Rozporządzenie o Ochronie Danych Osobowych (RODO), to nowe unijne prawo, które w zupełnie inny, niż dotychczas, sposób definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w firmach i urzędach. Trzeba je wdrożyć do 25 maja przyszłego roku.

Kogo dotyczy RODO

Przepisy obejmują wszystkie podmioty, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Nadchodzące zmiany będą dotyczyły zarówno firm, jak i administracji. Co ważne – RODO będą musiały wdrożyć wszystkie organy administracji publicznej! Do tej pory nie było takiego obowiązku. Teraz zarówno te duże firmy, czy urzędy jak i te małe kilku-, czy kilkunastoosobowe firmy, sklepy internetowe, szkoły, ośrodki pomocy społecznej czy domy kultury itp. muszą przetwarzać dane osobowe zgodnie z prawem.

 

Nowe przepisy wprowadzają szereg obowiązków, nowe rodzaje odpowiedzialności, ale też sankcje finansowe. Prognozowane kary to miliony euro lub setki tysięcy złotych w zależności od podmiotu, który zostanie ukarany. Ale są też inne zmiany:

  • rozszerzające kategorie odpowiedzialności za naruszenie,
  • wskazujące kierowników jednostek, jako osoby odpowiedzialne bezpośrednio za poprawność przetwarzania danych osobowych,
  • powołujące nowych inspektorów danych osobowych (IOD),
  • nakazujące przeprowadzanie audytów bezpieczeństwa, czy prowadzenie rejestrów ryzyka i naruszeń.

To tylko niektóre ze zmian, jakie należy wdrożyć w swojej organizacji.

10 najważniejszych zmian wynikających z RODO

1. Kary finansowe

RODO wprowadza dotkliwe kary finansowe za brak wdrożenia i przestrzegania nowych przepisów dot. ochrony danych osobowych.

Firmy mogą zostać ukarane karą pieniężną od 10 do 20 mln euro lub od 2% do 4%  wartości rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa.

Administracja publiczna – wysokość kary przewidywana jest na poziomie 100.000 złotych (projekt z 13.09.2017 ustawa o ochronie danych osobowych).

Kary będą nakładane proporcjonalnie w zależności od skali naruszenia przepisów.

 

2. Bezpośrednia odpowiedzialność przetwarzającego dane

Za naruszenie przepisów o ochronie danych osobowych odpowiadać będzie szef firmy, jednostki, szkoły, urzędu. Odpowiedzialność jest bezpośrednia i powołanie inspektora ochrony danych osobowych, czy wynajęcie firmy zewnętrznej w tym obszarze, nie zwalnia z tej odpowiedzialności. Dlatego każdy prezes, dyrektor, wójt, burmistrz, prezydent miasta powinien dobrze się przygotować i wdrożyć RODO. Szef organizacji odpowiada zarówno przed urzędem kontroli, jak i przed sądem cywilnym czy karnym. Nie może cedować tej odpowiedzialności na innych pracowników.

 

3. Inspektor Ochrony Danych (IOD) – nowa funkcja

Inspektor Ochrony Danych (IOD), to nowa osoba w organizacji, odpowiedzialna za bezpieczeństwo danych, ale też za raportowanie naruszeń do urzędu kontroli. Dotychczasowy administrator danych osobowych (ABI) przestaje istnieć.

Powołanie IODo jest obligatoryjne dla podmiotów, które prowadząc swoją działalność, przetwarzają takie rodzaje danych, których brak należytego zabezpieczenia może spowodować naruszenie praw i wolności osób fizycznych np. dzieci.

 

Obligatoryjnie IOD muszą powołać:

  • organy i podmioty publiczne np.: szkoły, uczelnie publiczne, urzędy gmin, jednostki pomocy społecznej, spółki komunalne itp.,
  • firmy, które regularnie i systematycznie przetwarzają i monitorują dane osobowe np. firmy telekomunikacyjne, reklamowe, badawcze, ubezpieczyciele, marketingowe itp.,
  • szpitale, przychodnie,
  • inne, które wymieniają przepisy.

IOD powinien posiadać wiedzę ekspercką w zakresie ochrony danych osobowych, aby odpowiednio kierować polityką bezpieczeństwa danych w organizacji.

 

4. Zgłoszenie naruszeń w ciągu 72 godzin

To właśnie IOD będzie miał obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w czasie do 72 godzin od naruszenia, bezpośrednio do właściwego organu nadzoru. Oznacza to, że każde naruszenie należy zgłosić bezpośrednio do organu nadzorczego w nieprzekraczalnym czasie 72 godzin i to niezależnie od powiadomienia przełożonych.

W niektórych przypadkach należy również poinformować o takim incydencie konkretne osoby, których dane „wyciekły”.

 

5. Rejestr naruszeń

Jedną ze zmian, jaką wprowadza RODO, jest nowy obowiązek inspektorów ochrony danych prowadzenia rejestru naruszeń. Zgodnie z przepisami IOD musi dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.

