Uchwalone w kwietniu 2016 r. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: RODO lub rozporządzenie) będzie miało zastosowanie już od 25 maja 2018 r. Regu¬luje ono zasady oraz sposoby ochrony i przetwarzania danych osobowych osób fizycznych.
Celem wprowadzenia nowych regulacji było ujednolicenie prawodawstwa i procedur związanych z ochroną danych osobowych na terenie całej UE. RODO określa, jak powinno podejść się do ochrony i dbania przez firmy o bezpieczeństwo przetwarzanych danych – dotyczy to nie tylko administratorów danych, lecz również firm przetwarzających dane na zlecenie administratora (tzw. podmiotów przetwarzających, np. firm outsourcingowych). Każdy podmiot przetwarzający dane będzie zobowiązany do wprowadzenia wewnętrznych procedur i środków technicznych zapewniających adekwatny stopień bezpieczeństwa przetwarzanych danych – zależnie od poziomu ryzyka utraty lub ujawnienia danych w konkretnej firmie.
RODO ma bardzo szeroki zakres zastosowania. Nowe przepisy stosuje się nie tylko do przetwarzania danych osobowych w związku z działalnością prowadzoną przez przedsiębiorców na terenie Unii Europejskiej (niezależnie od tego, czy przetwarzanie odbywa się w Unii), ale także do przetwarzania danych przez firmy niemające swoich jednostek organizacyjnych w UE, jeżeli przetwarzanie wiąże się z oferowaniem towarów lub usług osobom fizycznym w UE lub monitorowaniem ich zachowania, o ile ma to miejsce na terenie UE.
Przepisów RODO nie stosuje się natomiast do przetwarzania danych osobowych dotyczących osób prawnych (np. spółek z ograniczoną odpowiedzialnością, spółek akcyjnych), w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej (nazwa firmy, jej adres, siedziba, dane kontaktowe na stronie internetowej). Jeśli jednak Twoja firma przetwarza dane konkretnej osoby (np. szefa sprzedaży, dyrektora finansowego, kierownika produkcji) w formie np. imienia, nazwiska, adresu e-mail, numeru telefonu kontaktowego, RODO jak najbardziej będzie mieć już zastosowanie.
Jeśli więc pracujesz w dziale HR, sprzedaży, marketingu, księgowości, IT, prowadzisz sklep internetowy, jesteś prezesem firmy albo masz czynny wpływ na przetwarzanie danych osobowych w miejscu, w którym pracujesz, musisz wiedzieć, czym jest RODO i jaki ma wpływ na Twoją pracę.
Przede wszystkim RODO zmienia podejście do ochrony i przetwarzania danych osobowych, zwiększa obowiązki administratorów oraz podmiotów przetwarzających (tzw. procesorów), a także wzmacnia istotnie pozycję osób fizycznych i przyznaje nowe uprawnienia organom nadzorczym (obecnie GIODO, a w przyszłości UODO – Urząd Ochrony Danych Osobowych).
Kluczową zmianą jest wprowadzenie dla administratorów danych obowiązku przeprowadzenia samooceny pod kątem oszacowania skutków przetwarzania dla ochrony danych i ewentualnego ryzyka (ang. risk-based approach). Oznacza to konieczność przeprowadzenia gruntownej weryfikacji przetwarzanych danych, szczegółowej oceny zagrożeń związanych z przetwarzaniem konkretnych danych osobowych oraz zaplanowania odpowiednich środków technicznych i organizacyjnych, m.in. zabezpieczeń i mechanizmów, w celu zminimalizowania zagrożeń.
Po 25 maja 2018 r. każda firma będzie musiała w związku z tym zmienić dotychczasowe podejście do ochrony i przetwarzania danych osobowych. Nie wystarczy już bowiem wypełnienie minimalnych wymogów określonych w przepisach prawa. Administratorzy danych i podmioty przetwarzające, w celu zabezpieczenia przetwarzanych przez nich danych osobowych, muszą zrobić wszystko, co uznają za właściwe na podstawie oceny własnych sposobów przetwarzania danych oraz przeprowadzić swoją analizę ryzyka i skutków dla ochrony danych. Konieczne będzie także wykazanie, że przyjęte rozwiązania, środki techniczne i organizacyjne są odpowiednie dla danego przypadku przetwarzania danych osobowych.
Najważniejsze zmiany wprowadzone przez RODO:
- Administracyjne kary finansowe. Nakładane będą za nieprzestrzeganie nowych przepisów (np. niepowołanie inspektora ochrony danych, przetwarzanie danych osobowych bez podstawy prawnej, np. w procesie rekrutacji kandydatów do pracy), a ich wysokość sięga nawet 20 000 000 euro, a w przypadku przedsiębiorców – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Obowiązek monitorowania i raportowania do organu nadzorczego (UODO) naruszenia ochrony danych osobowych w terminie 72 godzin po stwierdzeniu naruszenia, a w niektórych wypadkach także obowiązek zawiadomienia samych poszkodowanych.
Za naruszenie ochrony danych osobowych uważane będzie naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób.
- Wymóg regularnego testowania bezpieczeństwa. Administrator danych będzie musiał sam zdecydować o tym, jak często i jakimi metodami powinien sprawdzać skuteczność wprowadzonych zabezpieczeń oraz w jaki sposób monitorować incydenty.
- Opracowanie i wdrożenie adekwatnych procedur postępowania i środków bezpieczeństwa przez administratora danych. RODO nie narzuca w tym zakresie żadnego standardu, a pełna odpowiedzialność za dobór procedur i środków bezpieczeństwa adekwatnych do ryzyka dla przetwarzanych danych osobowych spoczywa na administratorze danych.
- Konieczność przeprowadzenia analizy ryzyka. Biorąc pod uwagę wysokie kary finansowe oraz coraz liczniejsze incydenty związane z „wyciekiem” danych, najlepsze praktyki wskazują na konieczność przeprowadzenia własnej, wewnętrznej analizy ryzyka przez każdego administratora danych (a także procesora), zmierzającej m.in. do: (I) zinwentaryzowania swoich własnych systemów, procesów, zbiorów danych, produktów, w ramach których są zbierane, przechowywane, przetwarzane dane osobowe; (II) wdrożenia stosownych środków zaradczych formalno-prawnych; (III) regularnego monitorowania swoich systemów; (IV) systematycznego szkolenia pracowników z zakr...
Dalsza część jest dostępna dla użytkowników z wykupionym planem