OGÓLNOPOLSKI MAGAZYN IZBY ARCHITEKTÓW RP / NAKŁAD KONTROLOWANY 15 000 EGZ.
 
   
 
 
 
Wyszukiwarka_Z:A  
  Reklama  
   
 
         
Zamów Z:A drukowany
| BIZNES |  |
|_#61  ZA

 

 

RODO / między obawami
a prostą praktyką

/// Sebastian Osowski, redakcja Z:A /// fragmenty

Dołącz na Fb


///
wersja
beta_2
serwisu
///

AKTUALNY NUMER

Zamów Z:A drukowany

Pobierz Z:A_free

> Zamów prenumeratę

WYDANIA ARCHIWALNE

> Czytaj wybrane artykuły

> Zamów Z:A_drukowany

> Szukaj w archiwum

> Pobierz Z:A_free (pdf)

> Forum Z:A /// skomentuj

> e-Newsletter Z:A

> Dopisz swój e-mail

Rewolucja w ochronie danych osobowych, kary w wysokości 20 milionów euro lub 4% rocznych obrotów firmy… – czytamy co chwila w reklamach, mailach, newsletterach. Czy rzeczywiście oszalejemy po 25 maja 2018 roku lub wydamy ileś tysięcy złotych na „wdrożenie procedur” albo miliony euro na kary i roszczenia?

Najbardziej kontrowersyjna teza tego opracowania mogłaby brzmieć: „RODO nie dotyczy danych osobowych. RODO dotyczy uporządkowanych zbiorów danych osobowych.” Gdyby kiedyś dało się ją obronić, stosowanie rozporządzenia w codziennym życiu każdej małej firmy stałoby się znowu prostsze.

Tymczasem mikro- i małym firmom pozostaje wdrażać RODO małymi krokami na miarę swojej skali oraz możliwości technicznych i finansowych. A także liczyć, że z czasem wykształci się nie tylko praktyka, rozwiną interpretacje PUODO oraz orzecznictwo, ale doczekamy się być może aktualizacji przepisów (w skali europejskiej lub krajowej). zarówno ze strony administracyjnej, jak i być może zawodowych kodeksów branżowych, które uwzględnią szczególną sytuację małych firm i specyfikę ich działalności.

RODO dopiero się zaczyna. Warto więc dyskutować.

       
RODO / między obawami a prostą praktyką
       
       

Od redakcjiOD REDAKCJI
Zaznaczamy, że niniejsza publikacja ma charakter wyłącznie publicystyczny, subiektywny i polemiczny oraz powstała w oparciu o informacje zgromadzone w wyniku pracy dziennikarskiej, na podstawie ogólnodostępnych materiałów, publikacji, wypowiedzi medialnych i szkoleń.

Zawarte w niniejszej publikacji informacje w żadnym razie nie stanowią rekomendacji ani porad prawnych, inwestycyjnych czy biznesowych.

Autor oraz redakcja w imieniu swoim oraz wydawcy informują i zastrzegają, że nie ponoszą odpowiedzialności za skutki ewentualnych decyzji lub czynności podjętych na podstawie lub w oparciu o informacje zawarte w niniejszej publikacji lub wynikające bezpośrednio bądź pośrednio z jej treści.

 

Liczba niuansów wynikających z przepisów dotyczących ochrony danych osobowych jest spora i nie ułatwia (zwłaszcza pierwszego) poruszania się w tym temacie. W dodatku rozporządzenie RODO nie wskazuje żadnych rozwiązań czy szablonów postępowania, a ocenę ryzyka i zastosowania metod ochrony – pozostawia każdemu z przedsiębiorców. Tym samym – szczególnie aktualnie, w początkowej fazie – spotykamy ogromną ilość i różnorodności interpretacji...

Niektóre z nich spróbujemy tutaj uporządkać, starając się jednocześnie wskazywać te, które mogą upraszczać zakres zadań jakie mielibyśmy realizować. Nie wyłączą nas one spod zaleceń rozporządzenia, jednak obowiązków byłoby prawdopodobnie mniej niż wynika to z „reklam” publikacji, szkoleń i ofert dotyczących wdrożenia RODO.

