Czy „duch RODO” nadal żyje?
Prawie rok po 25 maja 2018 r., tj. dniu wejścia w życie rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy(RODO), tylko jedna czwarta firm w Austrii w pełni wdrożyła wymogi rozporządzenia UE; dwanaście procent dopiero zaczyna to robić.
W 2018 r. austriacki organ ochrony danych (Datenschutzbehörde = DSB) również musiał dostosować się do swojej nowej roli organu uprawnionego do nakładania kar pieniężnych, zatrudnić pracowników i w związku z tym działał dość ostrożnie.
Między 25 maja a końcem 2018 r. DSB wszczął 59 nowych administracyjnych postępowań w przedmiocie nałożenia kary pieniężnej. Większość z tych przypadków to systemy nadzoru wideo, które (przypuszczalnie) nie spełniają wymogów prawnych, ponieważ obejmują przestrzenie publiczne lub sąsiednie nieruchomości i/lub nie są odpowiednio oznakowane. Ponadto dalsze postępowania były w toku, ponieważ na przykład osoby odpowiedzialne nie zagwarantowały w wystarczającym stopniu bezpieczeństwa przetwarzania danych (Art. 32 RODO), nie wypełniły swoich obowiązków informacyjnych wynikających z art. 13 i 14 RODO lub dlatego, że nie przedłożyły terminowo sprawozdania organowi ochrony danych w przypadku naruszenia ochrony danych (Art. 33 RODO).
Pomimo – teoretycznie możliwych – horrendalnych grzywien w wysokości do 20 milionów euro lub do 4% całkowitego rocznego światowego obrotu firmy w poprzednim roku finansowym, w zależności od tego, która z tych kwot jest wyższa, DSB obiecuje (np. w biuletynie 1/2019), że żadna osoba odpowiedzialna nie będzie musiała się obawiać, że nałożona na nią grzywna zagrozi jej egzystencji gospodarczej.
Najwyższa kara nałożona przez DSB do dnia 31.12.2018 r. wynosi 4 800 EUR (nadzór wideo pomieszczeń przedsiębiorstwa: filmy z przestrzeni publicznej, brak odpowiednich oznakowań, zbyt długi okres przechowywania, brak rejestracji operacji przetwarzania; nieprawomocna jeszcze decyzja DSB-D550.038/0003DSB/2018). Filmowanie ruchu drogowego za pomocą rejestratorów zamontowanych na desce rozdzielczej i z tyłu pojazdu silnikowego również doprowadziło do nałożenia kary pieniężnej na kierowcę.
Aktualne zobowiązania przedsiębiorców
Austriacka Federalna Izba Gospodarcza (WKO) i stowarzyszenia zawodowe itp. udostępniły obszerne listy kontrolne, przykładowe dokumenty, a także uruchomiły infolinię i oferują usługi doradcze w celu stworzenia niezbędnych dokumentów i procesów/procedur, takich jak w szczególności:
- Rejestr przetwarzania danych – katalog czynności przetwarzania danych (Verzeichnis von Verarbeitungstätigkeiten = VvV) z obszernymi obowiązkami w zakresie dokumentacji.
- Umowy o powierzeniu przetwarzania danych (Auftragsverarbeitervereinbarungen = AVV) z podwykonawcami (takimi jak wsparcie informatyczne, dostawcy usług pocztowych itp.).
- Polityka prywatności na stronie internetowej.
- Lista kontrolna dotycząca potrzeby powołania inspektora ochrony danych (Datenschutzbeauftragter = DSBA).
- Proces informacyjny.
- Oświadczenie o wyrażeniu zgody przez pracowników i potencjalnych klientów.
- Oświadczenie o poufności wewnętrznej oraz instrukcje dla pracowników dotyczące postępowania z danymi osobowymi i zapewnienia zgodności ze środkami techniczno-organizacyjnymi (technische und organisatorische Maßnahmen = TOM).
- Lista kontrolna niezbędnych zmian na stronie internetowej.
- Procedura w przypadku naruszenia ochrony danych (data breach).
