RODO, czyli rewolucja w ochronie danych osobowych

Od 25 maja 2018 r. zacznie obowiązywać unijne rozporządzenie o ochronie danych osobowych (RODO). Regulacja ta zastąpi dotychczasowe przepisy dotyczące ochrony danych osobowych i nałoży na przedsiębiorców w całej UE nowe, rozległe obowiązki w tym zakresie. Jedną z ważniejszych zmian jest wprowadzenie wysokich kar za naruszenie przez przedsiębiorcę przepisów o ochronie danych osobowych, których wysokość może wynieść nawet do 20 mln euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa (decyduje wartość wyższa). RODO ponadto wprowadza zasadę tzw. rozliczalności, zgodnie z którą na przedsiębiorcy ciąży ciężar wykazania przed inspekcją ochrony danych osobowych, że wdrożył RODO.

Foto: YAY Foto

Nowe prawo dotyczy wszystkich przedsiębiorców, którzy w swojej działalności gromadzą i przetwarzają jakiekolwiek dane osobowe osób fizycznych, klientów, pracowników czy kandydatów na pracowników. RODO obowiązuje bezpośrednio w każdym kraju UE, bez potrzeby jego implementacji do prawa krajowego.

Wymagania zawarte w RODO mieć będą wpływ na bardzo wiele obszarów działalności każdej firmy, poniżej przedstawiamy najistotniejsze.

Obowiązki informacyjne

RODO wymaga od przedsiębiorców, aby wszystkie osoby, których dane przetwarzane są przez nich – w tym także pracowników – były w znacznie szerszym zakresie niż dotychczas informowane, co się z tymi danymi dzieje. Obowiązki obejmują nie tylko moment pozyskiwania danych, ale również późniejszego do nich dostępu dla tych osób.

W przypadku osób fizycznych, których dane znajdują się w posiadaniu przedsiębiorcy będą mogły one mieć szerokie prawo do żądania od przedsiębiorcy dokładnych informacji o tym, w jaki sposób ich dane osobowe są przechowywane i wykorzystywane. Uprawnienia, jakie takie osoby zyskują to między innymi:

• rozbudowane prawo do żądania sprostowania i usuwania danych („prawo do bycia zapomnianym”),
• prawo do przeniesienia kopii danych z bazy przedsiębiorcy,
• prawo do sprzeciwu przetwarzania danych.

Ważne jest, aby wszelkie informacje udzielane przez przedsiębiorców osobom, których dane on wykorzystuje, były przejrzyste, rzetelne i czytelne, co jest wymaganiem tylko pozornie błahym, bo to na przedsiębiorcy będzie ciążył obowiązek wykazania, że informacje udzielone uprawnionym takie właśnie były.

Umowy powierzania danych osobowych

Kolejnym ważnym wymogiem jest konieczność zawierania przez przedsiębiorców umów o powierzeniu przetwarzania danych w przypadku korzystania z usług innych podmiotów (np. informatyków), które choćby na chwilę uzyskają dostęp do bazy danych osobowych przedsiębiorcy. Podmioty gospodarcze ponosić będą odpowiedzialność za działania podmiotu przetwarzającego na zasadzie winy w wyborze. Dlatego też powinni zostać wybierani tacy usługodawcy, którzy gwarantują przestrzeganie przepisów RODO i stosują środki bezpieczeństwa adekwatne do ryzyka związanego z przetwarzaniem danych.

Obowiązek prowadzenia rejestru czynności

RODO z jednej strony likwiduje obowiązek zgłaszania przez administratora danych rejestru danych osobowych do GIODO, który i tak jest obecnie w znacznej mierze obowiązkiem martwym. Przedsiębiorcy będą natomiast zobowiązani do prowadzenia rejestru czynności przetwarzania danych osobowych. Rejestr powinien odnotowywać szereg informacji dotyczących wykorzystania poszczególnych danych osobowych, jakie są dokonywane na danych osobowych („przetwarzanie danych”).

Przepisy RODO przewidziały wyjątek od obowiązku prowadzenia rejestru czynności przetwarzania: nie będzie miał zastosowania w sytuacji gdy administrator danych zatrudnia mniej niż 250 osób, chyba że przetwarzanie, którego dokonuje może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego, obejmuje szczególne kategorie danych osobowych lub obejmuje pewne kategorie danych osobowych.

Biorąc pod uwagę, że proces przetwarzania danych osobowych u przedsiębiorcy zatrudniającego na stałe pracowników nie odbywa się sporadycznie, należy zakładać, że większość małych przedsiębiorców będzie musiała prowadzić przedmiotowy rejestr.

Nowe obowiązki w zakresie bezpieczeństwa danych

Przedsiębiorcy będą musieli wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewnią odpowiadający potencjalnym zagrożeniom poziom bezpieczeństwa. RODO nie wskazuje obowiązkowych środków, a jedynie mówi, że powinny być one adekwatne do ryzyka naruszenia danych osobowych. Jest to wymóg mało precyzyjny i wymaga szczególnej ostrożności przy interpretacji jego treści, gdyż zgodnie z zasadą rozliczalności to przedsiębiorca będzie musiał udowodnić, że zastosowane środki są adekwatne do ryzyka.

RODO wymienia środki bezpieczeństwa przykładowo, są nimi między innymi:

• pseudonimizacja,
• szyfrowanie danych osobowych,
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Przeczytaj także na MamBiznes.pl „Mniejsza liczba obowiązków wynikających z RODO dla MŚP„

Obowiązek zgłoszenia naruszenia danych osobowych

RODO nakazuje przedsiębiorcom, by o wszystkich przypadkach naruszenia danych informowali urząd regulatora (dzisiejsze GIODO), a niekiedy także zainteresowane osoby, których dane dotyczą, w terminie nie późniejszym niż 72 godziny po stwierdzeniu naruszenia. Dotyczy to wszystkich przypadków niekontrolowanego wycieku danych, także w taki sposób, jak zgubienie nośnika danych typu płyta CD czy pendrive.

Obowiązek powołania inspektora ochrony danych

RODO zmienia rolę administratora bezpieczeństwa informacji i zastępuje go inspektorem ochrony danych. Powołanie inspektora ochrony danych w sektorze prywatnym będzie obowiązkowe, jednak tylko gdy wymaga regularnego i systematycznego monitorowania osób w szerokim zakresie lub gdy jest na dużą skalę przetwarzane są dane wrażliwe.

Podsumowanie

Jak widać z powyższego, mikro, mali i średni przedsiębiorcy będą zwolnieni z części obowiązków, które przewiduje RODO. Złagodzeniu ulega też część dotychczas istniejących obowiązków. Sporo jest jednak nowych zmian, a biorąc pod uwagę wysokie kary, jakie teraz będą grozić oraz zasadę rozliczalności, przedsiębiorcy powinni przygotować się do przewidzianych w RODO zmian z odpowiednim wyprzedzeniem i starannością. Tym bardziej, że proces przygotowania nie zawsze będzie procesem łatwym i szybkim. Unijny ustawodawca zdając sobie sprawę ze skali wyzwania, dał przedsiębiorcom dwa lata na wdrożenie nowych zasad, a okres ten obecnie dobiega końcowi.

Adam Tula, adwokat
Rykowski & Gniewkowski Kancelaria Adwokatów i Radców Prawnych Sp.k.