Niezbedne informacje o zmianach w ochronie danych osobowych w 2018 roku

Od 25 maja 2018 r. wchodzi w życie RODO, czyli unijne rozporządzenie dotyczące ochrony danych osobowych. Nowe przepisy dotyczą każdego podmiotu działającego na terenie UE, począwszy od jednoosobowych działalności gospodarczych po duże międzynarodowe korporacje. Czasu na wprowadzenie zmian nie zostało wiele, a brak ich wdrożenia grozi wielomilionowymi karami.

W kwietniu 2016 r. uchwalono unijne Ogólne rozporządzenie o ochronie danych (RODO), które zastąpi przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych. Nowe regulacje mają na celu ujednolicenie przepisów na terenie całej UE. Dotyczą one wszystkich przedsiębiorców, których czeka wdrożenie nowych zasad. Wiąże się to z licznymi, dodatkowymi obowiązkami oraz koniecznością dostosowania procesów i zaplecza

Czym tak naprawdę jest RODO?

General Data Protection Regulation (GDPR), czyli Ogólne rozporządzenie o ochronie danych osobowych (powszechnie używany skrót – RODO) zostało przyjęte przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 r. Nowe wytyczne dotyczą ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz ich przepływem.
Kiedy zmiany wejdą w życie?

Wspomniany akt prawny od 25 maja 2018 r. będzie regulował powyższe kwestie we wszystkich państwach członkowskich Unii Europejskiej.
Dlaczego muszą zajść zmiany?

Głównym celem RODO jest potwierdzenie faktu, że ochrona danych osobowych jest podstawowym prawem każdego obywatela. Rozporządzenie wprowadza szereg korzyści dla osób prywatnych, w tym większą transparentność w odniesieniu do użycia danych osobowych, tj. nakazuje upowszechnienie informacji kto, kiedy i w jakim procesie wykorzystał poszczególne dane.

Nowe przepisy zostały wprowadzone przede wszystkim w celu ujednolicenia zasad dotyczących ochrony danych osobowych obowiązujących na terenie całej UE. Podwalinami zmian były wyniki badania Komisji Europejskiej z 2015 r. Zostało ono przeprowadzone wśród obywateli 28 państw członkowskich na zlecenie Dyrekcji Generalnej ds. Sprawiedliwości i Konsumentów, a jego tematem była właśnie ochrona danych. Okazało się, że 67 proc. respondentów martwi fakt, że nie mają kontroli nad informacjami o sobie, które pojawiają się w internecie. Natomiast 89 proc. badanych uznało, że wszyscy mieszkańcy UE powinni mieć taki sam poziom ochrony swoich danych, niezależnie od kraju zamieszkania.

 Intencją wdrożenia RODO było zarówno zunifikowanie regulacji o ochronie danych osobowych, które obowiązują od 1995 r. i w dobie postępującej cyfryzacji mają coraz mniejsze zastosowanie praktyczne, jak i również wprowadzenie szerszej ochrony.
Kogo dotyczy RODO? Zakres podmiotowy

Obowiązek zastosowania się do RODO mają wszystkie firmy, które gromadzą i wykorzystują dane dotyczące osób fizycznych, tj. pracowników oraz klientów. Nowa regulacja dotyczy zatem podmiotów, które w jakikolwiek sposób zbierają i przetwarzają informacje z tych dwóch obszarów. Mogą to być zarówno duże korporacje, jednoosobowe firmy, jak i sklepy internetowe.


Co to są dane osobowe, co oznacza ich przetwarzanie?

Dane osobowe to każda informacja dotycząca osoby fizycznej, pozwalająca na określenie jej tożsamości. W związku z czym samo imię i nazwisko nie będzie stanowiło danych osobowych, do momentu powiązania go z nazwą firmy, w której osoba pracuje czy adresem zamieszkania. Dodatkowo RODO określa dane wrażliwe, tj. dotyczące zdrowia, poglądów politycznych czy orientacji seksualnej, które powinny być szczególnie chronione. Natomiast przetwarzanie danych osobowych to każda czynność związana z ich użyciem, czyli zapisywanie, kopiowanie czy przechowywanie w formie cyfrowej.
Jak RODO wpłynie na podmioty fizyczne?

