Co to jest RODO?
Zacznijmy od tego, że aktualne przepisy w naszym kraju są najczęściej bezpodstawne i przestarzałe, a tym samym nie znajdują zastosowania w realiach współczesnego świata. Pogłębiająca się coraz szybciej cyfryzacja wymusza dostosowanie i zmianę aktualnych podstaw do obecnych potrzeb. Dlatego właśnie pojawił się projekt RODO. Co to takiego jest? Mianowicie 24 maja 2016 r. weszło w życie unijne Ogólne rozporządzenie o ochronie danych (RODO). Zastąpi ono przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych.
Nowe przepisy przyjęte zostały w formie rozporządzenia, co oznacza bezpośrednie stosowanie przepisów przez wszystkich przedsiębiorców przetwarzających dane osobowe na terytorium Unii Europejskiej. RODO wejdzie w życie bez konieczności implementacji polską ustawą. Wszystko w celu ujednolicenia zasad ochrony danych osobowych w Unii Europejskiej.
Rozporządzenie to największa zmiana w ochronie danych osobowych od dwudziestu kilku lat. Zawarte w nim przepisy będą egzekwowane od 25 maja 2018 roku. Zakończy się wtedy dwuletni okres wdrożeniowy mający na celu przygotowanie się do nadchodzących zmian. Od tego momentu wszystkie firmy działające na terenie Unii Europejskiej będą miały obowiązek przestrzegania nowych wytycznych dotyczących przepływu i przetwarzania danych osobowych osób fizycznych.
Każdy nas z jest właścicielem swoich danych, takich jak np. imię, nazwisko, wiek czy adres email. Są one nieustannie przetwarzane przez różnego rodzaju instytucje i firmy: od publicznych ośrodków zdrowia zaczynając, a na portalach społecznościowych kończąc. Tak więc wszystkie jednostki zajmujące się przetwarzaniem danych osobowych są drugą grupą, do której będą kierowane nowe przepisy. Wdrożenie RODO i jego aktywne stosowanie stawia na uprzywilejowanej pozycji osoby fizyczne, którym nadane zostaną nowe prawa. Podczas procesu podawania danych osobowych otrzymają one od firm bardziej transparentne informacje o m.in. celach, w ramach których dane będą wykorzystywane. To jeden z nowych obowiązków, które ustawa RODO wymusza na przedsiębiorstwach. Jest ich więcej, a całość zmian ma na celu zwiększenie bezpieczeństwa przetwarzanych danych osobowych.
Co dokładnie zmienia RODO?
Bezpośrednia odpowiedzialność przetwarzającego dane – Organizacje przetwarzające dane osobowe pochodzące z innych firm, które podczas świadczenia usług na ich rzecz będą ponosić bezpośrednią odpowiedzialność za złamanie zapisów RODO, włączając w to ryzyko otrzymania kary finansowej. Również będą wymagane bardziej restrykcyjne niż dotychczas wymogi w zakresie tworzenia umów o przetwarzaniu, natomiast odszkodowania i ograniczenia odpowiedzialności najprawdopodobniej będą podlegać renegocjacji.
Zgłaszanie naruszeń – Obowiązkiem administratorów danych będzie zgłaszanie w ciągu 72 godzin od wykrycia do właściwego organu nadzoru przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Ale także może wystąpić konieczność powiadomienia danej osoby o przypadku wystąpienia dużego ryzyka naruszenia jej praw lub swobód.
Nowe i rozszerzone prawa obywateli – wprowadzone zostaje:
- „prawo do bycia zapomnianym” (skierowane do obywateli, którzy życzą sobie, by ich dane osobowe zostały usunięte),
- uprawnienie do żądania przeniesienia danych
- oraz wzmocnione prawo dostępu i wglądu obywatela w jego dane.
Rozszerzy się prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych, co ma niebagatelne znaczenie dla firm bazujących na analityce danych.
