Do momentu wejścia w życie europejskiego rozporządzenia o ochronie danych osobowych każda organizacja pozyskująca i przetwarzająca dane swoich klientów lub współpracowników musi dostosować się do nowych przepisów. Konsekwencją niedostosowania się do zmian mogą być zarówno wysokie kary pieniężne jak i negatywne konsekwencje prawne i wizerunkowe.
Podmioty zobowiązane do wdrożenia RODO muszą samodzielnie przygotować się na wejście w życie nowych regulacji, wykorzystując do tego własne zasoby kadrowe. To ważne, ponieważ gdy już nowe zasady będą obowiązywać, działać one będą według innych niż obecnie reguł. - Nowa regulacja oparta jest na nieco innej koncepcji. Odmiennie niż to było dotychczas, to administrator będzie decydować, bazując na analizie ryzyka, jakiego rodzaju zabezpieczenia, jakie środki techniczne, organizacyjne i prawne będzie musiał wdrożyć, żeby prawidłowo przetwarzać dane osobowe. Czyli robić to zgodnie z rozporządzeniem i bezpiecznie. Jest to jakościowo bardzo istotna zmiana w stosunku do dotychczasowej regulacji, w której te obowiązki określone były w sposób sztywny – mówi radca prawny dr Dominik Lubasz.
Podobnie zmiany ocenia dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych: Bardzo zależy mi na tym, aby administratorzy danych uświadomili sobie, że rozporządzenie nie tylko nakłada na nich nowe obowiązki i zwiększa ich odpowiedzialność za przetwarzanie danych osobowych zgodnie z prawem, ale również zapewnia im większą elastyczność działania. Przykładowo, jeśli ktoś tradycyjnymi metodami przetwarza niewielki zakres danych osobowych, to nie będzie zobowiązany do stosowania skomplikowanych i kosztownych zabezpieczeń.
Czytaj: GIODO: zapowiada się upolitycznienie urzędu chroniącego dane osobowe>>
Każda organizacja przetwarzająca dane osobowe będzie zobligowana do wdrożenia odpowiednich środków technicznych i organizacyjnych. Będzie musiała przy tym uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Instytucje takie będą zobligowane także do analizy ryzyka. Jeżeli firma nie zapewni stopnia bezpieczeństwa odpowiadającego ryzyku, czyli nie wdroży odpowiednich środków technicznych i organizacyjnych, będzie mogła zostać ukarana wysokimi karami administracyjnymi. - Podmioty dysponujące danymi muszą zdawać sobie sprawę, że nie wolno im lekko traktować takich informacji, handlować nimi ani udostępniać osobom nieupoważnionym, bo grozi za to określona kara – komentuje dr Edyta Bielak-Jomaa.
A dr Wojciech Wiewiórowski, zastępca Europejskiego Inspektora Ochrony Danych dodaje, że każda instytucja musi ocenić, jakiego rodzaju dane posiada, jakie decyzje na ich podstawie będą podejmowane i jaki mogą te decyzje mieć wpływ na sytuację osoby, której dotyczą. - Ważna też jest ocena, komu te dane będą przekazywane na zewnątrz. Ryzykiem jest więc nie tylko wyciek, ale przekazanie danych podmiotom, który z tymi danymi może zrobić więcej niż podmiot uprawniony - stwierdza.
Czytaj: Dr Wiewiórowski: administrator danych musi ocenić ryzyko wycieku>>
Jedną z kluczowych zmian, które wprowadza rozporządzenie RODO, jest obowiązek zadbania o ochronę danych osobowych już na etapie projektowania wdrażanych rozwiązań związanych z przetwarzaniem danych, np. aplikacji, portali internetowych, w tym społecznościowych, organizowania konkursów itp. Administratorzy będą musieli wdrożyć właściwe rozwiązania techniczne i organizacyjne, które zagwarantują odpowiedni poziom bezpieczeństwa danych.
– Administrator danych osobowych musi zweryfikować ryzyko związane z przetwarzaniem danych osobowych i stosownie do tego ryzyka wdrożyć odpowiednie rozwiązania. Musi również podjąć decyzję dotyczącą zabezpieczeń i to on odpowiada za błąd w tejże decyzji – mówi Dominik Lubasz.
Rozszerzone będą obowiązki informacyjne wobec klientów, co w praktyce oznacza konieczność wymiany wszystkich formularzy, zarówno papierowych, jak i elektronicznych. Dotychczas klauzula zawierająca zgodę na przetwarzanie danych zawierała się w kilku zdaniach. Po wejściu w życie nowych przepisów znacznie się rozszerzy. Nowością będzie możliwość uzyskania zgody na przetwarzanie danych osobowych bezpośrednio od dziecka, które ukończyło 16 rok życia. Dopiero uzyskanie zgody na przetwarzanie danych osobowych dziecka w związku z korzystaniem przez nie z usług internetowych i mediów społecznościowych poniżej tej granicy wiekowej będzie wymagało zgody rodzica lub opiekuna prawnego. Natomiast obowiązkiem firmy będzie zweryfikować i upewnić się, że wyrażona zgoda jest wiarygodna.
Naruszenie bezpieczeństwa danych osobowych, zniszczenie, nieuprawnioną modyfikację czy wyciek danych firmy będą zmuszone raportować do nowego organu nadzorczego, który ustanowi projektowana w Polsce ustawa, a także w pewnych przypadkach powiadamiać o tym swoich klientów. Mniej ma być kontroli, ale za to większa odpowiedzialność podmiotów zobowiązanych. Nowością jest to, że nowe unijne prawo „zauważa” małe i średnie przedsiębiorstwa, różnicując obowiązki na nich nakładane w porównaniu z dużymi koncernami czy spółkami akcyjnymi.
Za nieprzestrzeganie nowych przepisów o ochronie danych osobowych przedsiębiorstwom grozić będą kary finansowe. O ich wysokości stosownie do naruszonych przepisów będzie decydował organ nadzorujący. Obecna ustawa o ochronie danych przewiduje sankcje karne za naruszenie przepisów. Rozporządzenie RODO wprowadza natomiast administracyjne kary finansowe, które w przypadku przedsiębiorstw będą sięgać do 2–4 proc. rocznego obrotu. – Te kary mogą być nawet bardzo wysokie, ale to powinno przyczynić się do zachowania większej dbałości o dane, by były przetwarzane zgodnie z prawem – podkreśla dr Bielak-Jomaa.