Niestety nie znajdziemy aktualnie możliwości całkowitego lub znaczącego wyłączenia się spod obowiązków RODO. Taką sugestię – szczególnego traktowania mikro, małych i średnich przedsiębiorstw – daje co prawda samo rozporządzenie UE, jednak pomimo zgłoszenia propozycji przez Ministerstwo Cyfryzacji, nasz ustawodawca nie zdecydował się w nowej ustawie o ochronie danych osobowych na tego rodzaju „wyłączenia” czy „uproszczenia”.

Być może takie prace regulacyjne, uwzględniające szczególne potrzeby mikroprzedsiębiorstw oraz małych firm, zostaną jeszcze podjęte w przyszłości. Możliwe jest także, że powstaną branżowe kodeksy postępowania – rozporządzenie zachęca bowiem, aby „zrzeszenia lub inne organy reprezentujące kategorie administratorów lub podmiotów przetwarzających do sporządzania kodeksów postępowania (...) by ułatwiać skuteczne stosowanie rozporządzenia, z uwzględnieniem szczególnych cech przetwarzania prowadzonego w niektórych sektorach i szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. W takich kodeksach można w szczególności dopasować obowiązki administratorów i podmiotów przetwarzających do ryzyka naruszenia praw lub wolności osób fizycznych, jakie może powodować przetwarzanie”.

Oczywiście warunkiem będzie nie tylko wypracowanie takich branżowych kodeksów, ale także uzyskanie dla nich certyfikacji PUODO.

Na dzisiaj pamiętajmy: przynajmniej w minimalnym stopniu powinniśmy w swoich firmach „wdrożyć RODO”. Wychodźmy z założenia, że lepiej będzie świadomie przygotować „jakieś podstawowe” dokumenty i procedury, które mogą mieć pewne braki, niż nie posiadać ich w ogóle. Małymi krokami można stopniowo rozwijać, uzupełniać i korygować. A jednocześnie monitorować kształtujące się praktyki, interpretacje i orzecznictwo.



(...)
To nie jest pełna treść artykułu. Jak przeczytać całość? Patrz na koniec tej strony.

 

RODO / pierwsze kroki
/// Sebastian Osowski, redakcja Z:A /// fragmenty

Staramy się uporządkować podstawowe praktyczne obszary oddziaływania RODO oraz zestawić przykłady codziennych czynności wykonywanych w tradycyjnych, typowych firmach. Jest to oczywiście tylko zbiór propozycji i nie należy traktować go jako skończony wzorzec. Mamy jednak nadzieję, że niniejsze opracowanie ułatwi Czytelnikom Z:A wypracowanie własnych rozwiązań.

Od redakcjiOD REDAKCJI
Zaznaczamy, że niniejsza publikacja ma charakter wyłącznie publicystyczny, subiektywny i polemiczny oraz powstała w oparciu o informacje zgromadzone w wyniku pracy dziennikarskiej, na podstawie ogólnodostępnych materiałów, publikacji, wypowiedzi medialnych i szkoleń.

Zawarte w niniejszej publikacji informacje w żadnym razie nie stanowią rekomendacji ani porad prawnych, inwestycyjnych czy biznesowych.

Autor oraz redakcja w imieniu swoim oraz wydawcy informują i zastrzegają, że nie ponoszą odpowiedzialności za skutki ewentualnych decyzji lub czynności podjętych na podstawie lub w oparciu o informacje zawarte w niniejszej publikacji lub wynikające bezpośrednio bądź pośrednio z jej treści.

 

Analizując przepisy RODO oraz publikacje czy wypowiedzi na jego temat, warto pamiętać, że rozporządzenie dotyczy dwóch obszarów:

A > legalność przetwarzania danych osobowych (podstawy przetwarzania),
B > środki zabezpieczeń (techniczne i organizacyjne) służące ochronie danych.

Ten podział warto mieć cały czas „z tyłu głowy”, ponieważ mieszanie się jednego obszaru z drugim widać w wielu wypowiedziach nt. RODO, a nie ułatwia to poukładania sobie i zrozumienia zasad, które mamy stosować. Na przykład czym innym jest posiadanie zbioru adresów e-mailowych, a czym innym wysłanie oferty handlowej na adresy zgromadzone w tym zbiorze.

