Nowe unijne rozporządzenie RODO (Ogólne Rozporządzenie o Ochronie Danych Osobowych) z dn. 27 kwietnia 2016r. wprowadziło zmiany w dotychczasowej polskiej ustawie o ochronie danych osobowych. Czas na wdrożenie rozporządzenia wyznaczony jest do 25 maja 2018r i kieruje się do wszystkich przedsiębiorców, którzy gromadzą i przetwarzają informacje o osobach fizycznych. W szerszym rozumieniu oznacza to, że nie ma znaczenia wielkość przedsiębiorstwa, rodzaj świadczonych usług, czy forma prowadzonej działalności, każdy podmiot musi dostosować się do zmian, nawet taki który nie ma siedziby na terytorium UE, a oferuje produkty/usługi dla osób fizycznych w państwach członkowskich.

Przetwarzanie danych osobowych, oznacza wykonywanie różnych operacji wykorzystując do tego celu informacje o konkretnej osobie fizycznej (klient, kontrahent, pracownik). Operacjami można nazwać gromadzenie, utrwalanie, przechowywanie, modyfikacja, przeglądanie, pobieranie, rozpowszechnianie, wykorzystywanie, ujawnianie, przesyłanie itd. Rozporządzenie RODO ma na celu ujednolicenie przepisów o ochronie danych osobowych, dla większego bezpieczeństwa w swobodzie przepływu informacji. Głównie wiąże się to z zachowaniem odpowiedniego poziomu zabezpieczeń, ale również z kontrolą samych użytkowników nad ich danymi osobowymi (nowe prawa osób fizycznych).

Niedostosowanie się do nowych przepisów może mieć niemiłe skutki, w postaci kar pieniężnych. Ich wysokość zależna jest od konkretnego przypadku, jednak górna granica sięga nawet 20 mln. euro lub 4% rocznych obrotów przedsiębiorstwa.

Wdrożenie RODO wiąże się ze zmianami w obszarach prawa i technologii oraz nowymi obowiązkami dla przedsiębiorców w zakresie zbierania, przetwarzania i przechowywania danych o klientach. W rozporządzeniu występuje pojęcie administratora jako osoby odpowiedzialnej za wdrażanie owych zmian. Może on działać samodzielnie, bądź wspólnie z innymi osobami, ustalając sposoby działania pod kątem technicznym i organizacyjnym. Administratorem danych może zostać każdy, nawet jednoosobowy przedsiębiorca.

Kluczowe będzie zastosowanie środków prywatności już w fazie projektowania. Oznacza to zastosowanie projektu (technologii) ochrony danych przy każdym etapie przetwarzania, jako część składowa. Dodatkowo domyślnie powinna udostępniać się jak najmniejsza ilość informacji o osobie fizycznej. Stopień zabezpieczeń ma odpowiadać stwierdzonemu ryzyku.

Następnie obowiązek prowadzenia rejestru czynności przetwarzania, który może w każdej chwili zostać sprawdzony przez organ nadzorczy. Chodź rozporządzenie nie nakłada na przedsiębiorstwa wymogów dotyczących formy zbierania i przechowywania informacji, to w przypadku większej bazy danych, należałoby zastosować urządzenie informatyczne.

W przypadku naruszenia ochrony danych, czyli „wycieku” informacji, podmiot sam musi poinformować o tym fakcie organ nadzorczy, a w niektórych przypadkach również osoby których dane dotyczyły. Na takie zgłoszenie jest czas do 72h od zaistnienia incydentu, wraz z podaniem powodu, ilości danych, konsekwencji oraz zastosowania środków zmniejszających negatywne skutki.

Osoby fizyczne uzyskają wiele przywilejów m.in. dostęp do danych zgromadzonych na swój temat, z możliwością ich edytowania, przeniesienia, bądź całkowitego usunięcia. Już na etapie pozyskiwania informacji każda osoba powinna być informowana o celu i dalszym etapie przetwarzania jej danych. Natomiast samo pozyskiwanie informacji, powinno nastąpić z użyciem prostego, zrozumiałego języka – tak aby osoba, która udostępnia dane, wiedziała na co wyraża zgodę. A jeśli jest to możliwe powinna również zostać poinformowana o okresie przechowywania kartoteki, o ewentualnym ryzyku, bądź stosowanych zabezpieczeniach. Obowiązki informacyjne wiążą się z koniecznością wymiany wszystkich formularzy, a dotychczasowa klauzula zawierająca zgodę na przetwarzanie danych, nieco się rozszerzy.

W kwestii profilowania, również zostały wprowadzone zmiany. Niezbędne będzie poinformowanie o tym fakcie osoby jeszcze przed rozpoczęciem zbierania informacji, a następnie otrzymanie jej zgody. Osoba udzielająca swoich danych, powinna wiedzieć co będzie działo się z jej danymi oraz jakie będą tego konsekwencje. Może ona również w każdym czasie zgłosić sprzeciw wobec automatycznego przetwarzania swoich danych.

Ponadto rozporządzenie narzuca obowiązek powołania Inspektora Ochrony Danych Osobowych, na miejsce uprzednio Administratora Bezpieczeństwa Informacji, który był dobrowolny. Dotyczy to głównie podmiotów publicznych oraz podmiotów prywatnych, działających na dużą skalę. Funkcją Inspektora będzie monitorowanie działań administratorów oraz instruowanie ich zgodnie z rozporządzeniem, o środkach bezpieczeństwa przetwarzania danych osobowych. Kryterium przy wyborze Inspektora powinny być posiadane kwalifikacje zawodowe oraz znajomość krajowych i europejskich przepisów w zakresie ochrony danych.

Aby zacząć wdrażać instrumenty zawarte w RODO w danym podmiocie, należy wykonać szereg działań, w zależności od charakteru i wielkości przedsiębiorcy. Niemniej jednak proces wdrażania wymaga czasu. Nie obejdzie się bez audytu wewnętrznego w celu oceny stanu ochrony danych osobowych, czy oceny ryzyka. Może również okazać się, że będą potrzebne szkolenia dla pracowników, dlatego warto już teraz zacząć zagłębiać się w tematykę RODO.

 

Autor: Monika Mucha