Już niebawem, bo w maju tego roku, zaczną obowiązywać nowe, unijne przepisy dotyczące ochrony danych osobowych. Zostało mało czasu na zapoznanie się z nimi i wprowadzenie koniecznych zmian. Mimo to wiele firm nie zaczęło jeszcze procesu wdrażania obowiązkowych regulacji. To naprawdę ostatni dzwonek, aby nadrobić zaległości w tym temacie.
Czym jest Rozporządzenie Ogólne o Ochronie Danych Osobowych?
Do tej pory, w zakresie ochrony danych osobowych, obowiązywała unijna regulacja z 1995 roku. Niestety, przez postęp technologiczny, stała się ona coraz mniej użyteczna. Postanowiono więc stworzyć nowe prawo UE, które lepiej korespondowałoby z obecnym i przyszłym stanem cyfryzacji.
Nowe regulacje to właśnie Rozporządzenie Ogólne o Ochronie Danych Osobowych, w skrócie RODO (ang. GDPR – General Data Protection Regulation). Zaczną one obowiązywać od 25 maja 2018 roku i wprowadzą szereg obowiązków. Wszystkie firmy, które w jakimkolwiek stopniu zbierają i przetwarzają dane osób fizycznych: klientów, subskrybentów itp., będą musiały je wypełniać. RODO dotyczy także ludzi nieposiadających działalności gospodarczej. Jeśli gromadzą oni informacje o obywatelach Unii Europejskiej w jakichkolwiek innych celach niż typowo osobiste, będą musieli dostosować się do treści rozporządzenia. Od maja przepisy RODO obowiązują we wszystkich państwach unii.
Charakter nowego prawa UE
Nowe unijne regulacje są dość ogólne. Urzędnicy chcieli bowiem, aby były aktualne również wtedy, gdy nastąpi dalszy postęp technologiczny. Mimo małej precyzyjności, przepisy nakładają na przedsiębiorców szereg nowych obowiązków, które muszą spełnić w jak najlepszy sposób.
Drugi powód takiego, a nie innego sformułowania nowych regulacji, to zróżnicowanie charakterystyk poszczególnych branż. Ponieważ ochrona danych będzie wyglądała odmiennie w zależności od dziedziny działalności, nie udało się bardziej uszczegółowić nowego prawa. Minusem jest jednak fakt, że taka forma rozporządzenia pozostawia dużą dowolność interpretacji przepisów.
Każdy przedsiębiorca musi sam wiedzieć, w jaki sposób najlepiej zabezpieczyć dane, które gromadzi. Z RODO nie dowie się, jakie metody ich ochrony zastosować. Nie jest to prawo, które zobowiązuje do przeprowadzenia konkretnych działań. Zamiast tego UE postanowiła wprowadzić obowiązek opracowania własnego systemu ochrony danych osobowych.
To w gestii władz firmy będzie ocena poszczególnych procesów, ustalenie, jakie dane są w przedsiębiorstwie przetwarzane i oszacowanie ryzyka ich utraty lub kradzieży. Następnie kompetentne osoby będą musiały zminimalizować odkryte zagrożenia.
Najważniejsze przepisy w RODO
Do tej pory wszyscy, którzy posiadali bazy danych osób fizycznych, zobowiązani byli do zgłaszania ich do GIODO. Od maja wszystko się zmieni i zamiast tego specjalny organ będzie zajmował się oceną działań podjętych na rzecz ochrony danych i minimalizowania ryzyka ich wycieku. Generalny Inspektor Danych Osobowych edukuje na temat rozporządzenia i udostępnia jego treść. Można się z nią dokładnie zapoznać tutaj.
Główne punkty RODO to:
- umożliwienie osobie, której dane są zbierane, wglądu do nich, ich zmiany lub usunięcia;
- obowiązek natychmiastowego zgłaszania naruszeń w ochronie danych;
- odpowiedzialność tego, kto dane przetwarza;
- weryfikacja podstaw przetwarzania danych, np. zgód;
- prowadzenie szczegółowych rejestrów przetwarzania danych;
- kary za niestosowanie się do zapisów RODO.
Jeśli chodzi o konsekwencje rozporządzenia UE, to zdania są podzielone. Jedni obawiają się zmian jak ognia, inni twierdzą, że dostosowanie się do nowych regulacji nie będzie tak trudne, jak się wydaje. W każdym razie, radzimy, abyś do nowych przepisów podszedł poważnie i zajął się ochroną gromadzonych i przetwarzanych danych zgodnie ze skalą tego zjawiska w Twojej firmie.
