Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO) weszło w życie w maju 2016 roku i dało przedsiębiorcom oraz organizacjom działającym na terenie Unii Europejskiej 2 lata na dostosowanie się do nowych regulacji. Oznacza to, że już od 25 maja 2018 r. wszystkie firmy w Polsce będące administratorami danych osobowych powinny działać w oparciu o nowe przepisy, w przeciwnym razie narażone będą na dotkliwe kary finansowe.
Unijne Rozporządzenie powstało z myślą o ujednoliceniu zasad przetwarzania i ochrony danych osobowych na terenie całej Unii Europejskiej, dlatego zastąpi ono wszystkie akty prawne obowiązujące dotychczas w poszczególnych krajach. W Polsce zdezaktualizują się więc zasady ochrony danych znane z Ustawy z dnia 29 sierpnia 1997 r., która dopiero ma być dostosowana do nowych unijnych uregulowań przez Ministerstwo Cyfryzacji. Przygotowany już projekt nowej ustawy przewiduje m.in. likwidację Generalnego Inspektora Ochrony Danych Osobowych i utworzenie w jego miejsce nowego organu nadzorczego, Prezesa Urzędu Ochrony Danych Osobowych. Dostosowanie firmy do nowych przepisów powinno opierać się więc póki co na zapisach zawartych w unijnym Rozporządzeniu.
Nowe regulacje dotyczą wszystkich przedsiębiorstw, które przetwarzają dane osobowe, a więc m.in. sklepy i serwisy internetowe, banki i instytucje finansowe, czy nawet działy HR w firmach. Dostosowując się do nowych przepisów, podmioty te powinny w szczególności zwrócić uwagę na następujące kwestie wynikające z RODO:
- brak obowiązku rejestrowania zbiorów danych w GIODO, ale obowiązek prowadzenia wewnętrznych rejestrów czynności przetwarzania danych z oceną skutków ich ochrony (Data Protection Impact Assessment)
- zmiany w zasadach formułowania zgody na przetwarzanie danych osobowych (zgoda nie może być domniemana)
- obowiązek dużo bardziej szczegółowego informowania osób o ich prawach dotyczących przetwarzania danych osobowych
- większy zakres uprawnień osób, których dane są przetwarzane np.: prawo do bycia zapomnianym oraz prawo do przenoszenia danych
- ograniczenia w zakresie profilowania
- obowiązek uwzględnienia ochrony danych osobowych już na etapie projektowania systemu ich przetwarzania (Data Protection by Design)
- obowiązek niezwłocznego (do 72 godzin) zgłaszania organowi nadzorczemu stwierdzonych naruszeń ochrony danych osobowych
Warto podkreślić, że opracowywana przez Ministerstwo Cyfryzacji nowa polska ustawa o ochronie danych osobowych doprecyzuje wiele przepisów zawartych w RODO. Prace legislacyjne nad nią mają się jednak zakończyć na początku 2018 roku, dlatego firmy nie powinny aż tak długo czekać ze zmianami, lecz proces dostosowawczy rozpocząć dużo wcześniej, aby ze wszystkim zdążyć. Niestety nieprzestrzeganie nowych unijnych przepisów po 25 maja 2018 r. może skutkować nałożeniem na firmę dotkliwej kary finansowej, w wysokości nawet 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Od czego zacząć proces dostosowawczy?
Dostosowanie firmy do nowych regulacji należy rozpocząć od gruntownego przeglądu dotychczasowych zasad i procesów związanych z przetwarzaniem i ochroną danych osobowych. Podczas takiego audytu należy określić obszary, w których konieczne będą korekty procesów pod kątem nowych wymagań. Z pewnością dla większości firm działających w internecie niezbędne będzie opracowanie nowych treści klauzul informacyjnych, zgód na przetwarzanie danych osobowych, a także regulaminów. Przedsiębiorstwa przetwarzające duże ilości danych osobowych powinny zrobić także przegląd swoich systemów informatycznych, a także sprawdzić, czy będą musiały powołać inspektora danych osobowych, który zastąpi dotychczasowego administratora bezpieczeństwa informacji. Warto pamiętać, że nowe przepisy dotyczą także firm, które powierzają kwestię przetwarzania danych osobowych podmiotom zewnętrznym – w tym przypadku mają one obowiązek wybrać takiego dostawcę usług, który zapewni właściwy poziom bezpieczeństwa danych.
Monika Zygmunt - Jakuć (Dyrektor Zarządzający "bez owijania")