- Środki techniczne i organizacyjne (technische und organisatorische Maßnahmen = TOM) (generalnie w ramach VvV).
- Lista kontrolna dotycząca potrzeby przeprowadzenia oceny skutków w zakresie ochrony danych (Datenschutzfolgeabschätzung = DSFA).
- Procedura i techniczna wykonalność usuwania danych itp.
Zrozumiałe jest, że dokumentacja, która została opracowana w maju 2018 r. i jest obecnie w większości przypadków dobrze zachowana. Nie należy jednak zapominać, że cała dokumentacja, katalog procesów przetwarzania i procesy powinny być aktualizowane i przynajmniej poddawane przeglądowi w regularnych odstępach czasu w celu zapewnienia, że pozostaną aktualne, a w razie konieczności, że zostaną dostosowane do zachodzących zmian.
Na przykład konieczne mogą być następujące zmiany:
|
Przykłady |
Zazwyczaj niezbędne poprawki w dokumentacji dotyczącej ochrony danych. |
|
Nowi podwykonawcy |
Zmiana w VvV, konieczna nowa AVV, niektóre AVV przestarzałe, sprawdzenie czy deklaracje o ochronie danych osobowych należy skorygować, ponieważ np. działania związane z przetwarzaniem danych zostały rozszerzone. |
|
Nowi pracownicy |
Sprawdzenie, czy zmieniły się obowiązki związane z prawem o ochronie danych, czy konieczne są nowe kursy szkoleniowe lub e-learning w dziedzinie ochrony danych, ewentualnie powołanie inspektora (DSBA). |
|
Rozszerzenie praktyki |
Sprawdzenie, czy przetwarzanie danych w krajach nienależących do UE stanowi problem, bowiem w poszczególnych przypadkach należy zwrócić uwagę na rozwiązania! Dostosowanie VvV w przypadku przekazywania danych do państwa trzeciego. |
|
Nowy dostawca usług IT |
Wypełnienie nowego AVV, ewentualnie dostosowanie do VvV, sprawdzenie czy TOM musi być dostosowany, sprawdzenie czy polityka prywatności musi być dostosowana, czy wprowadzane są nowe metody przetwarzania danych, omówienie i ewentualna aktualizacja koncepcji usuwania danych. |
|
Nowy biuletyn informacyjny |
Sprawdzenie, czy adresaci wyrazili zgodę lub mieli możliwość odmowy wysłania biuletynu (w przeciwnym razie można naruszyć § 107 TKG). |
|
Przeniesienie przedsiębiorstwa |
Sprawdzenie, czy nadzór wideo jest zainstalowany, ujęcie nowego adresu w VvV i we wszystkich innych aktualnych szablonach dokumentów. |
|
Nowa strona domowa |
Sprawdzenie specyfikacji zgodnie z prawem o handlu elektronicznym (imprint), deklaracja o ochronie prywatności. |
DLATEGO:
W 2019 roku okaże się, jak aktywny będzie organ ochrony danych (DSB), ale wiele wskazuje na zwiększoną kontrolę sektorową ze strony inspektorów ochrony danych. Dlatego zaleca się regularne sprawdzanie własnego systemu ochrony danych (np. co 6 miesięcy) lub samodzielne uruchomienie systemu lub z pomocą zewnętrznych partnerów poprzez kontrolę ochrony danych.
Skróty:
- Regulacja o ochronie danych osobowych: RODO
- Organ ochrony danych: Datenschutzbehörde = DSB
- Rejestr czynności przetwarzania danych: Verzeichnis von Verarbeitungstätigkeiten = VvV
- Umowy o przetwarzaniu zamówień: Auftragsverarbeitervereinbarungen = AVV
- Inspektor ochrony danych: Datenschutzbeauftragter = DSBA
- Środki techniczne i organizacyjne: Technische und organisatorische Maßnahmen = TOM
- Ocena skutków w zakresie ochrony danych: Datenschutzfolgeabschätzung = DSFA
Dr Elisabeth Weichselberger-Chłap
office@legalpartners.at