RODO i obowiązki administratora danych
Możesz przetwarzać dane osobowe tylko wówczas, gdy masz do tego podstawę. W tym zakresie nic się nie zmieniło. To, czy możesz gromadzić informacje o osobach fizycznych, będzie kontrolował specjalnie powołany organ nadzorczy. Podstawą do przetwarzania danych może być m.in.: zgoda, wykonywanie umowy czy wypełnianie obowiązku prawnego.
Jedną z najczęstszych przesłanek do gromadzenia informacji osobowych jest zgoda. Musi być ona udzielona dobrowolnie. Ponadto należy sformułować ją tak, aby nie było wątpliwości, na jakie wykorzystanie swoich danych człowiek przystał. Powinien on także otrzymać informację, że w każdej chwili może swoją decyzję cofnąć. Administrator danych zaś ma obowiązek dokumentować wszelkie modyfikacje: wyrażenie zgody, jej anulowanie, a także zmiany danych. Osoba obecna w bazie danych w każdej chwili ma prawo wykonać wszystkie te czynności.
Kolejna sprawa, to wprowadzenie odpowiednich procedur, które będą sprzyjały ochronie danych w przedsiębiorstwie. Najważniejsze jest wdrożenie kroków, zapobiegających naruszeniom i minimalizujących chociażby ryzyko wycieku poufnych informacji. Następnie administrator danych musi zadecydować, jakie rejestry trzeba w danej firmie prowadzić. Swoje decyzje powinien uzależnić między innymi od wielkości przedsiębiorstwa czy skali przetwarzania danych. Polityka bezpieczeństwa musi oczywiście odpowiadać stanowi rzeczywistemu, czyli podejmowanym w tym zakresie działaniom. Niemniej jednak, od administratora zależy, jak bardzo szczegółowe będą prowadzone dokumenty, i jak będą wyglądać formalnie.
Przedsiębiorca musi mieć świadomość tego, jakie dane przechowuje, a także wiedzę na temat celowości ich gromadzenia. Inne będzie bowiem znaczenie zbierania danych pracowników, a inne przetrzymywania danych marketingowych.
Ochrona danych według RODO
Co do wymogów ochrony danych, nie ma ściśle ustalonych działań, które trzeba podjąć. Każdy przedsiębiorca sam decyduje, jakie kroki będą odpowiednie. On najlepiej wie, które środki będą dobrze dopasowane do rozmiarów firmy i ilości przetwarzanych danych. Dzięki temu może stworzyć takie procesy i narzędzia ochrony, które rzeczywiście poprawią ich bezpieczeństwo.
Jeśli zaś zostanie zauważone naruszenie, mogące wiązać się ze złamaniem praw i wolności osób, których dane posiadasz, trzeba niezwłocznie zgłosić to do odpowiedniego organu nadzorczego. Należy opracować procedury, które pozwolą takie naruszenia szybko wyłapywać. Powinieneś informować o nich w czasie 72h od zanotowania tego typu sytuacji.
Karą za nieprzestrzeganie nowych przepisów, zgodnie z zapisem, jaki znajdziesz w RODO, może być nawet 20 mln euro albo kwota odpowiadająca 4% obrotu przedsiębiorstwa z roku poprzedniego. Istnieje jednak lista kryteriów, które wpływają na wysokość kary, a więc nie należy obawiać się, że każde naruszenie będzie Cię jednakowo kosztować. Warto wcześniej zapoznać się z czynnikami, które będą wpływać na wysokość kar. Możesz spodziewać się, że będzie ona proporcjonalna do wagi popełnionego czynu lub zaniedbania. Przepisy mówią, że powinna być także dostosowana do wielkości przedsiębiorstwa.
Jak przygotować się do RODO?
RODO nakłada na przedsiębiorców szereg regulacji. W dużej mierze są one jednak pozostawione ocenie administratora danych. To on musi zdecydować, jakie procedury wdrożyć. Dzięki temu ochrona danych jest rzeczywistym procesem, a nie zbiorem zasad obecnych jedynie na papierze.
By wprowadzić w filmie skuteczne zasady ochrony danych osobowych, wskazane jest, abyś zapoznał się z treścią rozporządzenia, a następnie sprawdził, jakie zbiory danych osobowych przechowujesz i w jakich celach to robisz. Następnie podejmij odpowiednie kroki, zwiększające bezpieczeństwo przetwarzanych w Twojej firmie informacji.
Jeśli uważasz, że sam nie poradzisz sobie z przygotowaniem do RODO, skontaktuj się z doradcą, który pomoże Ci w wypracowaniu najlepszych dla Twojego przedsiębiorstwa procesów ochrony danych osobowych. Jeśli zabierzesz się za to teraz, zdążysz jeszcze dobrze przygotować się na zmiany.
Co sądzisz o nowym rozporządzeniu unijnym?
Podziel się swoimi spostrzeżeniami!
Zostaw komentarz