RODO - nowe obowiązki dla firm i dodatkowe prawa dla osób fizycznych
Kwestie regulacji prawnych w Polsce wzbudzają wiele emocji, a biurokracja stanowi jeden z największych problemów sektora publicznego. Narzekania Polaków na obowiązujące obecnie przepisy nie są bezpodstawne, ponieważ często okazują się być one przestarzałe, w wyniku czego nie znajdują zastosowania w realiach współczesnego świata. Postępująca i gwałtownie rozprzestrzeniająca się cyfryzacja niejako wymusza dostosowanie ich do obecnych potrzeb. Wskutek tego już niedługo zaczną obowiązywać nowe przepisy o zagadkowo brzmiącej nazwie RODO.
Rozporządzenie RODO
Unijne rozporządzenie RODO zastąpi obecnie obowiązującą ustawę o ochronie danych osobowych, wprowadzając tym samym nowe regulacje. Zostało ono przyjęte przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 roku, a zawarte w nim przepisy będą egzekwowane od 25 maja 2018 roku. Zakończy się wtedy dwuletni okres wdrożeniowy mający na celu przygotowanie się do nadchodzących zmian. Od tego momentu wszystkie firmy działające na terenie Unii Europejskiej będą miały obowiązek przestrzegania nowych wytycznych dotyczących przepływu i przetwarzania danych osobowych osób fizycznych.
Kogo dotyczy RODO?
Nowe rozporządzenie dotyczy przetwarzania danych osobowych, a więc ma ogromne znaczenie dla całego społeczeństwa – to pierwsza grupa, którą obejmuje ustawa. Każdy obywatel jest właścicielem swoich danych, takich jak np. imię, nazwisko, wiek czy adres email. Są one nieustannie przetwarzane przez różnego rodzaju instytucje i firmy: od publicznych ośrodków zdrowia zaczynając, a na portalach społecznościowych kończąc. Tak więc wszystkie jednostki zajmujące się przetwarzaniem danych osobowych są drugą grupą, do której będą kierowane nowe przepisy. Wdrożenie RODO i jego aktywne stosowanie stawia na uprzywilejowanej pozycji osoby fizyczne, którym nadane zostaną nowe prawa. Podczas procesu podawania danych osobowych otrzymają one od firm bardziej transparentne informacje o m.in. celach, w ramach których dane będą wykorzystywane. To jeden z nowych obowiązków, które ustawa RODO wymusza na przedsiębiorstwach. Jest ich więcej, a całość zmian ma na celu zwiększenie bezpieczeństwa przetwarzanych danych osobowych.
Powody wprowadzenia zmian
Dotychczas obowiązujące szczegółowe przepisy z 1995 roku przestały znajdować zastosowanie we współczesnym świecie. Rosnąca popularność umów zawieranych drogą elektroniczną sprawiła, że podpisywanie ich tradycyjnych, papierowych wersji podczas fizycznego spotkania obu stron transakcji praktykowane jest coraz rzadziej. Często kontrakty te zawierane są między obywatelami różnych krajów, w których przetwarzanie danych osobowych odbywa się na innych zasadach. Rozporządzenie RODO będzie obowiązywało we wszystkich 28 krajach Unii Europejskiej ujednolicając w ten sposób obecnie obowiązujące przepisy o ochronie danych. Na decyzję Komisji o wdrożeniu RODO miały również wpływ przeprowadzone badania na temat ochrony danych osobowych, w których ankietowani wyrażali swoją obawę o bezpieczeństwo udostępnianych informacji. Ponadto, niemal 90 % z nich uważa, że takie same zasady powinny obowiązywać w całej Unii Europejskiej.
Nadchodzące zmiany
Nowa ustawa o ochronie danych osobowych jest w dużym stopniu zbieżna z obecnie obowiązującymi zasadami, jednak niektóre z nich zostaną zmodyfikowane, a inne całkowicie zniesione. Celem rozporządzenia jest uogólnienie pewnych rzeczy i dopasowane przepisów do teraźniejszych potrzeb. Ustawa RODO koncentruje się na celach, które mają zostać osiągnięte, pozostawiając przedsiębiorstwom swobodę w wyborze i dopasowaniu środków. Poniżej znajdują się najistotniejsze zmiany, które wprowadza rozporządzenie.
