilowanie sensu stricto i sensu largo.

Profilowanie sensu stricto – obejmuje 3 etapy:

• Gromadzenie danych

• Eksploracja danych

• Analiza danych

Profilowanie sensu largo – obejmuje 3 ww. etapy + zautomatyzowane podejmowanie decyzji. Jakie więc profilowanie będzie obejmowało RODO? Elżbieta Niezgódka wyjaśniła, że będzie to takie profilowanie:

• które pozwala ustalić tożsamość osoby fizycznej

• jest zautomatyzowane

RODO mówi o profilowaniu sensu largo i przyznaje możliwość sprzeciwu wobec takiego profilowania. Osoba ma prawo nie podlegać decyzji opartej na zautomatyzowanym profilowaniu.

Zmiany w powierzeniu przetwarzania danych osobowych – Adrian Szutkiewicz. 

Praktyczne ujęcie umowy przetwarzania danych osobowych zaprezentował Pan Adrian Szutkiewicz. Zadał przy tym zasadnicze pytanie, czy zasadne będzie zawarcie umowy powiedzenia czy czasem dwa podmioty nie będą  współadministratorami?

W RODO bowiem pojawia się nowa konstrukcja – współadministrowania. Za nadal aktualny uznał także problem, znany już na podstawie dotychczasowych przepisów ,– udostępnienie a powierzenie?  Wskazywał także podczas wystąpienia na elementy oraz formę konieczne dla umowy powierzenia na tle RODO.

Nowe obowiązki informacyjne ciążące na administratorze według RODO – dr Marlena Sakowska-Baryła Społeczna Akademia Nauk

Obowiązki informacyjne to nie tylko informowanie z art. 13 i 14 RODO.  Osiem podstawowych obowiązków informacyjnych to zdaniem dr Sakowskiej nie wszystko.

Obowiązek informacyjny będzie bowiem występował :

• Przy zbieraniu danych

• Informowanie o zrealizowaniu praw, np. „tak sprostowałem dane”, „tak usunąłem dane” etc.

• Informowanie przez organ nadzorczy  o postępach i wynikach rozpatrywania skargi, jak ktoś nie będzie zadowolony z działania organu – będzie mógł wnieść skargę do sądu po to żeby wykazać że organ nienależycie informował

• Informowanie i przekazywanie do Państwa trzeciego

• Informowanie o naruszeniu – do organu i osoby której dane dotyczą

Podkreślono także wagę zwięzłej i przejrzystej formy informacji.  Dr. Sakowska zaleciła „wczytanie” się w art. 13 i 14 RODO. Inaczej bowiem informujemy nowego pracownika, a inaczej osobę którą profilujemy; inaczej informujemy gdy zbieramy zgodę marketingową a inaczej gdy przeprowadzamy rekrutację w placówce oświatowej; obowiązek informacyjny trzeba będzie więc konstruować w różnych wariantach – nie będzie możliwe wykorzystywanie jednego wzoru do wszystkich przypadków.

Czy konferencja wyczerpała temat zmian w związku z RODO ? Nie, i mamy apetyt na więcej.😉 Na szczęście 26 lutego 2017 r. zorganizowana zostanie druga konferencja na Społecznej Akademii Nauk w Łodzi. RODOkompas będzie obecny – a Wy ? 😉

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.