Facebook Linkedin

GameDev Lawyer

Szukaj
Close this search box.

RODO. Ogarnij dane osobowe w swoim studio

Choć na pierwszy rzut oka wydawałoby się, że ochrona danych osobowych to tematyka nużąca i dość abstrakcyjna, to nie można jej bagatelizować. RODO reguluje działanie wszystkich przedsiębiorców przetwarzających dane osobowe na terytorium całej Unii Europejskiej. Nie ulega wątpliwości, że studio gamedev też przetwarza dane osobowe.

Dzięki temu artykułowi, dowiesz się:

  • Czym jest RODO
  • Jakie dokumenty (i kiedy) musisz wdrożyć, aby Twoje studio było zgodne z RODO
  • Czy potrzebujesz zatrudnić Inspektora Ochrony Danych (IOD)
  • Co zrobić, gdy zdarzy się wyciek danych osobowych
  • Jak się zachować w razie kontroli
  • Czy można bronić się przed karami za naruszenie RODO

Czym jest RODO i dlaczego tyle się o nim mówi?

RODO to skrót od Ogólnego Rozporządzenia o Ochronie Danych Osobowych. To unijny akt prawny, który wszedł w życie w 2018 roku i reguluje to, w jaki sposób obchodzić się z danymi osobowymi, które „wpływają” do każdej organizacji. Także do Twojego studia.

O ochronie danych osobowych trzeba pamiętać przede wszystkim dlatego, że organizacje je przetwarzające ponoszą bezpośrednią odpowiedzialność za niekompatybilność z przepisami RODO. W tym zawiera się także ryzyko otrzymania (niemałej) kary finansowej.

Kary finansowe za postępowanie niezgodne z RODO

Rozporządzenie przewiduje kary finansowe za naruszenie zasad przetwarzania danych. W zależności m.in. od tego, jaki jest charakter naruszenia i jego skala, kary wynoszą do 10 lub 20 mln euro (lub do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku).

Oczywiście są to górne granice kar pieniężnych, bo ich nałożenie poprzedza skrupulatna analiza konkretnego naruszenia. Polski Urząd Ochrony Danych Osobowych nie wymierza tak olbrzymich kar. Jednak i te na rodzimym podwórku potrafią być dotkliwe. Najczęściej sięgają kilkudziesięciu tysięcy złotych; zdarzyły się jednak i takie liczone w milionach złotych.

Od jakich obszarów zacząć wdrażanie dokumentacji RODO?

Ze sprawami dotyczącymi danych osobowych nie ma co zwlekać. Przetwarzanie danych odbywa się bowiem już od początku istnienia Twojego studia i od pierwszych dni jego działalności. Na stronie WWW, w kontaktach z klientami, podczas rekrutacji do zespołu…

Przygodę z RODO należy rozpocząć od analizy danych, jakie przetwarza Twoje studio.

Czyje to są dane? Jakie są ich kategorie? W jakim celu będą przetwarzane? Gdzie i przez kogo?

Odpowiedzi na te pytania pozwolą stworzyć pewną bazę – dokumenty w postaci rejestrów kategorii przetwarzania i czynności przetwarzania, o których szerzej opowiemy w kolejnych artykułach.

Jakie dokumenty musisz wdrożyć, aby Twoje studio działało zgodnie z RODO?

Dla ułatwienia, podzielmy je na kilka kategorii (aby łatwiej było Ci zrozumieć, kiedy powinna zapalić Ci się lampka z napisem RODO):

  • w ramach organizacji
  • w relacjach z zespołem (zarówno w ramach umowy o pracę, zlecenia jak i B2B)
  • w relacjach z kontrahentami
  • w relacjach z użytkownikami Twojego serwisu online, strony www, social mediów.

Zgodnie z tą klasyfikacją, usystematyzujmy dokumenty potrzebne do wdrożenia RODO:

  • w ramach organizacji
  • Polityka Ochrony Danych
  • Rejestr Czynności Przetwarzania
  • Rejestr Kategorii Przetwarzania
  • Analiza ryzyka (arkusz)
  • Arkusz oceny skutków przetwarzania
  • Arkusz ustalający potrzebę wykonania oceny skutków przetwarzania
  • Rejestr naruszeń, z którego skorzystasz w razie gdyby nastąpiło naruszenie danych w relacjach z zespołem

Upoważnienia do przetwarzania danych przez Twoich pracowników lub zleceniobiorców:

