RODO - Pytania do eksperta OVH

Nasz ekspert odpowiada na Wasze pytania

 

Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO lub po angielsku GDPR), które wejdzie w życie 25 maja 2018 r., będzie miało poważne konsekwencje dla systemów informatycznych wszystkich przedsiębiorstw. Rozporządzenie to nakłada szereg obowiązków na przedsiębiorstwa, które muszą spełniać wymogi Unii Europejskiej w zakresie ochrony danych.

Florent Gastaud, Data Protection Officer OVH, odpowiada na najczęściej zadawane pytania dotyczące wpływu nowego rozporządzenia na przedsiębiorstwa oraz metod, jakich powinny użyć, aby zachować zgodność z przepisami.

Co to jest RODO?

Rozporządzenie o Ochronie Danych Osobowych (RODO) jest europejskim aktem prawnym przyjętym 27 kwietnia 2016 przez Parlament Europejski oraz Radę UE. Jego postanowienia stosuje się bezpośrednio we wszystkich państwach członkowskich Unii. Rozporządzenie zostało zatwierdzone w 2016 r., ale wejdzie w życie począwszy od 25 maja 2018 r. Podmioty publiczne i prywatne zyskały dzięki temu termin dwóch lat, aby dostosować się do wymagań tego dokumentu.

Celem RODO jest ochrona osób fizycznych w zakresie przetwarzania ich danych osobowych. Określa prawa i obowiązki wszystkich podmiotów mających do czynienia z tego typu danymi.

RODO dotyczy wszystkich jednostek publicznych oraz wszystkich przedsiębiorstw niezależnie od ich wielkości, o ile przetwarzają dane osobowe.

Co oznacza RODO?

RODO to skrót oznaczający Ogólne Rozporządzenie o Ochronie Danych Osobowych.

Odnosi się bezpośrednio do Rozporządzenia nr 2016/679 Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych i uchyla dyrektywę 95/46/CE.

Czym jest naruszenie danych osobowych?

Pojęcie naruszenia danych osobowych kojarzy się z wyciekiem danych i pozyskaniem ich przez nieuprawnione osoby trzecie (np. kradzież danych). Jest to przykład, natomiast definicja pojęcia jest w rzeczywistości szersza. G29 (europejski organ, do którego należą różne unijne organizacje zajmujące się ochroną danych osobowych) definiuje pojęcie naruszenia danych osobowych jako fakt:

  • utracenia dostępu do danych osobowych;
  • naruszenia integralności danych osobowych;
  • naruszenia poufności danych osobowych.

Naruszenie danych może zatem polegać nie tylko na wycieku danych, ale również na definitywnej ich utracie.

RODO nakłada nowe obowiązki na administratorów danych oraz na podwykonawców w zakresie powiadamiania o przypadkach naruszenia danych.

Jakie ustawy regulują ochronę danych osobowych?

Istnieje kilka dokumentów regulujących ochronę danych osobowych mających charakter ogólny lub szczegółowy:

  • Na poziomie międzynarodowym: konwencja nr 108 w sprawie ochrony osób fizycznych w związku z automatycznym przetwarzaniem danych osobowych jest wiążącym traktatem otwartym dla wszystkich krajów.
  • Na poziomie europejskim: rozporządzenie 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu danych osobowych (GPRD) oraz dyrektywa 2016/680 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy w celu zapobiegania i wykrywania przestępstw, dochodzenia i ścigania przestępstw lub wykonywania sankcji karnych.
  • Na poziomie krajowym: wiele państw przyjęło krajowe przepisy dotyczące ochrony danych osobowych. Dotyczy to wszystkich państw członkowskich Unii Europejskiej.
W jaki sposób dane osobowe są zdefiniowane w rozporządzeniu RODO?

Dane osobowe są zdefiniowane w artykule 4 rozporządzenia RODO jako (...) informacje o zidentyfikowanej lub możliwej do zidentyfikowania, bezpośrednio lub pośrednio (...), osobie fizycznej (...)”.

Innymi słowy, dane osobowe to dane lub ogół danych, które umożliwiają identyfikację osoby w dowolny sposób.

Dane pozwalają na pośrednią identyfikację, kiedy ich zwykłe odczytanie nie umożliwia identyfikacji osoby, ale dodatkowe wyszukiwanie może na to pozwolić. Typowym przykładem jest adres e-mail.

Co oznacza pojęcie wrażliwe dane osobowe?

Pojęcie „danych wrażliwych” odnosi się do "szczególnych kategorii przetwarzania danych osobowych" określonych w Ogólnym Rozporządzeniu o Ochronie Danych. Dane te podlegają specjalnym przepisom, ponieważ ich przetwarzanie jest co do zasady zabronione.

Dane te dotyczą w szczególności:

  • zdrowia lub życia seksualnego osoby;
  • pochodzenia rasowego lub etnicznego osoby;
  • poglądów politycznych, przynależności związkowej, przekonań religijnych lub filozoficznych osoby.

Istnieją wyjątki umożliwiające przetwarzanie tych danych.

Czy korzystanie z usług OVH jest jednoznaczne z wypełnieniem przeze mnie obowiązków wynikających z RODO?

