W dniu 25 maja 2016 r. weszło w życie nowe Rozporządzenie Ochrony Danych Osobowych (RODO). Przepisy te można stosować już dzisiaj, dostosowując do nich swoją firmę i obowiązujące w niej zasady ochrony danych osobowych. Po 25 maja 2018 r. każdy przedsiębiorca w Polsce i w Unii Europejskiej będzie zobowiązany do stosowania w/w przepisów. Do 25 maja 2018 r. powinna być uchwalona przez Sejm nowa ustawa o ochronie danych osobowych, która będzie regulować te obszary, co do których RODO pozostawia taką możliwość. Projekt ustawy został już opublikowany w marcu 2017 r. Wzmocniona będzie rola Urzędu Ochrony Danych Osobowych (dziś Generalny Inspektor Ochrony Danych Osobowych), który za naruszenie przepisów, będzie mógł nakładać kary finansowe.
Nowe prawo wprowadzi wiele zmian w podejściu do ochrony osobowych, które pozwoli uniknąć kary, między innymi:
- konieczne będzie uwzględnienie ochrony danych osobowych już w fazie projektowania rozwiązań informatycznych
- obowiązkowe będzie rejestrowanie czynności przetwarzania danych osobowych
- nałożony zostanie obowiązek przeprowadzania analizy skutków pod kątem ochrony danych osobowych
- rozbudowane zostaną klauzule informacyjne
- administratorzy danych osobowych będą zobowiązani do informowania organu ochrony danych o naruszeniu przepisów
W nowym podejściu ochrona danych osobowych w przedsiębiorstwie to ciągły proces, dlatego ważne jest, by jak najlepiej przygotować się do nowych obowiązków, a w późniejszych etapach modyfikować go w zależności od aktualnej sytuacji faktycznej przedsiębiorcy. Należy pamiętać, że Administratorem Danych Osobowych (ADO) jest w dużym uproszczeniu firma. W przypadku działalności gospodarczej odpowiedzialny za spełnienie wymogów RODO jest właściciel a w przypadku spółek kapitałowych – Spółka (w praktyce: jej zarząd).
Niniejszy artykuł ma za zadanie przybliżyć zakres prac, jakie musi wykonać każdy ADO by dostosować firmę do nowych przepisów.
Proces zbierania zgód
Zgoda na przetwarzanie danych osobowych jest jedną z podstaw przetwarzania danych osobowych.
W pierwszej kolejności należy zbadać, czy warunki wyrażenia zgody na przetwarzanie danych osobowych są realizowane odpowiednio. W RODO wyjaśniono, że jeżeli przetwarzanie danych osobowych ma za podstawę zgodę uzyskaną na podstawie obecnie obowiązujących przepisów, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeśli pierwotny sposób jej wyrażenia odpowiada warunkom RODO. W praktyce oznacza to, że po 25 maja 2018 r. możliwe będzie kontynuowanie przetwarzania danych w oparciu o zgody zebrane na podstawie UODO, pod warunkiem, iż spełniają one warunki ich wyrażenia przewidziane
w nowych przepisach. W rzeczywistości, jeśli dotychczas ADO zbierał zgody zgodnie
z wymaganiami UODO nie będzie musiał zbierać nowych zgód, jednak każdą nową zgodę będzie musiał zbierać na podstawie przepisów RODO.
ADO musi być w stanie wykazać, że osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych. Kolejnym obowiązkiem dowodowym po stronie ADO jest możliwość wykazania, czy została wprowadzona procedura informowania osoby, której dane dotyczą o prawie do cofnięcia wyrażonej zgody na przetwarzanie danych jeszcze przed jej wyrażeniem. Dodatkowo ADO ma obowiązek zapewnienia, że wycofanie zgody będzie tak łatwe jak jej wyrażenie. Co w praktyce oznacza, że ADO będzie musiał już na etapie planowania uzyskania zgody przewidzieć mechanizm jej wycofania, a więc zastanowić się, jak zgodę tę będzie można odwołać. Łatwość wycofania zgody odnosi się do środków komunikacji identycznych jak te, za pośrednictwem których zgoda została udzielona, np. jeśli zgoda została wyrażona na stronie internetowej, za pomocą checkboxa, to na stronie powinna pojawić się dodatkowa zakładka umożliwiająca wycofanie zgody.
Jeżeli przetwarzane są dane osobowe dzieci poniżej 13 roku życia a przetwarzanie dotyczy korzystania przez nie z usług społeczeństwa informacyjnego, ADO musi wykazać, iż korzysta z procedury uzyskiwania zgody na przetwarzanie danych dziecka od rodzica lub opiekuna. Każdy ADO musi w związku z tym indywidualnie ocenić, który mechanizm będzie
w rzeczywisty, ale jednocześnie rozsądny sposób weryfikował wiek osoby, której dane dotyczą.