  • Ewidencja tych upoważnień
  • Klauzula informacyjna dla pracowników
  • Klauzula informacyjna dla współpracowników
  • Klauzula informacyjna dla zleceniobiorców
  • Zgody na przetwarzanie danych

w relacjach z kontrahentami:

  • Klauzula informacyjna w umowach handlowych
  • Umowa powierzenia przetwarzania danych
  • Standardowe klauzule umowne

w relacjach z użytkownikami Twojego serwisu online, strony www, social mediów:

  • Polityka prywatności na stronie www
  • Polityka cookies
  • Zgody na przetwarzanie danych (np. w ramach newslettera, zgody marketingowe).

Przyjrzyjmy się bliżej najważniejszym dokumentom z tej listy:

POLITYKA OCHRONY DANYCH

Polityka Ochrony Danych to najważniejszy dokument regulujący zasady i środki przetwarzania danych osobowych w Twoim studio. Wskazuje na Twoje obowiązki jako administratora danych; ale także na obowiązki osób, którym dane udostępniasz.

Takie osoby stają się upoważnionymi do przetwarzania danych osobowych. Polityka Ochrony Danych to taka „złota księga” zasad przetwarzania danych w Twojej organizacji. Ten temat jest na tyle obszerny, że z pewnością wrócimy do niego w osobnym opracowaniu.

REJESTR CZYNNOŚCI PRZETWARZANIA I REJESTR KATEGORII PRZETWARZANIA

Czyje dane przetwarzasz? Na jakiej podstawie prawnej? W jakim celu to robisz? Odpowiedzi na takie pytania (i jeszcze kilka innych, które Ci zadamy pomagając wdrożyć RODO w Twojej organizacji) pozwolą stworzyć zarys rejestru czynności przetwarzania.

Wzór takiego rejestru (przygotowany dla szkoły) udostępnia Urząd Ochrony Danych Osobowych na swojej stronie www. Od nas z kolei więcej na ten temat dowiesz się śledząc kolejne wpisy z RODOwej serii.

DLACZEGO TAK WAŻNA JEST ANALIZA RYZYKA?

Chcąc prawidłowo wdrożyć RODO w studio, musisz stworzyć analizę ryzyka. To dokument przygotowany po to, by z wyprzedzeniem wprowadzać środki zabezpieczające, chroniące przed możliwością wystąpienia konkretnego zdarzenia, zagrażającego bezpieczeństwu przetwarzania danych osobowych.

Przed czym się bronimy? O jakie ryzyka może chodzić? Pożar to klasyczny przykład, gdy dane osobowe przechowywane są fizycznie. Z kolei w przypadku danych na chmurze, takim zagrożeniem jest atak hakerski.

W zależności od tego, jak będą się przedstawiały aktualne zagrożenia danych osobowych, takie będą środki bezpieczeństwa niezbędne do wdrożenia, aby ryzyk uniknąć. W przypadku chmury mogą to być wszelkiego rodzaju zabezpieczenia systemowe.

Z kolei w przypadku danych gromadzonych w formie papierowej w archiwach – budynek i wszystkie pomieszczenia, w których ma miejsce przetwarzanie danych osobowych powinny zostać zabezpieczone przed dostępem osób nieuprawnionych. Dobrym sposobem jest np. montaż systemu alarmowego i kart dostępu.

UPOWAŻNIENIA I ICH EWIDENCJA

Każda osoba, która „otrzymuje” od dostęp do danych osobowych, które przetwarza Twoje studio, musi zostać do tego upoważniona. Niezależnie czy jest to pracownik, czy współpracownik, taka osoba musi mieć formalnie przyznane prawo dostępu.

Odbywa się to na zasadzie Upoważnienia. Jest to dokument, który musisz przekazać do podpisania pracownikowi (lub współpracownikowi), który wskazuje od kiedy i do jakich kategorii danych ma dostęp upoważniony.

Upoważnienia te należy ewidencjonować, do tego właśnie służy osobny dokument: Ewidencja upoważnień.

REJESTR NARUSZEŃ

W przypadku, gdy dojdzie do naruszenia, czyli czyjeś dane „wyciekną”, musisz to wprowadzić do uporządkowanego rejestru. Jest to Rejestr Naruszeń, który powinno prowadzić Twoje studio. Znajdzie się tam data, rodzaj naruszenia, charakter danych naruszonych.