RODO kładzie szczególny nacisk na nadanie szerszych praw osobom fizycznym w zakresie ochrony ich danych osobowych. W związku z tym rozporządzenie wprowadziło przepisy, które ułatwiają obywatelom kontrolę przepływu i wykorzystania ich danych:

prawo do bycia zapomnianym, czyli prawo do całkowitego usunięcia danych,
uprawnienie do żądania przeniesienia danych, czyli przekazania ich bezpośrednio innemu, wskazanemu przez osobę fizyczną administratorowi,
wzmocnione prawo dostępu i wglądu obywatela w jego dane.

Zmiany w ochronie danych osobowych a zgoda na przetwarzanie danych osobowych

Wraz z wdrożeniem RODO zostanie również rozszerzone prawo sprzeciwu wobec przetwarzania danych, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych.

 Jakie obowiązki obowiązują przedsiębiorce?

Przedsiębiorcy mają obowiązek uwzględniać zasady ochrony danych osobowych oraz dobrać rozwiązania organizacyjne i techniczne, które zapewnią należyte ich przechowywanie. Rozporządzenie nie określa wprost, jakie konkretnie zabezpieczenia czy rozwiązania w zakresie ich ochrony powinny zostać wprowadzone przez firmy. Jednak należy pamiętać, że muszą być one zgodne z zasadami wynikającymi z RODO.

Firmy, których dotyczy rozporządzenie, nie uchronią się zatem przed koniecznością wymiany formularzy, zmiany klauzul i zgód na przetwarzanie danych osobowych klientów, zweryfikowania wewnętrznych procesów pod kątem bezpieczeństwa informacji, wdrożenia infrastruktury IT, przeszkolenia pracowników czy utworzenia stanowiska administratora danych osobowych.

Do podstawowych obowiązków, jakie muszą spełnić przedsiębiorstwa przetwarzające i administrujące dane osobowe, należą:

należyte zabezpieczenie przechowywanych danych,
przekazywanie klientom szczegółowych informacji o przetworzeniu ich danych osobowych,umożliwienie wglądu w historię zmiany danych, informowanie o celu zbierania danych,
uzyskanie zgody na wykorzystanie danych w kontekście konkretnego procesu biznesowego,
opracowanie i prowadzenie dokumentacji przetwarzania danych, w tym rejestru czynności przetwarzania i rejestru naruszeń,
wdrożenie zasady privacy by default, tj. wcielenie takich środków technicznych i organizacyjnych, które pozwolą na domyślne przetwarzanie tylko tych danych, które są niezbędne do określonego procesu,
obowiązek notyfikacyjny, polegający na konieczności zgłoszenia do organu nadzorczego incydentu naruszenia bezpieczeństwa, w ciągu 72 godzin od jego zajścia,
zapewnienie rozliczalności (na żądanie organu nadzorczego przedstawić dokumentację, która wykaże przestrzeganie prawa),
udokumentowanie udzielenia zgody, tj. przechowywanie informacji o tym, kto wyraził zgodę, kiedy to zrobił, w jakim zakresie oraz jakie informacje zostały mu przekazane przy okazji odbierania zgody.

W jaki sposób uzyskać zgodę na przetwarzanie danych osobowych?

RODO uzupełnia zasady uzyskiwania zgód na przetwarzanie danych osobowych od osób fizycznych. Zgoda przede wszystkim musi być wyrażona konkretnemu podmiotowi. Dodatkowo oświadczenie o jej udzieleniu powinno być sformułowane w jasny i prosty sposób. RODO wymaga, aby pobierane zgody charakteryzowała dobrowolność. W związku z czym jej wyrażenie bądź brak zgody nie powinno wpływać na warunki zawieranej umowy. Dodatkowo musi zostać wyraźnie określony cel jej udzielenia, miejsce przetwarzania danych oraz czas, na jaki została wyrażona. Ponadto zbierane zgody mogą zostać wykorzystane wyłącznie w określonym celu, który został zapisany w treści oświadczenia. Osoba fizyczna powinna zostać również poinformowana o tożsamości administratora danych osobowych oraz możliwości cofnięcia zgody na przetwarzanie informacji.

Istotną zamianą jest brak możliwości udostępniania danych innemu podmiotowi bez odpowiedniej podstawy prawnej. Oznacza to, że działalność polegająca na sprzedawaniu baz danych osobowych oraz ich kupowaniu może być bardzo niebezpieczna dla zaangażowanych w proceder podmiotów. Jeśli osoby fizyczne nie wyrażą zgody na przekazanie swoich danych, takim podmiotom grożą wysokie kary.
Co warto zrobić przed nadejściem zmian?