Ważne w wyżej opisanych procesach jest to, by ADO mógł wykazać, że wszelkie wymagania dotyczące nowych przepisów zostały poprawnie spełnione a przetwarzanie danych odbywa się zgodnie z prawem.
Obowiązki informacyjne
RODO określa nowy zakres informacji, jakie powinny pojawić się podczas zbierania zgody, której udziela osoba na przetwarzanie jej danych osobowych.
ADO musi zatem wprowadzić do treści klauzuli informacyjnej nowe dane.
W pierwszej kolejności powinien podać swoją tożsamość tj. dane swojej firmy i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela. Jeżeli wyznaczony został Inspektor Ochrony Danych, wówczas należy podać jego dane kontaktowe. Muszą zostać wskazane cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania. Kolejnym zestawem informacji, jeżeli znajdzie to zastosowanie, będzie wskazanie odbiorców danych osobowych lub kategorii odbiorców (przykładowo firmy realizujące dostawę towarów).
Jeżeli z jakichś względów ADO zamierza przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej, informacja taka powinna być również przekazana podmiotowi danych.
Ponadto, podczas pozyskiwania danych osobowych ADO powinien poinformować przez jaki okres, dane osobowe będą przechowywane, a gdy nie jest to możliwe, powinien określić kryteria ustalania tego okresu.
Kolejne informacje, jakie powinny zostać przedstawione, to informacje o prawie do żądania od ADO dostępu do danych osobowych dotyczących osoby, której dane dotyczą, możliwość ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.
Ważną kwestią jest również informacja o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
Osoba, której dane są przetwarzane jest uprawniona do wniesienia skargi do organu nadzorczego, o czym również powinna zostać poinformowana. Istotne jest również określenie, czy podmiot danych ma ustawowy bądź umowny obowiązek podania informacji oraz jakie są ewentualne konsekwencje ich niepodania.
Novum w stosunku do poprzednio obowiązujących przepisów stanowi obowiązek udzielenia podmiotowi danych informacji o zautomatyzowanym podejmowaniu decyzji, w tym
o profilowaniu, wraz ze wskazaniem zasad ich podejmowania, a także o przewidywanych konsekwencjach takiego przetwarzania.
Więcej o profilowaniu dowiecie się z naszego materiału wideo:
Systemy Informatyczne
Kolejnym elementem, który należy przeanalizować są systemy informatyczne, w jakich przetwarzane są dane osobowe.
Aby być zgodnym z RODO, należy dostosować systemy informatyczne i procesy biznesowe w taki sposób, by umożliwić realizację praw osób, których dane są przetwarzane.
Przenoszenie danych
System informatyczny musi zapewnić możliwość spełnienia żądania podmiotu danych do otrzymania od ADO informacji, które sam dostarczył. Administrator jest zobowiązany przekazać dane osobowe w ustrukturyzowanym formacie (np. w pliku pdf).
Prawo do bycia zapomnianym
Każda osoba, której dane dotyczą, ma prawo żądania od ADO niezwłocznego usunięcia dotyczących jej danych osobowych, a ADO ma obowiązek bez zbędnej zwłoki je usunąć jeżeli zachodzi jedna z następujących okoliczności:
- dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
- osoba, której dane dotyczą, cofnęła zgodę, na której opierało się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;
- osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania dotyczących jej danych osobowych;
- dane osobowe były przetwarzane niezgodnie z prawem;
- dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego
w prawie Unii lub prawie państwa członkowskiego, któremu podlega ADO; - dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.
Ograniczenia przetwarzania
Oprócz prawa do bycia zapomnianym każda osoba, której dane dotyczą, ma prawo żądania od ADO ograniczenia przetwarzania w następujących przypadkach:
- osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
- administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
- osoba, której dane dotyczą, wniosła sprzeciw z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na interesie publicznym lub prawnie uzasadnionych interesach (sprzeciw na mocy art. 21 ust. 1) – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
Dostęp do danych oraz uzyskanie kopii danych
Każda osoba, której dane dotyczą, ma prawo żądania informacji o wszystkich jej danych osobowych podlegających przetwarzaniu, a zwłaszcza o:
- celach przetwarzania;
- kategoriach danych osobowych;
- odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
- – planowanym okresie przechowywania danych osobowych, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;
- informacji o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
- informacji o prawie wniesienia skargi do organu nadzorczego;
- jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą, a także żądania kopii tych danych.