W pierwszym zakresie – legalności przetwarzania – z pewnością mamy coś do zrobienia (pozostaje pytanie: jak dużo?). W drugim – większość środków bezpieczeństwa raczej (dla własnego dobra) każda firma spełnia od zawsze (w dobrze pojętym interesie ochrony swoich tajemnic i know-how). Lecz i tutaj warto wykonać sobie aktualizacyjną check-listę.

 

 

Poszukiwanie „wyłączeń”

Pierwszą naturalną reakcją na wprowadzenie nowych, restrykcyjnych przepisów jest zastanawianie się nad polami potencjalnych „wyłączeń” spod ich działania. My również zaczęliśmy od analizy treści definicji i związanych z nimi wypowiedzi specjalistów. Niestety na dzisiaj takich wyłączeń nie można potwierdzić. Jedyne „uproszczenia”, jakie możemy podpowiedzieć, dotyczą kwestii podstaw i warunków do legalności przetwarzania danych, czyli ostatniego z punktów na omówionej poniższej liście:

Zawód architekta – mówił o tym szerzej adw. Piotr Konopka podczas szkolenia zorganizowanego przez Małopolską Okręgową IARP, niestety nie ma w RODO specjalnego traktowania dla zawodu architekta,

Wielkość firmy – preambuła RODO (13) daje wskazówkę, by instytucje państwa, stosując rozporządzenie, uwzględniały szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw, niestety w polskiej ustawie (pomimo takiej propozycji Ministerstwa Cyfryzacji zgłoszonej na etapie konsultacji projektu ustawy) nie wprowadzono „ulg” czy „ułatwień” ze względu na wielkość i skalę działania firmy,

Dane osobowe – niestety z samej definicji danych osobowych trudno wywnioskować, że jakieś dane można zwolnić spod przepisów RODO. Jest raczej odwrotnie: wydaje się że wiele danych nie kojarzonych jako osobowe można „podciągać” pod dane umożliwiające identyfikację osoby (np. numer działki budowlanej czy księgi wieczystej, o czym również wspominał adw. Piotr Konopka podczas szkolenia dla architektów w Małopolskiej Okręgowej IARP),

Przetwarzanie danych – definicja niestety nie pozwala znaleźć żadnej możliwości ograniczenia obowiązków,

Podstawa przetwarzania danych – podczas lektury rozporządzenia w zakresie podstaw i warunków do legalności przetwarzania danych osobowych, uwagę zwracają trzy zapisy, które wskazują na potencjalne dość ciekawe „uproszczenia”. Zajmujemy się nimi w dalszej części artykułu. Są to w skrócie:

1. przetwarzanie nieautomatyczne i nieuporządkowany zbiór danych,

2. legalność przetwarzania na podstawie umowy, obowiązku prawnego lub uzasadnionego interesu,

3. podstawa przetwarzania w formie działania potwierdzającego.



(...)
To nie jest pełna treść artykułu. Jak przeczytać całość? Patrz na koniec tej strony.

 

RODO / praktyka: automatyczne przetwarzanie i poczta elektroniczna
/// adwokat Piotr Konopka /// fragmenty

Przedstawiona w tekście red. Osowskiego teza o niestosowaniu RODO w przypadku przetwarzania danych osobowych poza zbiorami danych budzi wątpliwości. Treść RODO rzeczywiście może w tym zakresie wywoływać pewne wątpliwości interpretacyjne. Motyw 15 Preambuły do RODO został bowiem ujęty w sposób, który może sugerować, że umieszczenie danych w zbiorze lub zamiar umieszczenia danych w zbiorze jest przesłanką stosowania RODO zarówno do przetwarzania zautomatyzowanego, jak i przetwarzania ręcznego. Treść normatywna sformułowana jest jednak inaczej.

Treść artykułu 2 ust. 1 rozporządzenia RODO, stanowiącego w tym zakresie właściwy punkt odniesienia wyraźnie oddziela przetwarzanie zautomatyzowane lub częściowo zautomatyzowane, od przetwarzania niezautomatyzowanego w ramach zbioru (bądź w ramach docelowego zbioru). A zatem regulator europejski w treści art. 2 ust. 1 RODO nie wymaga dokonywania operacji w zbiorze danych, aby przetwarzanie zautomatyzowane było objęte zakresem zastosowania RODO.