Koniec obowiązku zgłaszania zbiorów do GIODO
Uprzykrzający przedsiębiorstwom życie obowiązek zgłaszania zbioru danych osobowych do GIODO (Generalny Inspektor Ochrony Danych Osobowych) zniknie. GIODO to organ do spraw ochrony danych osobowych kontrolujący między innymi zgodność przetwarzania danych z przepisami ustawy i prowadzący rejestr zbioru danych. Jednak to nie jedyna zmiana związana z tą instytucją, ponieważ nie tylko obowiązek zgłaszania zbiorów zniknie, ale też sam organ zostanie zniesiony, a właściwie przekształcony i na jego miejscu pojawi się PUEDO lub PUODO, czyli Prezes Urzędu Ochrony Danych Osobowych. Słowo przekształcenie jest najbardziej trafnym określeniem, ponieważ PUODO będzie miał bardzo podobne uprawnienia do dotychczasowego GIODO. Nowa nazwa organu została nadana z uwagi na wprowadzenie przez rozporządzenie RODO funkcji “inspektora ochrony danych”, której charakter zostanie omówiony w dalszej części artykułu. Jej przedstawiciele nie będą podlegać Generalnemu Inspektorowi Danych Osobowych, a pozostawienie takiego nazewnictwa tego organu mogłoby to sugerować, tym samym wprowadzając w błąd.
W rozporządzeniu RODO określone są trzy formy kontroli, którą może przeprowadzić PUODO:
- kontrola planowa – zgodna ze stworzonym wcześniej planem kontroli; nie wymaga wszczęcia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych,
- kontrola doraźna – odbywa się poza planem kontroli, najczęściej z powodu doniesienia np. prasowego lub pochodzącego od osoby prywatnej; postępowanie w sprawie naruszenia również nie jest wszczynane,
- kontrola prowadzona w toku postępowania administracyjnego – o długości maksymalnie miesiąca; ustalono limit, by zwiększyć tempo postępowań w związku z naruszeniem przepisów o ochronie danych osobowych
Kary finansowe
Nowa funkcja, którą zyska PUODO to uprawnienie do nakładania kar finansowych za niedostosowanie się do przepisów. Będą one sięgać wysokości 10 mln euro lub 2% rocznego obrotu firmy, a w przypadku rażących naruszeń kwota ta może wzrosnąć do 20 mln euro lub 4% rocznego obrotu (podczas jej naliczania wybierana będzie wyższa wartość). Wątpliwe jest, by największymi z wymienionych kwot zostały obciążone małe firmy czy jednoosobowe działalności gospodarcze. Najwyższe kary czekają korporacje i instytucje przetwarzające ogromne ilości danych, ponieważ to tam narażenie ich bezpieczeństwa wyrządzi najpoważniejsze szkody dotyczące wielu osób. Niemniej, trzeba pamiętać, że kary będą dla wszystkich, a sposobem na ich uniknięcie jest dostosowanie się do przepisów.
Zmiany w regulacjach dotyczących haseł
Wdrożenie RODO oznacza również zniesienie odgórnych instrukcji odnośnie haseł używanych w internecie. Dotychczas placówki mające dostęp do danych osobowych klientów były zobowiązane do przekazywania im wytycznych dotyczących długości hasła, częstotliwości jego zmiany, wielkości użytych liter czy ilości znaków specjalnych. Miało to na celu zminimalizowanie ryzyka uzyskania dostępu do danych przez osoby niepowołane. Nowa ustawa o ochronie danych osobowych znosi te szczegółowe wytyczne pozostawiając uogólniony zapis o obowiązku zagwarantowania bezpieczeństwa.
Wprowadzenie nowych procedur
Wdrożenie RODO nie tylko eliminuje niektóre z obecnie obowiązujących przepisów lub je przekształca. Powstaną również zupełnie nowe procedury mające dbać o bezpieczne przetwarzanie danych osobowych.
Jedna z nich kryje się pod określeniem “privacy by design”. Wymaga ona od przedsiębiorcy ochrony danych już na etapie projektowania mających pojawić się na rynku nowych towarów lub usług. Uściślając: już podczas tworzenia biznesplanu nowej platformy internetowej właściciel będzie musiał przemyśleć rodzaje zabezpieczeń, które planuje zastosować w celu ochrony danych użytkowników.
Pokrewnym hasłem jest “privacy by default”. To przepis regulujący zasady zbierania danych od użytkowników. Można wymagać od nich podania jedynie tych informacji, które są niezbędne do konkretnej działalności, jednocześnie transparentnie informując o celu, dla którego są gromadzone. Po jego realizacji dane muszą zostać usunięte, a powiadomienie użytkownika o czasie, w którym to nastąpi również jest obowiązkowe. Zebranych informacji nie można wykorzystać do innej inicjatywy, na którą użytkownik nie wyraził zgody. Ponadto posiadane dane muszą być poprawne i regularnie aktualizowane, a błędne usuwane. Przepis ten ma zakończyć bezcelowe gromadzenie i przechowywanie danych osobowych bez wiedzy ich właścicieli.
