Unijne Rozporządzenie o Ochronie Danych Osobowych (RODO) wprowadza znaczące zmiany. Dotyczą one m.in. rozszerzenia zakresu podmiotów objętych obowiązkami ochrony danych osobowych oraz wysokości kar za ich naruszenie.
W kwietniu 2016 roku –po 4 latach prac i dyskusji – Parlament Europejski i Rada Unii Europejskiej przyjęły Rozporządzenie Ogólne o Ochronie Danych Osobowych RODO (ang. GDPR General Data Protection Regulation). Reguluje ono ochroną osób fizycznych w związku z przetwarzaniem ich danych osobowych. GDPR ma wprowadzić regulacje jednolite dla wszystkich państw członkowskich Unii Europejskiej (w Polsce – RODO). Zastępują one obecnie obowiązujące w krajach UE ustawy, w tym polską ustawę.
Kluczowe zmiany wprowadzane przez nowe rozporządzenie UE
GDPR ma dostosować regulację o ochronie danych osobowych z 1995r. do dynamicznie rozwijającego się i globalizującego świata nowych technologii. Ostatnie 20 lat przyniosło postęp technologiczny o niespotykanej dotąd skali. Skuteczna ochrona danych osobowych w świecie, w którym nieustanna wymiana informacji jest codziennością, usługi chmurowe standardem, a Internet rzeczy (ang. IoT) przestał być wizją, jest więc konieczne. GDPR ma stanowić odpowiedź na nowe problemy.
Zmiany wprowadzone przez RODO dotyczą m.in. zmiany zakresu obowiązków i odpowiedzialności w kwestii ochrony danych osobowych. Nową regulacją obejmie zarówno firmy, administratorów danych osobowych, jak i podmioty działające na ich zlecenie, np. dostawców usług cloud computing. Dodatkowo RODO objęte będą również podmioty spoza Unii Europejskiej, „o ile przetwarzanie danych będzie związane z oferowaniem towarów i usług lub z monitorowaniem zachowania osób z krajów UE”.
Na co zwrócić uwagę w związku z RODO
Nowe, unijne rozporządzenie wprowadza także koncepcję Privacy by design. Oznacza ona konieczność stosowania rozwiązań technicznych i organizacyjnych – które uwzględniałyby mechanizmy ochrony prywatności – już na etapie projektowania systemów IT i procesów przetwarzania danych.
RODO wprowadza też obowiązek zgłaszania naruszeń ochrony danych osobowych w terminie 72 godzin od ich stwierdzenia.
Zostanie zlikwidowany obowiązek rejestracji zbioru danych. Zastąpi go obowiązek dokumentowania przetwarzania danych i oceny związanego z tym ryzyka.
Jak przygotować się do RODO
Za niezgodne z RODO przetwarzanie danych osobowych przewidywane są bardzo wysokie kary pieniężne. Może to być nawet do 20 mln euro lub do 4% całkowitego, rocznego, globalnego obrotu z poprzedniego roku. Aby uniknąć tego typu ryzyka, zalecane jest podjęcie odpowiednich działań już dziś. Zostało tylko 13 miesięcy na przygotowanie się do nowych regulacji. – to niedużo. Tym bardziej, że chodzi o całkowitą zmianę sposobu ochrony danych osobowych.
Należy więc po pierwsze zastanowić się, jak zbierane, przechowywane, przetwarzane i wykorzystywane są w naszej firmie dane osobowe. W tym celu należy m.in. przeanalizować zawarte umowy powierzenia przetwarzania danych osobowych partnerom oraz procedurę udzielania zgód na takie przetwarzanie. Wziąć należy także pod uwagę miejsce, czas i sposób przechowywania oraz przetwarzania danych osobowych.
Kolejnym krokiem powinno być zaprojektowanie planu działań dotyczących dostosowania się do RODO. Obejmować mogą one np. renegocjacje umów w celu ich dostosowania do zaktualizowanego prawa, jak i wdrożenie koncepcji Privacy by design do procesów projektowania i wdrażania rozwiązań IT. Uwzględnić muszą one nowe prawa, w tym do: informacji, dostępu do danych, sprostowania danych, bycia zapomnianym, ograniczenia przetwarzania danych, przenoszenia danych, a także sprzeciwu wobec przetwarzania oraz profilowania i zautomatyzowanego podejmowania decyzji.
Zgodnie z postanowieniami RODO firmy mają tylko 13 miesięcy na przygotowanie się do nadchodzących zmian zarówno pod kątem prawnym, jak i technicznym (informatycznym). Wykorzystaj ten czas na wykonanie dobrego audytu prawnego, organizacyjnego i informatycznego. Wskazane byłoby, aby w tym okresie administratorzy danych (szczególnie kadra zarządzająca) zapoznali się z nowymi regulacjami, obowiązkami i wytycznymi oraz sankcjami, jakie grożą za nieprzestrzeganie lub niewdrożenie przepisów RODO.
W szczególności zalecane jest, aby firmy dokonały przed 25 maja 2018r.:
– weryfikacji przesłanek i podstaw przetwarzania danych osobowych;
– weryfikacji konieczności i zasadności powołania Inspektora Ochrony Danych Osobowych;
– analizy i weryfikacji dokumentacji kadrowej i zasad procesu rekrutacji;
– ustalenia kategorii i zbiorów przetwarzania danych osobowych;
– audytu przetwarzania danych pod kątem RODO i rekomendacji do wdrożenia w przyszłości;
– przeprowadzenia szkoleń dla pracowników w zakresie nowych zasad przetwarzania danych na gruncie RODO;
– weryfikacji stron internetowych pod kątem przetwarzania danych i rekomendacji zmian na gruncie RODO;
– weryfikacji umów powierzenia przetwarzania danych osobowych oraz propozycji nowych postanowień pod kątem RODO;
– weryfikacja stosowanych klauzul informacyjnych oraz propozycji nowych klauzul na gruncie RODO;
– weryfikacja stosowanych klauzul zgody na przetwarzanie danych oraz propozycji nowych klauzul na gruncie RODO;
– opracowanie wstępnej dokumentacji związanej z ochroną danych na gruncie RODO oraz systematycznej (cyklicznej, np. raz na kwartał) weryfikacji pod kątem nowych wytycznych i wskazówek organów nadzorczych.
Dodatkowo, RODO przewiduje, że pewne szczególne kwestie mogą i powinny zostać uregulowane w ramach ustawodawstwa krajowego. Zatem, konieczne będzie także monitorowanie zmian w polskiej ustawie o ochronie danych oraz ewentualne wdrożenie jej zasad w firmach (np. w zakresie kwestii pracowniczych).
A to jeszcze nie wszystko! RODO wyraźnie wskazuje także konieczność regularnego testowania, mierzenia i oceniania skuteczności wdrożonych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Nie wystarczy zatem w dokumentacji uzasadnić swój wybór środków bezpieczeństwa, lecz także opracować, wdrożyć i udokumentować proces cyklicznej weryfikacji, że wybór ten jest trafny i zapewnia odpowiedni poziom bezpieczeństwa.