Pamiętaj, że taki rejestr może zostać skontrolowany przez urząd, dlatego tak ważne, aby on istniał i był zgodny z aktualnym stanem faktycznym!

KLAUZULA INFORMACYJNA

Klauzula Informacyjna RODO to taka informacyjna nota, która wskazuje osobie, która podaje swoje dane, między innymi: kto jest ich administratorem, na jakiej podstawie przetwarzane będą jej dane, przez jaki czas będzie się to przetwarzanie odbywało.

Klasyka RODOwego gatunku. Na pewno napiszemy o tym więcej w kolejnym artykule z serii.

UMOWA POWIERZENIA PRZETWARZANIA

Kolejny obowiązkowy dokument, który musisz mieć w zanadrzu to Umowa powierzenia przetwarzania danych osobowych.

Będzie ona niezbędna w sytuacji, gdy zawierasz umowę z podmiotem, który w ramach Waszej współpracy będzie przetwarzał dane osobowe (gdy Twoje studio administruje tymi danymi). Potrzebny jest „papier” na to, że Twój kontrahent ma prawo wykorzystywać dane, do których Twoje studio daje mu dostęp. Przy okazji regulujecie w tej umowie, na jakich się to odbywa zasadach.

Kiedy potrzebna będzie umowa powierzenia? Przykładowo, jeśli stawiasz stronę i korzystasz z cudzych serwerów – musisz powierzyć dostawcy dane użytkowników. Albo jeśli zlecasz komuś organizację konkursu. Warto wiedzieć, że umowa powierzenia może być częścią innej umowy; najczęściej jest to załącznik to umowy o współpracy.

STANDARDOWE KLAUZULE UMOWNE (SKU)

SKU dokument niezbędny, gdy przekazujesz poza EOG (Europejski Obszar Gospodarczy) dane osobowe, których administratorem lub podmiotem przetwarzającym jest Twoje studio. Takim krajem jest m.in. USA – przykładowo, gdy korzystasz z oprogramowania, którego serwery znajdują się w Stanach, przekazujesz tam dane użytkowników. Standardowe klauzule są obszernym dokumentem, którego celem zawarcia jest zabezpieczenie podstawy prawnej transferu danych do państwa trzeciego.

Jest to nieco bardziej skomplikowane i zdecydowanie warto w tej sprawie poradzić się prawnika. Temat rozwiniemy z pewnością w osobnym poście.

POLITYKA PRYWATNOŚCI, POLITYKA COOKIES

Punkt obowiązkowy od samego początku działania Twojego studia. Jeśli masz stronę WWW – a zakładamy, że raczej ją masz – to wówczas takie informacyjne polityki muszą się na niej znaleźć.

Nie raz widziałeś je na pewno, zwykle na dole strony, w jej stopce.

Czy musisz zatrudniać Inspektora Ochrony Danych (IOD)?

Posiadanie IOD co do zasady nie jest obowiązkowe.

Twoje studio powinno wyznaczyć IOD, jeśli jego główna działalność obejmuje przetwarzanie danych wrażliwych (czyli np. takie dotyczące zdrowia, dane biometryczne czy dane o orientacji seksualnej) na dużą skalę lub regularne i systematyczne monitorowanie osób na dużą skalę.

W przypadku studia gamedev mogą to być sytuacje, gdy dochodzi do monitorowania zachowań osób – między innymi wszelkie formy obserwowania i profilowania w sieci. Jeśli nie jesteś pewien, czy w Twojej firmie konieczny jest IOD, skontaktuj się ze specjalistą w zakresie ochrony danych, na przykład prawnikiem.

Co zrobić, gdy zdarzy się wyciek danych osobowych?

W przypadku naruszenia, przede wszystkim zbadaj jego skalę i charakter. W takiej sytuacji niezbędna będzie pomoc informatyków czy programistów, którzy pomogą ocenić straty. Pamiętaj, że skutki naruszenia oceniasz z perspektywy osoby (lub osób), której dane wyciekły.

Co może się stać z tymi danymi? Czy ktoś może podszyć się pod tę osobę, wykraść jej dane?

O jakie dane chodzi? Czy to tylko e-mail, czy może PESEL lub numer dowodu osobistego?

Jeśli naruszenie może mieć istotny wpływ na osobę, której dane dotyczą – trzeba ją o tym zawiadomić. O tym, jak prawidłowo zawiadomić taką osobę również napiszemy w osobnym artykule. Jeśli natomiast ocena wykaże konieczność zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych (a w przypadku wycieku danych takich jak PESEL, co do zasady będzie taka konieczność), jako administrator masz na to 72 godziny.