Rozporządzenie nie określa konkretnych narzędzi, jakie należy wprowadzić w celu zabezpieczenia przechowywania danych osobowych. Działania, jakie podejmie firma, zależą wyłącznie od niej. Należy jednak mieć na uwadze, że muszą one być zgodne z nowym prawem. Ponadto RODO nakłada na przedsiębiorców wymóg należytej staranności.


Prawo do bycia zapomnianym - zmiany w RODO


Osoba fizyczna w każdym momencie może zażądać udostępnienia informacji o swoich danych osobowych, a także ich usunięcia. RODO rozszerzyło prawo do bycia zapomnianym, które oznacza całkowite wykasowanie danych z bazy instytucji. Może przysporzyć to wielu trudności przedsiębiorstwom, ponieważ zmusza je do usunięcia wszystkich informacji o danej osobie z systemów administratora. Dotyczy to także kopii, linków, odniesień i dokumentacji papierowej. Ponadto w sytuacji, gdy jakieś dane zostały wcześniej udostępnione, należy dołożyć wszelkich starań, aby wszystkie ich kopie i linki zostały skasowane i usunięte na dobre, nawet jeżeli są już w posiadaniu innych podmiotów.

Prawo do bycia zapomnianym istniało również w dotychczasowych przepisach. RODO natomiast upraszcza procedurę jego żądania – osoba fizyczna nie musi składać wniosku w formie pisemnej. Ponadto administrator danych musi przedstawić poświadczenie ich usunięcia. Mogą zostać zachowane jedynie dane statystyczne, ale niepozwalające na identyfikację osoby.


Czy wszystkie firmy muszą wyznaczyć Inspektora Ochrony Danych Osobowych?

W przedsiębiorstwach występowali Administratorzy Danych Osobowych, jak i Administratorzy Bezpieczeństwa Informacji. Dotychczasowe przepisy zostały zmodyfikowane przez RODO, które wprowadziło funkcję Inspektora Ochrony Danych Osobowych. Powołanie nowego stanowiska będzie obligatoryjne dla wszystkich instytucji publicznych (z wyłączeniem sądów), jednostek, których działalność polega na regularnym i automatycznym przetwarzaniu danych oraz jednostek, których główna działalność polega na przetwarzaniu danych wrażliwych, dotyczących przestępstw czy skazań za przestępstwa. Do obowiązków Inspektora należeć będzie bieżące monitorowanie zgodności przyjętych przez przedsiębiorstwo procedur z wymogami RODO. Dodatkowo osoba ta musi dysponować wiedzą ekspercką w zakresie ochrony danych osobowych.


Czym jest obowiązek notyfikacyjny?

RODO wyprowadziło obowiązek prowadzenia przez przedsiębiorców rejestru naruszeń, w którym należy uwzględniać wszystkie incydenty związane z naruszeniem bezpieczeństwa przetwarzania danych osobowych. Administratorzy są zobowiązani do ich zgłaszania w ciągu 72 godzin do właściwego organu nadzoru (GIODO). Ponadto przedsiębiorstwa mają obowiązek powiadomienia o wycieku osoby, których dane osobowe zostały poważnie naruszone (chodzi głownie o cyber przestępstwa, ataki hakerskie). Należy pamiętać, że niedopełnienie obowiązku notyfikacyjnego będzie mogło skutkować nałożeniem kary finansowej.

Na przedsiębiorcach będzie ciążył również obowiązek prowadzenia rejestru czynności przetwarzania, który zawierać ma informacje dotyczące celu gromadzenia oraz przetwarzania danych osobowych, komu zostały przekazane, środków bezpieczeństwa stosowanych w celu zagwarantowania poufność danych.

 

Jakie kary obowiązują za nie dostosowanie się do RODO

Przedsiębiorstwa przetwarzające dane osobowe będą ponosić odpowiedzialność za złamanie przepisów RODO, włączając możliwość otrzymania kary finansowej w wysokości 10 mln euro lub 2 proc. rocznego światowego obrotu firmy osiągniętego w poprzednim roku obrotowym. W szczególnych przypadkach może ona wzrosnąć nawet do 20 mln euro bądź 4 proc. obrotu. Forma jej naliczania będzie zależała od tego, która wartość jest wyższa.

Szukaj w artykułach: