fbpx
Zaznacz stronę

Ogólne rozporządzenie o ochronie danych zacznie obowiązywać od 25 maja 2018 r. Na administratorów danych – podmioty publiczne i prywatne, w tym nawet na działalności jednoosobowe, czekają nowe zadania i obowiązki. Właśnie teraz jesteśmy w okresie przejściowym i warto ten czas wykorzystać na dostosowanie swojego biznesu do nowych przepisów. Niektórzy już nazywają je rewolucją. Ja jednak będę twierdzić, że to reforma i uważam, że tak do tego trzeba podchodzić. Zdroworozsądkowo.

Ogólne rozporządzenie o ochronie danych zacznie obowiązywać od 25 maja 2018 r. Na administratorów danych – podmioty publiczne i prywatne, w tym nawet na działalności jednoosobowe, czekają nowe zadania i obowiązki.

Nie można też zapomnieć o dużej zmianie, jaką są dotkliwe kary, przewidziane wprost w rozporządzeniu, za niestosowanie nowych przepisów. Mowa tu o milionach. Euro.

Ogólne rozporządzenie o ochronie danych wprowadza nowe zadania. A niektóre dotychczasowe obowiązki modyfikuje. Jedne bardziej, inne mniej. To, czy czeka Cię rewolucja zależy od tego, czy jest to dla Ciebie temat zupełnie nowy, czy masz już pewne doświadczenia ze stosowaniem przepisów. RODO nie wprowadza zasadniczych zmian w ogólnych zasadach przetwarzania danych. Zmieni się natomiast podejście do stosowania przepisów. Znacznie zwiększy się samodzielność administratorów, a co za tym idzie – ich odpowiedzialność. Za dane osób, które przetwarzają. Nie można też zapomnieć o dużej zmianie, jaką są dotkliwe kary, przewidziane wprost w rozporządzeniu, za niestosowanie nowych przepisów. Mowa tu o milionach. Euro.

Zasada rozliczalności.

Trzeba udokumentować i móc udowodnić, że cały zestaw procedur i zabezpieczeń działa jak należy.

Rozliczalność to podstawowa zasada, aczkolwiek nie do końca taka nowa jak się może początkowo wydawać. Zacznijmy od początku. Istnieje obowiązek wdrożenia środków organizacyjnych (procedur, instrukcji) oraz technicznych (zabezpieczeń fizycznych, informatycznych), które będą odpowiednie względem kategorii danych, które będą przetwarzane. Środki te mają zapewnić zgodność z aktualnymi przepisami. To jest zadanie każdego administratora danych. Obecne przepisy określają analogiczny obowiązek. Nowe jest jednak to, że RODO nie podaje przykładów konkretnych rozwiązań. Przestaną tym samym obowiązywać rozporzadzenia wykonawcze do ustawy o ochronie danych osobowych, z których np. teraz dowiadujemy się o minimalnych wymaganiach technicznych, jakim powinny odpowiadać systemy informatyczne. To już będzie zadanie administratora danych, aby dobrać je w sposób adekwatny do zagrożeń i kategorii danych, którymi dysponuje. A wszystko zależy od tego, czy są to dane zwykłe, czy wrażliwe, jaka jest skala przetwarzania, czy odbywa się ono w systemach informatycznych, czy w wersji papierowej. Na te pytania będzie musiał odpowiedzieć każdy administrator danych, a w praktyce – Ty, jako właściciel, członek zarządu, kierownik jednostki organizacyjnej. To jest z jednej strony duża swoboda, ale i trudność, ponieważ nie tylko trzeba odpowiednie środki wdrożyć, ale i wykazać, że się to skutecznie zrobiło. Trzeba udokumentować i móc udowodnić, że cały zestaw procedur i zabezpieczeń działa jak należy. I to jest cała tajemnica zasady rozliczalności, którą każdy przedsiębiorca będzie musiał stosować.

Ocena skutków dla ochrony danych.

Nowo przyjeta filozofia ochrony danych zakłada odejście od zgłaszania i rejestracji zbiorów na rzecz kolejnej, nowej czynności do wykonania przez administratorów danych. To ocena skutków dla ochrony danych. Będzie ona wymagana zawsze, gdy operacje wykonywane na danych mogą powodować wysokie ryzyko naruszenia prywatności osoby, której dotyczą. O takiej sytuacji będzie mowa, gdy wykonywane będą przy użyciu nowych technologii, profilowania, a także gdy odbywać się to będzie na dużą skalę i dotyczyć danych wrażliwych, jak stan zdrowia, nałogi, przekonania filozoficzne i regligijne, dane biometryczne itp. Jeśli w trakcie wykonywania takiej oceny okaże się, że ryzyko jest duże i, mimo wprowadzenia różnego rodzaju środków zaradczych, nie uda się go zminimalizować, będą wymagane konsultacje od których będzie zależało, czy nadal będzie można dane w ten sposób przetwarzać. Obowiązek konsultacji z GIODO nie jest jedynym. W niektórych przypadkach będzie niezbędne przeprowadzenie konsultacji nawet z osobami, których dane dotyczą – pracownikami, klientami, pacjentami.

