Już za niecałe półtora roku zacznie obowiązywać Rozporządzenie o ochronie danych osobowych. Każdy podmiot, który przetwarza dane osobowe ma więc w chwili obecnej czas aby przygotować się do nowej rzeczywistości. Wymagania zawarte w Rozporządzeniu o ochronie danych mają wpływ na bardzo wiele obszarów działalności firmy. Dotyczą zarówno działu prawnego jak i marketingu, HR-u czy obsługi klienta. Jak się przygotować do nowych obowiązków, które zaczną obowiązywać od 25 maja 2018 roku.
Przygotowanie warto zacząć od oceny stanu obecnego w kontekście sposobu, zakresu i podstawy prawnej przetwarzania danych osobowych. Istotnym elementem tego procesu będzie także inwentaryzacja danych, czyli ustalenie, jakie dane osobowe, jak, gdzie i po co są wykorzystywane przez przedsiębiorcę. Analizy te umożliwią przygotowanie wykazu luk w sposobie chronienia danych osobowych oraz zidentyfikowanie elementów ochrony, które powinny być zmienione lub uzupełnione w celu dostosowania do wymagań Rozporządzenia o ochronie danych. Kolejnym krokiem będzie podjęcie opracowanych działań wdrożeniowych i naprawczych, w tym zaplanowanie ciągłego procesu weryfikacji i uwzględniania ochrony danych osobowych.
Dobrą praktyką jest przygotowanie listy kontrolnej, na której umieszczone zostaną wszystkie czynności, jakie należy podjąć w uprzednio przemyślanej kolejności. Na liście powinny znaleźć się te elementy, które w naszym podmiocie muszą zostać zmienione lub dodane z pominięciem tych zagadnień, które nas nie dotyczą.
Kolejnym krokiem nad którym warto się pochylić jest kwestia powoływania Inspektora Ochrony Danych Osobowych. Aktualnie nie ma obowiązku powoływania ABI (Administratora Bezpieczeństwa Informacji). Pod rządami nowych przepisów niektóre podmioty będą miały taki obowiązek. Należałoby dokładnie przeanalizować przepisy Rozporządzenia aby wiedzieć czy nasz podmiot będzie do tego zobligowany. Jego powołanie będzie obowiązkowe dla:
- Podmiotów administracji publicznej,
- Jeśli główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres, cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę,
- Jeśli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych).
Obecnie każdy administrator danych w Polsce musi prowadzić Politykę bezpieczeństwa i Instrukcję zarządzania systemami informatycznymi oraz ewidencję osób upoważnionych (Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004r. (Dz.U. z 2004 r. Nr 100, poz. 1024) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych).
Ustęp 5 artykułu 30 Rozporządzenia jest przełomowym dla drobnych przedsiębiorców. Dzięki jego zastosowaniu przykładowo fryzjerzy czy restauratorzy (dokładnie: przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób) zostaną zwolnieni z obowiązku prowadzenia szczegółowej ewidencji przetwarzania danych osobowych, który w ich przypadku jest zwyczajnie zbędny. Warto wiec w kolejnym kroku zastanowić się czy nasza jednostka potrzebuje określonych dokumentów w zakresie ODO.
Każdy administrator będzie ponadto miał obowiązek rejestru czynności przetwarzania danych osobowych. Dlatego już dzisiaj warto pomyśleć nad przygotowaniem takowego, gdzie zamieszczone będą następujące informacje:
- imię i nazwisko lub nazwa oraz
- dane kontaktowe administratora oraz wszelkich współadministratorów,
- cele przetwarzania,
- opis kategorii osób, których dane dotyczą oraz
- kategorii danych osobowych,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
- fakt przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
- terminy usunięcia poszczególnych kategorii danych oraz
- ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Pamiętajmy ponadto, iż obecnie w Polsce kary nakładane przez GIODO to rzadkość. Ponadto mogą być one stosowane jedynie w sytuacji, kiedy adresat decyzji GIODO, nie zastosuje się do jej dyspozycji. Rozporządzenie będzie dawało wszystkim organom nadzorczym w UE (w tym oczywiście również naszemu GIODO), możliwość nakładania kar finansowych.
W zależności od tego, która część Rozporządzenia i które zasady zostaną naruszone, mogą być to kary administracyjne w wysokości do 10 000 000 EUR lub (dla przedsiębiorcy) do 2 % światowego rocznego obrotu. A w przypadku naruszeń podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, kara może wynieść nawet 20 000 000 EUR lub do 4% światowego rocznego obrotu. Kary robią wrażenie. Zwłaszcza, że będą mogły być stosowane „z urzędu” i bez uprzedniego wezwania do usunięcia uchybień.
Omówione powyżej etapy prac w zakresie ochrony danych osobowych to zaledwie kropla w morzu zadań do przeanalizowania w każdym podmiocie przetwarzającym dane osobowe. Od czegoś jednak trzeba zacząć, więc aby się nie zrażać ilością pracy i liczbą tematów do przemyśleń, zacznijmy od tych podstawowych a o tych kolejnych, napiszemy już wkrótce.
Monika Zygmunt – Jakuć (Dyrektor Zarządzający „bez owijania”)