Klasycznym przykładem zautomatyzowanego przetwarzania danych będzie przetwarzanie dokonywane w ramach programów pocztowych. Zautomatyzowane przetwarzanie polega w tym wypadku na automatycznym (opartym na algorytmie programu pocztowego) klasyfikowaniu i grupowaniu danych osobowych wedle daty ich wpłynięcia do kategorii skrzynki odbiorczej. Dla porównania – przetwarzanie ręczne poczty przychodzącej do biura wymaga w analogicznym zakresie dokonania odpowiedniego grupowania wedle daty odbioru pisma. Program pocztowy wykonuje te czynności automatycznie.

Czy skoro program pocztowy porządkuje listy elektroniczne według daty, a data nie jest daną osobową, to należy uznawać ją za kryterium porządkowania, a zbiór za uporządkowany w kontekście RODO? Samo kryterium porządkowania nie musi być daną osobową. Istotne jest, czy dane osobowe były porządkowane według określonego, przyjętego przez administratora – obiektywnego bądź subiektywnego kryterium. Jeżeli porządkowanie zachodzi, to mamy do czynienia z przetwarzaniem, w tym wypadku zautomatyzowanym.
Powyższe nie oznacza jednak bynajmniej, że każdy e-mail znajdujący się na użytkowanej przez nas skrzynce pocztowej stanowić będzie dane osobowe, albowiem o tym, jaka informacja stanowi dane osobowe, decyduje możliwość zidentyfikowania oznaczonej osoby fizycznej, odniesiona do konkretnego przypadku. O identyfikowalności osoby fizycznej będzie zatem przesądzać specyfika adresu e-mail, który ze swej istoty może prowadzić do identyfikacji danej osoby fizycznej (tak będzie np. gdy adres mailowy zawiera imię, nazwisko oraz oznaczenie firmy, w której dana osoba jest zatrudniona). Pozostaje jedynie pytanie: w jaki sposób odbiorca może ocenić, że adres e-mailowy zawiera rzeczywiste imię i nazwisko danej osoby, czy może jednak jan.kowalski@serwer.com nie jest adresem żadnego Jana Kowalskiego…



(...)
To nie jest pełna treść artykułu. Jak przeczytać całość? Patrz na koniec tej strony.

 

 
  Forum Z:A /// skomentuj artykuł
     
RODO / między obawami a prostą praktyką RODO / między obawami a prostą praktyką
Czy wraz z wejściem w życie rozporządzenia o ochronie danych osobowych oszalejemy lub wydamy tysiące złotych na „wdrożenie procedur” albo miliony euro na kary? RODO dopiero się zaczyna. Warto więc dyskutować.
 
Cały artykuł możesz przeczytać w numerze Z:A_#61
Zamów Z:A drukowany



Zamów Z:A drukowany

Pobierz Z:A_free


Zapraszamy do pobierania wydanych dotychczas numerów
Zawodu:Architekt w wersji PDF

 

> polecamy: artykuły on-line

> strona główna Z:A

 
Polecamy w Z:A
Młodzi architekci
w Europie: kondycja
i przyszłość zawodu

arch. Jola Starzak,
arch. Dawid Strębicki, architekci IARP

DOŚWIADCZENIA
Obszar Oddziaływania Obiektu / refleksje przed godziną „zero”
arch. Piotr Gadomski, architekt IARP
PRAWO
Konkursy: ziemia obiecana czy droga donikąd?
arch. Krzysztof A. Nowak

IZBA ARCHITEKTÓW
Sztuka aikido
arch. Wojciech Gwizdak, architekt IARP
FELIETON
Anioł najbardziej przykuwa moją uwagę / czyli polski gust architektoniczny...
autor: Błażej Prośniewski, redakcja: Bartosz Wokan
ARCH_I_KULTURA

 

 

 
 
 
 
    Copyright © 2004-2018 Izba Architektów RP. Wszelkie prawa zastrzeżone.  |  Zarządzanie serwisem i custom publishing: Oria Media.