Dobra wiadomość jest taka, że obowiązek oceny skutków będzie dotyczył operacji rozpoczętych po 25 maja 2018 r. Mimo tego, GIODO już dziś zachęca, by przyjrzeć się bliżej już trwającym operacjom przetwarzania danych, co pomoże wdrożyć analogiczne zasady w przyszłości.

Prowadzenie rejestru czynności przetwarzania.

Rejestr czynności przetwarzania podobny jest co do zakresu zawartych informacji do obecnego wykazu zbiorów, prowadzonych przez Administratorów Bezpieczeństwa Informacji. Przepisy będą wymagały jednak, by oprócz informacji o tym jakie dane, skąd oraz na jakiej podstawie zostały zgromadzone, podać informację o sposobie raportowania naruszenia, o obowiązku lub jego braku względem wyznaczenia Inspektora, a także o wiodącym organie nadzorczym dla transgenicznych operacji na danych osobowych.

Prowadzenie rejestru będzie obowiązkowe w przypadku zatrudnienia powyżej 250 osób.

Prowadzenie rejestru będzie obowiązkowe w przypadku zatrudnienia powyżej 250 osób. Przy tym nie będzie miało znaczenia, czy pracodawca jest administratorem także innych danych, np. klientów, czy powierzono mu do przetwarzania jakiekolwiek inne dane. O tym obowiązku będzie decydowała liczba zatrudnienia. Brak takiego obowiązku nie zwalnia z wykonywania pozostałych zadań, które nakładają nowe przepisy, np. posiadania pozostałej dokumentacji opisującej przyjęte w przedsiębiorstwie rozwiązania organizacyjne i techniczne, które mają na celu zapewnienie danym osobowym jak najwyższą ochronę.

Informowanie o naruszeniu ochrony danych.

Obecnie, poza dostawcami publicznie dostępnych usług telekomunikacyjnych, nie ma obowiązku zgłaszania do GIODO naruszenia bezpieczeństwa danych osobowych. Tym bardziej, nie ma takiego obowiązku względem osoby, której te dane dotyczą. Można powiedzieć, że w chwili obecnej nawet możemy nie mieć pojęcia o tym, że nasze dane stały się ofiarą naruszenia.

Warto podkreślić, że naruszeniem jest każde, nawet przypadkowe, bezprawne zniszczenie, utrata, modyfikacja, ujawnienie lub umożliwienie dostępu osobom nieuprawnionym. Najpopularniejszym naruszeniem, o którym często słyszymy w mediach, jest wyciek danych. Trzeba jednak zdawać sobie sprawę, że naruszeniem będzie nawet nieumyślne pozostawienie dokumentów bez kontroli, co spowoduje ich zabranie lub umożliwi zapoznanie się z nimi przez osobę trzecią.

Od 25 maja 2018 r. w większości przypadków każdy administrator danych będzie miał obowiązek nie tylko wykrycia naruszenia, jego analizy, ale i zgłoszenia do Generalnego Inspektora w ciągu 72 godzin po jego wykryciu. Jeśli sytuacja będzie tego wymagała, może się okazać, że będzie trzeba dodatkowo poinformować osobę, której dane uległy naruszeniu. Taki obowiązek będzie wtedy, gdy naruszenie może prowadzić do kradzieży jej tożsamości lub naruszenia dobrego imienia. Warto juz dzisiaj zastanowić się nad tym, jak będzie wyglądała wewnętrzna procedura raportowania o potencjalnym naruszeniu.

Nowe prawa osób, których dane dotyczą.

Do obecnych praw osób fizycznych, których dane są przetwarzane dojdą jeszcze nowe, nieznane nam dotąd. Pierwsze z nich, to prawo do przenoszenia danych. Będzie miało zastosowanie zawsze, gdy dane osoby są przetwarzane w sposób zautomatyzowany na podstawie zgody lub w wyniku realizacji umowy. Podstawą tego prawa jest, aby każda osoba miała możliwość otrzymania w powszechnie używanym formacie danych osobowych, które przekazała administratorowi danych. Idąc dalej, ma ona mieć także możliwość przekazania tych danych innemu administratorowi danych. Co ciekawe, nowe prawo będzie także pozwalało na to, aby wymiana tych informacji następowała bezpośrednio pomiędzy dotychczasowym i nowym administratorem danych.

Niezupełnie nowe, ale wprowadzone bezpośrednio na grunt rozporządzenia jest prawo do bycia zapomnianym, czyli po prostu prawo do usunięcia danych. Osoba będzie mogła żądać wprost z nowych przepisów usunięcia jej wpisów, czy też zdjęć z serwisów internetowych. 

Nowe obowiązki informacyjne.

Z prawami osób, których dane dotyczą, ściśle powiązany jest obowiązek informacyjny. Niezależnie od tego, czy dane pozyskiwane są bezpośrednio od osoby, czy z innych źródeł, jesteśmy jako administratorzy tych danych, już dziś zobowiązani przekazać takiej osobie podstawowe informacje o tym kto i w jakim celu przetwarza jej dane. To tak w skrócie. Nad aktualnymi obowiązkami nie będę się jednak rozpisywać. Przejdę do tych nowych, czyli o tym, o czym dziś zwykle nikogo nie informujemy.