Co istotne – każde naruszenie (nawet takie, którego nie trzeba zgłaszać do urzędu) należy udokumentować. Do tego służy rejestr naruszeń.

Jak się zachować w razie kontroli?

Kontrola Prezesa Urzędu Danych Osobowych może mieć kilka źródeł. Pierwszym z nich jest plan opracowywany przez Urząd na każdy rok, który przewiduje kontrole w konkretnych branżach. Plan na 2022 rok opublikowany jest na tej stronie.

Druga możliwość to kontrola spowodowana zgłoszeniem skargi przez osoby, których dane osobowe przetwarzasz, sygnalistów albo też z inicjatywy sądów, prokuratur; a także innych organów, którym przepisy nadają uprawnienia kontrolne.

Trzecim powodem kontroli może być incydent ochrony danych osobowych, a czwartym tzw. kontrola wyrywkowa Prezesa UODO.

Choć w teorii możliwa jest kontrola niezapowiedziana, praktyka pokazuje, że urzędnicy najpierw kontaktują się z podmiotem, który ma być skontrolowany. Przyspiesza to cały proces, który (całościowo) może trwać do 30 dni. W samej Twojej organizacji nie będzie to trwało aż tyle, bo większość czynności odbywa się poza siedzibą Twojej firmy.
W razie kontroli przede wszystkim należy sprawdzić tożsamość inspektorów UODO. Takie osoby powinny się wylegitymować odpowiednim upoważnieniem. Poza tym należy przygotować wszystkie niezbędne dokumenty, które wskazaliśmy wyżej; warto też przygotować pracowników na takie zdarzenie – dobrym na to sposobem są szkolenia. Więcej na temat kontroli dowiesz się z jednego z naszych kolejnych opracowań.

Czy można chronić się przed karami za naruszenie RODO?

Istnieje kilka sposobów, żeby zminimalizować ryzyko nałożenia kary za naruszenie.

Po pierwsze: szkolenia. Regularne szkolenie pracowników z procedur dotyczących danych osobowych jest wręcz niezbędne. W szczególności pamiętaj o szkoleniu dla nowych pracowników lub współpracowników.

Taka praktyczna forma nauki pozwala na odpowiednie dbanie o bezpieczeństwo danych, a także na szybsze wykrycie incydentu. A jak już wiesz, szybkość reakcji ma ogromne znaczenie w kontakcie z urzędem.

Po drugie: zabezpieczenia. Silne hasła do kont, cykliczne wykonywanie kopii zapasowych, aktualizacji systemów, szyfrowanie zewnętrznych dysków odpowiednio silnymi hasłami, blokada dostępu do miejsc z danymi przez nieupoważnione osoby, testy bezpieczeństwa, szyfrowanie maili – to tylko niektóre z możliwości solidnego zabezpieczenia danych osobowych w Twoim studio.

Po trzecie: procedury. Wdrożenie odpowiednich procedur ochrony danych i aktualizowanie ich w razie potrzeby to kluczowe zagadnienie, gdy chodzi o RODO. W razie kontroli nie tylko dokumentacja, ale i procedury podlegają sprawdzeniu przez inspektorów.

Jeśli natomiast już dojdzie do nałożenia kary, rozpoczyna się procedura administracyjna: kary za naruszenie RODO nakładane są w drodze decyzji administracyjnej.  Wobec tego można się od niej odwołać do sądu administracyjnego. Odwołanie wnosi się w terminie czternastu dni od dnia doręczenia decyzji stronie, a gdy decyzja została ogłoszona ustnie – od dnia jej ogłoszenia stronie.

Czy kar da się uniknąć, gdy już doszło do naruszenia RODO?

Jak najbardziej. Więcej szczegółów przedstawimy w kolejnym poście. Ważne, abyś już teraz widział, że znaczenie mają m.in. odpowiednio szybka reakcja na naruszenie bezpieczeństwa danych osobowych, zgłoszenie naruszenia organowi nadzorczemu, powiadomienie osoby, której dane „wyciekły”…

Sposobów na ograniczenie kary lub nawet całkowite jej uniknięcie jest wiele. Dobra organizacja w zakresie ochrony danych, odpowiednie zabezpieczenia, wyznaczenie osoby odpowiedzialnej za kontakt z urzędem – to kilka wskazówek, aby naruszenie nie wymknęło się spod kontroli Twojej firmy.