Ograniczenia profilowania – Innymi słowy jest to wnioskowanie na podstawie jednych danych osobowych o innych cechach ich właściciela. Zabieg ten ma szczególne znaczenie przy prowadzeniu działań marketingowych przez firmy bazujące na analityce danych. Jeżeli dana osoba regularnie chodzi na siłownię można przypuszczać, że dba również o zdrowe odżywianie. Na tej podstawie zostaje zakwalifikowana do grupy docelowej sklepu z organiczną żywnością, która kieruje do niej swoje reklamy. W przypadku profilowania w celach marketingowych użytkownik może zgłosić swój sprzeciw dla takich działań. Wdrożenie RODO umożliwia również sprzeciw w stosunku do decyzji podjętych wyłącznie w oparciu o profilowanie, a które wywołują dla użytkownika skutki prawne. Nie dotyczy to jednak przypadków, w których dana decyzja jest konieczna do zawarcia umowy między klientem a firmą i bazuje na jego wyraźnej zgodzie. Aby zasady były przejrzyste, już na etapie zbierania danych osobowych użytkownik powinien uzyskać informację o profilowaniu.
Wyznaczenie Inspektora Ochrony Danych Osobowych i prowadzenie przez niego obowiązkowej inwentaryzacji danych i wymagań związanych z dokumentacją. Inspektor Ochrony Danych Osobowych (IOD)
Zastąpi on obecnego Administratora Bezpieczeństwa Informacji (ABI), który nie był dotychczas urzędem obligatoryjnym, niemniej istniał w wielu firmach. Po wdrożeniu nowych przepisów zakończy się swoboda wyboru i IOD będzie musiał zostać powołany nie tylko w przedsiębiorstwach, ale też wszystkich instytucjach publicznych (z wyłączeniem sądów), których działalność wiąże się z przetwarzaniem danych (również w jednostkach przetwarzających dane wrażliwe, dotyczące np. przestępstw).
Zgody– Przepisami RODO zostają wprowadzone nowe lub uzupełnione zasady uzyskiwania ważnych i weryfikowalnych zgód na przetwarzanie danych osobowych od osób, których dane dotyczą.
Rozbudowanie obowiązku informacyjnego – Przepisy RODO wyznaczają konkretne informacje, które muszą być zawarte w sposobie przetwarzania danych osobowych kierowanej do osób, których dane dotyczą. Standardowy obowiązek informacyjny obecnie mający moc prawną zostanie rozszerzony. Rolą przedsiębiorstwa będzie podanie podstawy prawnej, zgodnie z którą przetwarzane są dane użytkownika. Rozbudowane klauzule na stronach internetowych już teraz budzą niechęć. Po wprowadzeniu w życie rozporządzenia będą jeszcze dłuższe, ponieważ zadaniem firm stanie się zawiadamianie o zamiarze przekazania danych do państwa trzeciego, posiadanych certyfikatach czy zastosowanych zabezpieczeniach. Nowe obowiązki w zakresie szczegółowego informowania klientów o przetwarzaniu ich danych osobowych wynikają z rozszerzonych praw, które zapewnia im ustawa RODO.
Transfer danych poza Unię Europejską – Niedostosowanie się do zakazu przesyłania danych, bez zachowania odpowiedniego poziomu zabezpieczeń, będzie zagrożone możliwością nałożenia bardzo wysokich kar finansowych.
Przygotowania do wdrożenia RODO warto rozpocząć jak najwcześniej. Nowe przepisy mówią o regulacjach procesów wewnętrznych, więc przedsiębiorstwo dysponuje dużą swobodą w wyborze sposobu ich wprowadzenia: samo dobiera formy i decyduje o koniecznych zmianach. Jeżeli prowadzone do tej pory działania były zgodne z obowiązującymi przepisami, mogą stanowić punkt startowy przy wdrażaniu zmian, ponieważ część przepisów jest tożsama z obecnymi regulacjami. Działania trzeba zacząć od audytu i analizy. Zaplanowanie zmian i działań lub przekazanie tego firmie zewnętrznej, która zajmie się kompleksowo wdrążaniem zmian i szkoleniem pracowników.