Systemy informatyczne w których przetwarzane są dane osobowe powinny umożliwiać ADO spełnienie wyżej opisanych praw podmiotów danych.
Mechanizmy Ochrony Danych Osobowych
RODO wprowadza dwie nowe definicje mające wpływ na sposób, w jaki w firmie wprowadza się nowe rozwiązania, czyli na co dodatkowo trzeba zwracać uwagę przy definiowaniu nowych produktów lub usług, za pośrednictwem których będą dane osobowe przetwarzane.
„Privacy by design” to wkomponowanie problemu ochrony danych osobowych, w działania ADO, począwszy od etapu planowania procesu, a więc jeszcze przed nadaniem mu warstwy technicznej, wyłącznie na etapie warstwy koncepcyjnej. W praktyce przedsiębiorca planujący przeprowadzenia np. akcji marketingowej lub konkursu, będzie zobowiązany do przeprowadzenia oceny, czy zakładane operacje na danych osobowych, oraz sposoby ich zabezpieczenia, będą zgodne z obowiązującymi przepisami. Zatem już na tym etapie, przedsiębiorca powinien rozważyć na jakiej przesłance zostanie oparty proces przetwarzania danych osobowych. Należy również pamiętać, że privacy by design nie ogranicza się jedynie do etapu planowania. Z przepisów RODO wynika, że ocena zgodności z przepisami dotyczy również etapu realizacji procesu. Zatem, aby zapewnić zgodność z privacy by design zasadnym będzie regularny przegląd funkcjonowania procesu przetwarzania danych oraz jego elementów. Przy czym proces przetwarzania danych często nie kończy się w momencie zakończenia akcji, np. e przypadku konkursu dane osobowe będą przetwarzane dłużej niż do dnia przyjmowania zgłoszeń, pozostaje później jeszcze kwestia wydania nagród, odprowadzenia podatków, rozpatrzenia reklamacji i archiwizacji zgłoszeń.
„Privacy by default” jest zapewnieniem, aby domyślnie były przetwarzane dane wyłącznie niezbędne do osiągnięcia konkretnego celu przetwarzania; zapewnienie ustawień gwarantujących ochronę danych jako pierwotnych ustawień systemu informatycznego czy oprogramowania. Zmiana tych ustawień powinna następować jedynie na wyraźne żądanie użytkownika oprogramowania/systemu. Co za tym idzie privacy by default wymaga ustawień oprogramowania/systemu zapewniających możliwie najszerszą ochronę prywatności wszystkich użytkowników. Użytkownicy, którzy chcą ograniczyć swoją prywatność, muszą podjąć aktywne działania w tym kierunku. ADO tworząc oprogramowanie/system nie mogą wobec tego wprowadzać domyślnych ustawień ingerujących w prywatność użytkowników. To czy dane osobowe są niezbędne dla osiągnięcia konkretnego celu przetwarzania należy rozpatrywać w odniesieniu do:
- ilości zbieranych danych;
- zakresu ich przetwarzania;
- okresu ich przechowywania;
- ich dostępności.
W zakresie istniejących rozwiązań tj. produktów lub usług należy uwzględnić nowe wymogi w zakresie RODO i odpowiednio dostosować produkty lub usługi do nich.
Jeśli jesteś jeszcze przed wdrożeniem koniecznie pobierz nasz darmowy poradnik „Jak wdrożyć RODO w firmie ” Znajdziesz go tutaj.
Środki techniczne i organizacyjne
Obowiązkiem ADO jest wdrożenie takich środków technicznych i organizacyjnych, które zapewnią odpowiedni stopień bezpieczeństwa na podstawie oszacowanego ryzyka.
Przede wszystkim należy mieć na uwadze możliwość pseudonimizacji i szyfrowania danych osobowych oraz zdolność do ciągłego zapewniania poufności, integralności, dostępności
i odporności systemów i usług przetwarzania. Ważne jest również to by firma miała możliwość szybkiego przywrócenia dostępności danych osobowych w razie incydentu fizycznego lub technicznego. Obowiązkowe jest również regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem danych.
Przepisy nie wskazują wprost jak w/w kwestie powinny być zorganizowane w sensie technicznym i organizacyjnym, jednak powinny:
- zapewniać najwyższy znany i możliwy w chwili przetwarzania danych, poziom ochrony;
- nie być czynnością jednorazową, środki te są w razie potrzeby poddawane przeglądom i uaktualniane;
- uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia;
- być proporcjonalne w stosunku do czynności przetwarzania.
Podejście to miało zapobiec sytuacji, w której prawo nie nadążałoby za rozwojem nowoczesnych technologii, wskazane raz środki techniczne i organizacyjne, mogłyby za chwilę okazać się archaiczne.
