Co zmienia RODO w ochronie danych osobowych

Uchwalone w kwietniu 2016 r. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: RODO lub rozporządzenie) będzie miało zastosowanie już od 25 maja 2018 r. Regu¬luje ono zasady oraz sposoby ochrony i przetwarzania danych osobowych osób fizycznych.

Celem wprowadzenia nowych regulacji było ujednolicenie prawodawstwa i procedur związanych z ochroną danych osobowych na terenie całej UE. RODO określa, jak powinno podejść się do ochrony i dbania przez firmy o bezpieczeństwo przetwarzanych danych – dotyczy to nie tylko administratorów danych, lecz również firm przetwarzających dane na zlecenie administratora (tzw. podmiotów przetwarzających, np. firm outsourcingowych). Każdy podmiot przetwarzający dane będzie zobowiązany do wprowadzenia wewnętrznych procedur i środków technicznych zapewniających adekwatny stopień bezpieczeństwa przetwarzanych danych – zależnie od poziomu ryzyka utraty lub ujawnienia danych w konkretnej firmie.

RODO ma bardzo szeroki zakres zastosowania. Nowe przepisy stosuje się nie tylko do przetwarzania danych osobowych w związku z działalnością prowadzoną przez przedsiębiorców na terenie Unii Europejskiej (niezależnie od tego, czy przetwarzanie odbywa się w Unii), ale także do przetwarzania danych przez firmy niemające swoich jednostek organizacyjnych w UE, jeżeli przetwarzanie wiąże się z oferowaniem towarów lub usług osobom fizycznym w UE lub monitorowaniem ich zachowania, o ile ma to miejsce na terenie UE.

Przepisów RODO nie stosuje się natomiast do przetwarzania danych osobowych dotyczących osób prawnych (np. spółek z ograniczoną odpowiedzialnością, spółek akcyjnych), w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej (nazwa firmy, jej adres, siedziba, dane kontaktowe na stronie internetowej). Jeśli jednak Twoja firma przetwarza dane konkretnej osoby (np. szefa sprzedaży, dyrektora finansowego, kierownika produkcji) w formie np. imienia, nazwiska, adresu e-mail, numeru telefonu kontaktowego, RODO jak najbardziej będzie mieć już zastosowanie.

Jeśli więc pracujesz w dziale HR, sprzedaży, marketingu, księgowości, IT, prowadzisz sklep internetowy, jesteś prezesem firmy albo masz czynny wpływ na przetwarzanie danych osobowych w miejscu, w którym pracujesz, musisz wiedzieć, czym jest RODO i jaki ma wpływ na Twoją pracę.

Przede wszystkim RODO zmienia podejście do ochrony i przetwarzania danych osobowych, zwiększa obowiązki administratorów oraz podmiotów przetwarzających (tzw. procesorów), a także wzmacnia istotnie pozycję osób fizycznych i przyznaje nowe uprawnienia organom nadzorczym (obecnie GIODO, a w przyszłości UODO – Urząd Ochrony Danych Osobowych).

Kluczową zmianą jest wprowadzenie dla administratorów danych obowiązku przeprowadzenia samooceny pod kątem oszacowania skutków przetwarzania dla ochrony danych i ewentualnego ryzyka (ang. risk-based approach). Oznacza to konieczność przeprowadzenia gruntownej weryfikacji przetwarzanych danych, szczegółowej oceny zagrożeń związanych z przetwarzaniem konkretnych danych osobowych oraz zaplanowania odpowiednich środków technicznych i organizacyjnych, m.in. zabezpieczeń i mechanizmów, w celu zminimalizowania zagrożeń.

Po 25 maja 2018 r. każda firma będzie musiała w związku z tym zmienić dotychczasowe podejście do ochrony i przetwarzania danych osobowych. Nie wystarczy już bowiem wypełnienie minimalnych wymogów określonych w przepisach prawa. Administratorzy danych i podmioty przetwarzające, w celu zabezpieczenia przetwarzanych przez nich danych osobowych, muszą zrobić wszystko, co uznają za właściwe na podstawie oceny własnych sposobów przetwarzania danych oraz przeprowadzić swoją analizę ryzyka i skutków dla ochrony danych. Konieczne będzie także wykazanie, że przyjęte rozwiązania, środki techniczne i organizacyjne są odpowiednie dla danego przypadku przetwarzania danych osobowych.

Najważniejsze zmiany wprowadzone przez RODO:

  1. Administracyjne kary finansowe. Nakładane będą za nieprzestrzeganie nowych przepisów (np. niepowołanie inspektora ochrony danych, przetwarzanie danych osobowych bez podstawy prawnej, np. w procesie rekrutacji kandydatów do pracy), a ich wysokość sięga nawet 20 000 000 euro, a w przypadku przedsiębiorców – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
     
  2. Obowiązek monitorowania i raportowania do organu nadzorczego (UODO) naruszenia ochrony danych osobowych w terminie 72 godzin po stwierdzeniu naruszenia, a w niektórych wypadkach także obowiązek zawiadomienia samych poszkodowanych.
    Za naruszenie ochrony danych osobowych uważane będzie naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób.
     
  3. Wymóg regularnego testowania bezpieczeństwa. Administrator danych będzie musiał sam zdecydować o tym, jak często i jakimi metodami powinien sprawdzać skuteczność wprowadzonych zabezpieczeń oraz w jaki sposób monitorować incydenty.
     