Prowadzona w ten sposób dokumentacja musi pozwolić organowi nadzorczemu zweryfikować, czy firma przestrzega postanowień RODO w tym zakresie, czyli zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego.

 

6. Analiza ryzyka

Przeprowadzenie analizy ryzyka będzie obowiązkowe przed podjęciem działań „wysokiego ryzyka”, takich jak np.: przetwarzanie danych dotyczących zdrowia (fizycznego, psychicznego, korzystania z usług medycznych), danych dzieci, danych wrażliwych.  Analiza ryzyka powinna zapewnić wykazanie się starannością co do poprawności przetwarzania danych, szczególnie przed organem nadzorczym w momencie kontroli.

 

7. Nowe procedury i klauzule

Konieczność opracowania i wdrożenia procedur oraz środków zapewniających bezpieczeństwo przetwarzanych danych osobowych, w tym metod regularnego testowania i oceny ich skuteczności – to odpowiedzialność administratora danych w świetle RODO.

 

Nowe obowiązki to poważne wyzwanie dla administratora, ze względu na brak „gotowych” rozwiązań/regulacji. RODO nie wskazuje wprost, jakie dokumenty, procedury i polityki należy wdrożyć. Ogólnie wspomina, że to podmiot musi się wykazać starannością w zabezpieczeniu tych procesów, aby podczas przetwarzania danych osobowych nie doszło do nieprawidłowości.

Administrator danych na etapie pozyskiwania danych osobowych, będzie zobowiązany, m.in. do podania nowych informacji np.: o podstawie prawnej przetwarzania, danych kontaktowych do IODO, okresie przechowywania danych, prawie do ich przenoszenia, prawie wniesienia skargi do organu nadzorczego, cofnięcia zgody na przetwarzanie danych w dowolnym momencie itp.

Trzeba będzie opracować nowe klauzule informacyjne.

 

8. Obowiązek inwentaryzacji danych osobowych. Rejestry czynności przetwarzania

RODO nie wymaga rejestracji zbiorów danych osobowych. Jednak administratorzy danych będą musieli prowadzić wewnętrzny rejestr czynności przetwarzania danych, zawierający m.in. informacje takie jak: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, rejestry naruszeń, osoby odpowiedzialne za poszczególne procesy przetwarzania, itd. Oznacza to, że administrator powinien rozważyć, jakie rodzaje rejestrów będzie prowadził, czy na poziomie ogólnym czy dość szczegółowym.

 

9. Prawo do zapomnienia i prawo do wglądu w historię przetwarzania danych

RODO przyznaje obywatelom – osobom fizycznym, których dane osobowe są przetwarzane, szereg nowych uprawnień, które muszą być respektowane przez organizacje.

Takie uprawnienia to:

  • „prawo do bycia zapomnianym”, czyli trwałe usunięcie danych osobowych przetwarzanych przez daną instytucję; dotyczy to informacji: w formie cyfrowej, papierowej i kopii zapasowej,
  • żądanie przeniesienia danych np. do innego podmiotu przy zmianie umowy,
  • rozszerzone prawo dostępu i wglądu obywatela w jego dane m.in.: prawo do otrzymania kopii danych,
  • roszczenia odszkodowawcze w sądach cywilnych z tytułu szkód poniesionych z niewłaściwego przetwarzania danych.

10. Przetwarzanie danych osobowych dzieci

Administrator danych powinien zapewnić możliwość wyrażenia zgody przez opiekuna prawnego dziecka na wykorzystanie jego danych (w szczególności w usługach świadczonych elektronicznie/Internet) oraz mieć świadomość, że zgoda wyrażona przez dziecko może być nieważna, zwłaszcza jeżeli dotyczy celów marketingowych, czy też aktywności dzieci w mediach społecznościowych.

 

Akty prawne regulujące prawo o ochronie danych osobowych

  1. ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Jako rozporządzenie UE akt ten nie wymaga implementacji do prawa polskiego. Oznacza to, że 25 maja 2017 r. będzie obowiązywał i musi być stosowany w kwestii ochrony danych osobowych.
  2. Uzupełnieniem do europejskiego rozporządzenia RODO jest projekt polskiej ustawy z 13.09.2017 r. o ochronie danych osobowych – nadal na ścieżce legislacyjnej
  3. Nowa odsłona przepisów dot. ochrony danych osobowych niesie ze sobą bardzo poważne zmiany w tej kwestii. Dostosowanie organizacji powinno się rozpocząć już teraz, ze względu na skomplikowany  proces wdrożenia i liczbę zadań do wykonania. Każda firma czy urząd, które przetwarzają dane osobowe, w dniu wejścia w życie RODO tj. 25 maja 2018 r. musi działać zgodnie z nowymi przepisami.

 

Nie czekaj! Już teraz zapoznaj się z nowymi przepisami dot. ochrony danych osobowych i dostosuj swoje procedury do nowych wymogów prawnych.