Tak, w pewnym stopniu. Jednym z obowiązków administratora danych jest wybór podwykonawców oferujących wszystkie niezbędne gwarancje umożliwiające przetwarzanie danych osobowych zgodnie z przepisami.
Innymi słowy, gwarancje oferowane przez firmę OVH występującą w roli podmiotu przetwarzającego dane pozwalają klientowi przestrzegać części jego własnych obowiązków. Do gwarancji tych należą między innymi wdrożone przez OVH środki bezpieczeństwa czy zobowiązania podjęte w zakresie lokalizacji, w której przetwarzane są dane, etc.

Obowiązki administratora danych nie ograniczają się jedynie do wyboru odpowiedniego usługodawcy. Wykraczają daleko poza zakres działań firmy OVH występującej w roli podwykonawcy IT. Jako administrator danych nie możesz zatem uznać, że działasz w pełnej zgodności z RODO, ograniczając się jedynie do wyboru podwykonawcy. Powinieneś również wypełniać spoczywające na Tobie obowiązki: na przykład poszanowanie praw jednostek lub przeprowadzenie oceny wpływu na ich prywatność.

Jakie są zobowiązania firmy OVH występującej w roli dostawcy usług cloud?

Jako dostawca usług w chmurze, OVH występuje w roli podmiotu przetwarzającego dane. W związku z tym OVH zobowiązuje się do:

  1. Niewykorzystywania danych hostowanych w swojej infrastrukturze: OVH zobowiązuje się do przetwarzania danych osobowych klienta wyłącznie do celów związanych z właściwą realizacją usług i wyłącznie zgodnie z jego instrukcjami.
  2. Umożliwiania odwracalności danych klienta: wszystkie rozwiązania cloud OVH opierają się na uznawanych standardach technologicznych, w tym na wielu technologiach open source. Dzięki temu klienci mogą z łatwością odzyskać swoje dane: odwracalność i interoperacyjność są podstawą tego procesu.
  3. Dokładnego wskazania lokalizacji, w której są przechowywane i przetwarzane dane klienta.
  4. Zagwarantowania całkowitej transparencji w zakresie korzystania z usług podwykonawców.
  5. Powiadamiania o przypadkach naruszenia danych klienta.
  6. Opracowania kompletnej dokumentacji poszczególnych usług świadczonych przez OVH: OVH zobowiązuje się do dostarczenia klientom odpowiednich dokumentów, takich jak: opis środków bezpieczeństwa zastosowanych w odniesieniu do usług klienta, potwierdzenie lokalizacji, w której przechowywane są dane, etc.
  7. Zagwarantowania w zapisach umownych, że niniejsze zobowiązania będą wypełniane: zobowiązania OVH mają bowiem charakter wiążący i stanowią część Umowy Powierzenia Przetwarzania Danych Osobowych ( z ang. Data Processing Agreement, w skrócie DPA). Dokument ten stanowi załącznik do umów OVH. Jest dostępny na życzenie dla wszystkich naszych klientów.
Jakie są zobowiązania OVH w zakresie lokalizacji danych?

Gdy klient zamówi usługę przechowywania treści, w szczególności danych osobowych, będzie mógł sprawdzić na stronie WWW OVH dokładną lokalizację lub region geograficzny, w którym są one przechowywane. Ponadto, w momencie składania zamówienia, klient może wybrać preferowaną lokalizację lub obszar geograficzny, w którym mają być przechowywane jego dane.

Należy pamiętać, że „przechowywanie danych” nie jest synonimem „przetwarzania danych”. RODO określa odrębne reguły w przypadku „przetwarzania danych” w odróżnieniu od zwykłego „przechowywania”. Zalecamy zatem szczególną ostrożność przy stosowaniu tych dwóch terminów.

Kiedy klient wybiera jako obszar przechowywania danych terytorium znajdujące się w Unii Europejskiej, OVH gwarantuje, że nie będzie przetwarzać danych klienta poza Unią ani poza terytorium krajów uznanych przez Komisję europejską za kraje posiadające wystarczający poziom ochrony danych osobowych (dotyczy to ochrony prywatności, swobód i fundamentalnych praw osób, a także wykonywania odpowiednich praw [decyzja w sprawie adekwatności]). Ponadto OVH zapewnia, że w żadnych okolicznościach nie będzie przetwarzać danych w Stanach Zjednoczonych.

Czy OVH może wykorzystać moje dane?

OVH zobowiązuje się do przetwarzania danych osobowych klienta wyłącznie do celów związanych z właściwą realizacją usług i wyłącznie zgodnie z jego instrukcjami.

Dane przechowywane na infrastrukturze OVH pozostają własnością klienta.

OVH gwarantuje, że nie będzie odsprzedawać danych klienta ani nie będzie używać ich do celów marketingowych (takich jak np. profilowanie czy marketing bezpośredni).

W jaki sposób firma OVH gwarantuje mi, że będzie przestrzegała swoich zobowiązań?

Aby zobowiązania OVH mogły stanowić dla klienta gwarancję, że wypełnia on część swoich własnych obowiązków, obowiązki te muszą być określone w umowie lub innym akcie prawnym wiążącym strony.

OVH zapewnia tę współzależność na dwa sposoby:

  • Ogólne Warunki Świadczenia Usług regulujące korzystanie ze wszystkich usług OVH zawierają klauzule dotyczące ochrony danych osobowych;
  • OVH proponuje podpisanie załącznika do umowy zatytułowanego Umowa Powierzenia Przetwarzania Danych Osobowych (z ang. Data Processing Agreement, w skrócie DPA). Jest to dokument w całości poświęcony gwarancjom oferowanym przez OVH w zakresie przetwarzania danych osobowych.