Inwentaryzacja danych
Jednym z kluczowych dokumentów w firmie będzie rejestr czynności przetwarzania. To prowadzony przez przedsiębiorców zbiór informacji o celach, dla jakich posiadane przez nich dane są przetwarzane, środkach ich ochrony oraz administratorach owych danych. Przykładem mogą być adresy mailowe osób biorących udział w konkursie, które zostały zebrane w celu poinformowania o ewentualnej wygranej. Przedsiębiorstwa otrzymują całkowitą autonomię w kontekście wyglądu i stopnia szczegółowości tego dokumentu. Nie istnieje oficjalny wzór, który mógłby stanowić przykład, więc ostateczna decyzja o strukturze rejestru czynności przetwarzania zależy od firmy. W przeciwieństwie do zbiorów zgłaszanych do GIODO jest dokumentem wewnętrznym i jedynie w czasie kontroli musi być dostępny do wglądu. Z pewnością rzetelne przygotowanie rejestru będzie stanowić atut podczas inspekcji i wykrycia nieprawidłowości, więc warto zawczasu o niego zadbać.
Obowiązek notyfikacyjny
Kolejną zmianą jest budzący niepokój rejestr naruszeń, czyli zapis wszystkich przypadków naruszenia przez firmę bezpieczeństwa posiadanych danych osobowych. Budzący kontrowersje wśród przedsiębiorców jest fakt, że o popełnionych błędach będą zobligowani sami poinformować obecny GIODO, a przyszły PUEDO (PUODO). Mają na to 72 h od momentu uświadomienia sobie, że przepisy zostały naruszone. W przypadku wysokiego ryzyka naruszenia praw osoby, której dane wyciekły konieczne będzie jej zawiadomienie. Przykładem takiej sytuacji mogą być cyberprzestępstwa lub ataki hakerskie.
Obecnie wycieki danych są słabo egzekwowane, instytucje często się do nich nie przyznają lub wręcz ich wypierają. Gdy nowa ustawa o ochronie danych osobowych wejdzie w życie, a w firmie wystąpi przypadek naruszenia bezpieczeństwa posiadanych informacji, kary będą mniej dotkliwe, gdy przedsiębiorca sam poinformuje o popełnionym błędzie. Doceniona zostanie chęć współpracy i zastosowanie się do przepisów.
Na obowiązek notyfikacyjny warto spojrzeć z punktu widzenia właścicieli danych i zastanowić się, czy podjęcie takich środków uznałoby się za słuszne w przypadku wycieku informacji na temat własnej osoby.
Rozbudowany obowiązek informacyjny
Standardowy obowiązek informacyjny obecnie mający moc prawną zostanie rozszerzony. Rolą przedsiębiorstwa będzie podanie podstawy prawnej, zgodnie z którą przetwarzane są dane użytkownika. Rozbudowane klauzule na stronach internetowych już teraz budzą niechęć. Po wprowadzeniu w życie rozporządzenia będą jeszcze dłuższe, ponieważ zadaniem firm stanie się zawiadamianie o zamiarze przekazania danych do państwa trzeciego, posiadanych certyfikatach czy zastosowanych zabezpieczeniach. Nowe obowiązki w zakresie szczegółowego informowania klientów o przetwarzaniu ich danych osobowych wynikają z rozszerzonych praw, które zapewnia im ustawa RODO.
Treści zgód i klauzule informacyjne w pakiecie
Nowe i rozszerzone prawa osób fizycznych
Rozporządzenie RODO to odpowiedź na obawę osób prywatnych o bezpieczeństwo udostępnianych danych osobowych. Ma na celu zwiększenie ich ochrony i zapewnienie transparentnego dostępu do informacji o stosowanym sposobie przetwarzania personaliów. Podczas gdy dla firm oznacza to kolejne obowiązki, osoby fizyczne otrzymają nowe prawa.
Profilowanie
Innymi słowy jest to wnioskowanie na podstawie jednych danych osobowych o innych cechach ich właściciela. Zabieg ten ma szczególne znaczenie przy prowadzeniu działań marketingowych przez firmy bazujące na analityce danych. Jeżeli dana osoba regularnie chodzi na siłownię można przypuszczać, że dba również o zdrowe odżywianie. Na tej podstawie zostaje zakwalifikowana do grupy docelowej sklepu z organiczną żywnością, która kieruje do niej swoje reklamy. W przypadku profilowania w celach marketingowych użytkownik może zgłosić swój sprzeciw dla takich działań. Wdrożenie RODO umożliwia również sprzeciw w stosunku do decyzji podjętych wyłącznie w oparciu o profilowanie, a które wywołują dla użytkownika skutki prawne. Nie dotyczy to jednak przypadków, w których dana decyzja jest konieczna do zawarcia umowy między klientem a firmą i bazuje na jego wyraźnej zgodzie. Aby zasady były przejrzyste, już na etapie zbierania danych osobowych użytkownik powinien uzyskać informację o profilowaniu.