PRAWIDŁOWE POSTĘPOWANIE W PRZYPADKU NARUSZENIA

Jeśli dojdzie do naruszenia,  które niesie wysokie ryzyko naruszenia praw lub wolności osób fizycznych, trzeba będzie poinformować tę osobę (przeczytaj artykuł). Musi ona mieć świadomość zagrożeń, jakie niesie dowiedzenie się innej osoby np. o jej numerze PESEL (dane osobowe mogą być bezprawnie wykorzystywane, np. w celu wzięcia kredytu). W samym powiadomieniu znaleźć powinny się także informacje o możliwych ryzykach związanych z takim wyciekiem.

Nie każde naruszenie trzeba zgłosić do Urzędu Ochrony Danych Osobowych. Jeśli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, to nie ma obowiązku zgłaszania. Kluczowa jest więc ocena czy takie ryzyko istnieje.

Pamiętaj, że każde naruszenie (nawet to niezgłaszane do UODO) trzeba odnotować w rejestrze!

NIEPRAWIDŁOWE POSTĘPOWANIE W PRZYPADKU NARUSZENIA

Zbyt długie odwlekanie z decyzją o powiadomieniu zainteresowanej osoby, że jej dane zostały naruszone; niepowiadomienie jej w ogóle, w sytuacji gdy jej prawa lub wolności mogły zostać zagrożone – to klasyczne przykłady nieprawidłowego postępowania po naruszeniu.

Taka sytuacja wiąże się z ryzykiem że sama zainteresowana osoba zgłosi się do Prezesa Urzędu Ochrony Danych Osobowych. To z kolei może negatywnie wpłynąć na wizerunek Twojego studia. Sytuacja nieciekawa zarówno PR-owo, jak i finansowo.

Brak współpracy z organem nadzoru to poważna wada z punktu widzenia urzędu. Działania po wycieku danych muszą być błyskawiczne; zdarzało się bowiem, że urząd nakładał kary za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki.

Nieprawidłowe oszacowanie skutków naruszenia to kolejny błąd. Jeśli istnieje duże ryzyko zagrożenia cudzych praw i wolności – incydent musi zostać zgłoszony zarówno do urzędu, jak i osobie, której dane zostały naruszone.

***
Pamiętaj, że samodzielne stworzenie solidnej dokumentacji oraz wdrożenie RODO może być trudne. Jeśli masz problem z jakimkolwiek powyżej opisanym elementem, zgłoś się po pomoc do prawnika znającego się na ochronie danych osobowych. Taka osoba doradzi i dopasuje rozwiązania idealnie dla Twojego studia.

Nie kupuj gotowców! Wiele podmiotów oferuje takie „idealne” rozwiązania w niskiej cenie. Ich jakość często pozostawia jednak wiele do życzenia. A dane osobowe to zbyt istotny temat, żeby zostawiać go nieuregulowanym!

Picture of Katarzyna Kwasek

Katarzyna Kwasek

Adwokat. Specjalizuje się w obsłudze prawnej biznesu kreatywnego, prawie własności intelektualnej i ochrony danych osobowych. Współautorka książki: Poradnik prawny dla gamedevu. Autorka bloga GLAM LAW o prawie w popkulturze, a także publikacji w mediach branżowych.

Podoba Ci się artykuł?

Facebook
Twitter
LinkedIn

SERWIS DISCLAIMER: Serwis ma charakter edukacyjny, a jego treści nie stanowią porady prawnej, lecz wyraz poglądów i ocen autorów poszczególnych wpisów na prezentowane tematy. Treści zamieszczone w serwisie mogą nie wyczerpywać poruszanego zagadnienia. Serwis prowadzony jest w formie nieregularnych wpisów, nie stanowi czasopisma ani dziennika w rozumieniu ustawy prawo prasowe, a jego wpisy nie są aktualizowane wraz z upływem czasu. Ani Kancelaria EK LEGAL ani autorzy poszczególnych postów nie ponoszą odpowiedzialności za szkodę spowodowaną zastosowaniem się do treści opublikowanych w serwisie.

Strategy, design, marketing & support by web.lex

0
    0
    Koszyk
    Twój koszyk jest pustyWróc do sklepu
    Kontynuuj zakupy