Na ADO ciąży duża odpowiedzialność – to on sam musi dokonać wyboru w kwestiach technicznych i organizacyjnych, wdrożyć je i w razie kontroli umieć wykazać jak w praktyce wywiązał się z obowiązków RODO.
Nowe umowy powierzenia
Umowy w zakresie powierzenia przetwarzania danych osobowych powinny ulec modyfikacji w zakresie zobowiązań, jakie na mocy RODO otrzymał tzw. procesor, czyli firma, której powierzono przetwarzanie danych osobowych.
Jeżeli takie umowy już zostały zawarte, powinny być aneksowane.
Przykładem procesora jest zewnętrzna firma księgowa, firma hostingowa, firma wysyłająca mailingi itp.
Należy dokonać analizy, czy procesorzy, z którymi zostały zawarte umowy powierzenia przetwarzania danych osobowych zapewniają wystarczające gwarancje bezpieczeństwa zgodne z RODO. Przy doborze lub weryfikacji wybranych już podmiotów należy kierować się odpowiednimi kryteriami.
W pierwszej kolejności, należy współpracować tylko z takimi firmami, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Nie należy korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora danych osobowych.
ADO będzie musiał precyzyjnie określić:
- przedmiot i cel przetwarzania;
- rodzaj danych osobowych oraz kategorie osób, których dane dotyczą;
- obowiązki i prawa administratora.
Dodatkowo umowa będzie musiała określać obowiązki podmiotu przetwarzającego tj.:
- zapewnienie, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
- wdrożenia odpowiednich środków organizacyjnych i technicznych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych;
- pomaganie ADO wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw;
- pomaganie ADO w zabezpieczeniu danych, zgłaszaniu naruszeń organowi nadzorczemu, zawiadamianiu osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych;
- zwrot lub usunięcie wszelkich danych osobowych oraz usunięcie wszelkich istniejących kopii;
- umożliwienie przeprowadzenia audytów i przyczynienia się do nich.
Rejestr czynności przetwarzania
Każdy podmiot przetwarzający oraz jego przedstawiciel (jeżeli istnieje) powinien prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych
w imieniu administratora.
Rejestr taki może być prowadzony w formie elektronicznej lub papierowej. Ważnym elementem jest odpowiednie zapewnienie, że jest on aktualny i dokładnie odzwierciedla stan rzeczywisty w firmie.
Rejestr powinien zawierać:
- imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
- gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa tj.: pseudonimizacja i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularność testowania i oceniania skuteczności ww. środków lub technicznego, regularność testowania i oceniania skuteczności ww. środków.
Każdy podmiot przetwarzający będzie miał obowiązek prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. W rejestrze kategorii czynności przetwarzania dokonywanych w imieniu administratora zamieszcza się następujące informacje:
- imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
- gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa tj.: pseudonimizacja i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularność testowania i oceniania skuteczności ww. środków.
Rejestr naruszeń
Każdy ADO ma obowiązek prowadzenia rejestru naruszeń danych osobowych.
W firmie powinna zostać opracowana i wdrożona wewnętrzna polityka w zakresie zarządzania incydentami, zgłaszania ich przez personel oraz dalszego ich postępowania w celu ograniczenia skutków naruszenia, zawiadamiania osoby, której dotyczą dane o naruszeniu.
Obowiązkiem ADO będzie zgłaszanie w ciągu 72 godzin, od wykrycia naruszenia, do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Zgłoszenie będzie musiało zawierać co najmniej:
- opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie
i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; - imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opis możliwych konsekwencje naruszenia ochrony danych osobowych;
- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Może także wystąpić konieczność zawiadomienia konkretnej osoby, bez zbędnej zwłoki,
o przypadku wystąpienia dużego ryzyka naruszenia jej praw lub swobód, a sama informacja powinna zawierać co najmniej:
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji.
- opis możliwych konsekwencje naruszenia ochrony danych osobowych.
- opis środków zastosowanych lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki
w celu zminimalizowania jego ewentualnych negatywnych skutków.
Niedostosowanie się do w/w procedury zgłoszenia naruszenia może skutkować surowymi karami dla ADO.
Naruszenie przez przedsiębiorcę przepisów RODO będzie groziło nałożeniem wysokiej kary finansowej do 20 mln euro lub 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa – nie zapominając o ryzyku utraty reputacji związanym z utratą zaufania klientów po wykryciu naruszenia.
Jeśli jesteś zainteresowany rzetelnym wdrożeniem RODO w swojej firmie sprawdź, co dla Ciebie przygotowaliśmy – https://www.politykabezpieczenstwa.pl/rodo
Zostaw komentarz