  4. Opracowanie i wdrożenie adekwatnych procedur postępowania i środków bezpieczeństwa przez administratora danych. RODO nie narzuca w tym zakresie żadnego standardu, a pełna odpowiedzialność za dobór procedur i środków bezpieczeństwa adekwatnych do ryzyka dla przetwarzanych danych osobowych spoczywa na administratorze danych.
     
  5. Konieczność przeprowadzenia analizy ryzyka. Biorąc pod uwagę wysokie kary finansowe oraz coraz liczniejsze incydenty związane z „wyciekiem” danych, najlepsze praktyki wskazują na konieczność przeprowadzenia własnej, wewnętrznej analizy ryzyka przez każdego administratora danych (a także procesora), zmierzającej m.in. do: (I) zinwentaryzowania swoich własnych systemów, procesów, zbiorów danych, produktów, w ramach których są zbierane, przechowywane, przetwarzane dane osobowe; (II) wdrożenia stosownych środków zaradczych formalno-prawnych; (III) regularnego monitorowania swoich systemów; (IV) systematycznego szkolenia pracowników z zakresu tematyki danych osobowych i obowiązujących w danej firmie procedur wewnętrznych w tym zakresie.
    W niektórych przypadkach (np. banki, spółki ubezpieczeniowe, spółki internetowe, ale i start-upy wykorzystujące na dużą skalę systemy/oprogramowanie śledzące zachowania użytkowników w internecie w celu targetowania ich określonymi informacjami, reklamami) istnieje obowiązek przeprowadzenia formalnej tzw. oceny skutków dla ochrony danych osobowych. Jest to dokument, który powinien zawierać co najmniej: opis planowanych operacji przetwarzania i celów przetwarzania (np. zbieranie, przechowywanie, przetwarzanie danych w celu wysyłania informacji handlowych); ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów; ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą (np. czy zebrano stosowne zgody, rzetelnie poinformowano konsumentów o celu zbierania danych, ich dalszego wykorzystania; a także środki planowane w celu zaradzenia ryzyku (np. czy zastosowano odpowiednie zabezpieczenia i mechanizmy bezpieczeństwa).
     
  6. Wprowadzenie funkcji inspektora ochrony danych, którego powołanie w określonych przypadkach będzie obligatoryjne. Inspektor ochrony danych będzie punktem kontaktowym nie tylko dla organu nadzorczego, ale także dla osób, których dane są przetwarzane.
     
  7. Należy zwiększyć świadomość pracowników w temacie ochrony danych osobowych celem zapobiegania nieprawidłowościom, które mogą wystąpić w każdym z elementów struktury firmy. Jest to o tyle istotne, że – jak głosi stare powiedzenie cybersecurity – najsłabszym ogniwem jest zawsze człowiek. Pracownicy muszą być świadomi obowiązujących w danej organizacji procedur i zasad związanych z ochroną i przetwarzaniem danych osobowych, umieć rozpoznać próbę cyber­ataku, wiedzieć, jak powiadomić przełożonego itd. Są to istotne kwestie mające na celu wykazanie zgodności działań danego przedsiębiorstwa z RODO.
     
  8. W przypadku stosowania profilowania konieczna będzie weryfikacja, czy jest ono dopuszczalne na gruncie RODO, a także spełnienie dodatkowych obowiązków (szczególnie informacyjnych) przez administratora danych.
     
  9. Dane osobowe dzieci będzie można przetwarzać tylko za zgodą ich opiekunów. RODO wymaga uzyskania zgody opiekunów prawnych w przypadku świadczenia usług wobec dzieci poniżej 16. roku życia (obecny projekt nowej polskiej ustawy o ochronie danych osobowych obniża tę granicę do 13. roku życia).
     
  10. Wprowadzenie tzw. prawa do bycia zapomnianym, czyli prawa osoby, której dane dotyczą, do żądania od administratora danych niezwłocznego usunięcia dotyczących jej danych. Co więcej, w przypadku upub­licznienia danych to na administratorze będzie ciążył obowiązek podjęcia działań, by poinformować admi­nistratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy usunęli wszelkie łącza do jego danych, ich kopii lub ich replikacji.
     
  11. Przeformułowanie klauzul dotyczących zgody na przetwarzanie danych, z uwzględnieniem nowych przepisów RODO, w szczególności także rozszerzony zakres obowiązku informacyjnego.
     
  12. Zniesienie obowiązku rejestracji baz danych osobowych w GIODO, a wprowadzenie nowego obowiązku prowadzenia wewnętrznego rejestru czynności przetwarzania danych osobowych (w przypadku organizacji zatrudniających co najmniej 250 osób lub gdy ich działania powodują, że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje dane wrażliwe, np. medyczne).
     
  13. Możliwość przeprowadzenia certyfikacji własnej firmy lub poszczególnych produktów/usług, rozwiązań technologicznych (ogólnie mówiąc procesów przetwarzania). Przeprowadzenie certyfikacji może także być okolicznością łagodzącą, która wpłynie na zmniejszenie wymiaru potencjalnej kary administracyjnej.
     
  14. W związku z powyższym już dziś przedsiębiorcy (w tym grupy przedsiębiorców) powinni rozpocząć przygotowania do nowych wyzwań i zmian. Doświadczenie pokazuje, że po przeprowadzeniu odpowiedniej weryfikacji własnej firmy pod kątem przetwarzania danych osobowych często okazuje się, że oprócz konieczności wprowadzenia nowych rozwiązań i zmiany dokumentacji niezbędne jest także dostosowanie ogólnego modelu biznesowego (w tym rozwiązań technicznych) oraz stosunków z podmiotami trzecimi (klientami oraz dostawcami) do nowych regulacji.