Od 25 maja 2018 r. trzeba się przygotować na to, że osoba, której dane gromadzimy ma prawo wiedzieć przez jaki okres będziemy jej dane przetwarzać, jakim podmiotom będziemy dane powierzać (a to się będzie przecież najczęściej zmieniać w czasie), a także o tym, czy Inspektor Ochrony Danych został powołany. W przypadku wyznaczenie Inspektora będziemy musieli poinformować o jego danych kontaktowych. Ważną kwestią jest także informowanie o tym, czy osoba podlega profilowaniu. Jeśli tak, będzie należało przekazać jej dodatkowo informacje o ewentualnych konsekwencjach, które z tego wynikają.

I to wszystko trzeba będzie przekazać prostym i zwięzłym językiem, tak aby każdy zrozumiał nasz przekaz. Rozszerzenie obowiązku informacyjnego to większa przejrzystość względem osób, których dane zbieramy. Czy to będzie duży problem dla administratorów danych? Według mnie problem pojawi się na pewno na etapie określenia – czy to jest powierzenie, czy udostepnienie.  Obecnie są to najczęściej mylone operacje przetwarzania danych.

Nowe podejście do profilowania.

Profilowanie jest już tak powszechnym zjawiskiem, że nawet przestaliśmy zwracać uwagę na to kto, kiedy i w jaki sposób dokonuje zautomatyzowanego przetwarzania danych, najczęściej na potrzeby marketingu bezpośredniego, czy oceny sytuacji kredytowej. RODO będzie wymagało, by profilowanie było możliwe wyłącznie w sytuacjach w nim przewidzianych, m.in. gdy osoba ta wyraziła na to zgodę. Nie wolno zapominać o obowiązku informacyjnym, gdyż on także będzie tu obowiązwał, ponieważ profilowanie zostanie zaliczone do kolejnej operacji przetwarzania danych. Nie tylko będzie obowiązek informowania o samym fakcie profilowania, ale i o jego konsekwencjach. Co istotne, tak jak w przypadku pozostałych operacji na danych, będzie także przysługiwać jej sprzeciw wobec dalszego przetwarzania danych, szczególnie, jeśli dane bedą wykorzystane na potrzeby marketingu bezpośredniego. To zapewne będzie duże wyzwanie dla wszystkich administratorów.

Privacy by default i privacy by design.

Obecnie dobra praktyka. W przyszłości obowiązek uwzględnienia domyślnej ochrony prtwaności na etapie projektowania. Zasady przetwarzania danych będą musiały zostać uwzględnione już na etapie koncepcji i projektowania nowego rozwiązania. Domyślna ochrona prywatności musi zostać uwzględniona w ustawieniach i to w kluczowym momencie, jakim jest przyłączenie się do danego systemu. Niedopuszczalne będzie takie ustawienie, które będzie wymagało od użytkownika jakiejkolwiek czynności w celu zwiększenia jego ochrony. Ta ochrona ma być wbudowana w system, a użytkownik może ewentualnie z niej świadomie zrezygnować i rozszerzyć swoje ustawienia, ale nigdy odwrotnie.

Obowiązek powołania Inspektora Ochrony Danych. Nie wszystkich on będzie dotyczył, ale trzeba uważać na to, jakie dane przetwarzasz i w jakim celu. O tym, kto i jakiej sytuacji powinien IOD powołać pisałam już tutaj. Niewątpliwie, taki Inspektor Ochrony Danych mógłby być pomocny w określeniu, jak w praktyce sprostać zasadzie rozliczalności i pozostałym obowiązkom wynikającym z przepisu prawa.

Kary finansowe to jedno. Nie wolno jednak zapominać o tym, że już dziś GIODO w przypadku stwierdzenia, że dane osobowe przetwarzane są bezprawnie, może nakazać przywrócenie stanu zgodnego z prawem.

Konsekwencje.

20 mln Euro lub 4% obrotu światowego, w zależności od tego, która kwota będzie wyższa, to maksymalna kara z Ogólnego rozporządzenia o ochronie danych. Można raczej oczekiwać, że kary będą nakładane proporcjonalnie do sytuacji i względem wielkości przedsiębiorstwa, jednak jedno już dziś zapowiada Generalny Inspektor – będą dotkliwe. 

Kary finansowe to jedno. Nie wolno jednak zapominać o tym, że już dziś GIODO w przypadku stwierdzenia, że dane osobowe przetwarzane są bezprawnie, może nakazać przywrócenie stanu zgodnego z prawem. A to oznacza bezwzględny nakaz wstrzymania przetwarzania danych lub ich całkowitego usunięcia. To może być czasami kara bardziej dotkliwa, niż konsekwencje finansowe. Nieprzestrzeganie przepisów to też narażanie się na utratę wizerunku marki, zaufania klientów i pracowników.

 

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!