Prawo do bycia zapomnianym
Brzmi enigmatycznie, ale w pewien sposób funkcjonuje już teraz. Każdy obywatel po podaniu stosownego powodu może zażądać usunięcia swoich danych z baz firm czy instytucji, które je posiadają. Dotychczas decyzja ta, po złożeniu pisemnego wniosku, była wynikiem wyroku sądowego, ale od maja 2018 roku będzie stanowić przepis przysługujący każdej osobie, której dane będą przetwarzane. Pozwala to między innymi na zażądanie usunięcia konkretnego wyniku pojawiającego się w wyszukiwarce internetowej. Wyjątek stanowią materiały statystyczne niepozwalające na identyfikację osoby: jako jedyne mogą zostać zachowane.
Szukasz innych informacji o RODO?
Uprawnienie do żądania przeniesienia danych
Prawo to z pewnością zostanie pozytywnie odebrane przez osoby przetwarzane i przyszłych administratorów ich danych. Stwarza możliwość bezpośredniego przekazania danych osobowych innemu, wybranemu przez ich właściciela administratorowi. To dogodne rozwiązanie oszczędzające czas obu zainteresowanych stron.
Inspektor Ochrony Danych Osobowych (IOD)
Zastąpi on obecnego Administratora Bezpieczeństwa Informacji (ABI), który nie był dotychczas urzędem obligatoryjnym, niemniej istniał w wielu firmach. Po wdrożeniu nowych przepisów zakończy się swoboda wyboru i IOD będzie musiał zostać powołany nie tylko w przedsiębiorstwach, ale też wszystkich instytucjach publicznych (z wyłączeniem sądów), których działalność wiąże się z przetwarzaniem danych (również w jednostkach przetwarzających dane wrażliwe, dotyczące np. przestępstw).
Nie musi wiązać się to z dodatkowymi kosztami dla firm. Funkcja Inspektora Ochrony Danych Osobowych może zostać powierzona jednemu z obecnych pracowników i nie będzie przysługiwało mu z tego tytułu dodatkowe wynagrodzenie. Zmiana nazwy urzędu wiąże się też ze zwiększeniem kompetencji: IOD będzie monitorował przestrzeganie procedur w firmie i co najważniejsze, będzie mógł sankcjonować. Warto nadmienić, że osoba na tym stanowisku powinna dysponować ekspercką wiedzą w zakresie danych osobowych.
Inspektor Ochrony Danych Osobowych już od 149 zł/m-c
Jak przygotować się do RODO?
Przygotowania do wdrożenia RODO warto rozpocząć jak najwcześniej. Nowe przepisy mówią o regulacjach procesów wewnętrznych, więc przedsiębiorstwo dysponuje dużą swobodą w wyborze sposobu ich wprowadzenia: samo dobiera formy i decyduje o koniecznych zmianach. Jeżeli prowadzone do tej pory działania były zgodne z obowiązującymi przepisami, mogą stanowić punkt startowy przy wdrażaniu zmian, ponieważ część przepisów jest tożsama z obecnymi regulacjami. Natomiast omówione poniżej etapy mają na celu pomóc w zaplanowaniu przebiegu wdrożenia nowych zapisów i rozszerzeń.
Kup teraz indywidualną dokumentację RODO
Etap 1. Świadomość
Sposób myślenia pracowników determinuje charakter i rodzaj podejmowanych przez nich działań. Właśnie dlatego świadomość stanowi centralny element rozpoczęcia zmian. Wszyscy pracownicy w przedsiębiorstwie, a zwłaszcza osoby decyzyjne muszą wiedzieć o zmianach, które wprowadza RODO. Niemniej ważne jest powiadomienie ich o konsekwencjach wynikających z ich nieprzestrzegania. To klucz do podjęcia kolejnych kroków.
Etap 2. Audyt
Następnie należy przeprowadzić audyt, czyli sprawdzić jak procedury dotyczące ochrony danych osobowych w firmie wyglądają obecnie. Pozwoli to na późniejsze określenie rodzaju i ilości koniecznych zmian oraz zdefiniuje charakter działań, które należy podjąć, by dopasować się do wchodzących w życie przepisów.
Etap 3. Zaplanowanie i wdrożenie zmian
To etap, w którym należy wykorzystać informacje uzyskane podczas audytu i dostosować procesy do wymagań stawianych przez RODO. Podczas planowania uwzględnić trzeba wszystkie wymienione we wcześniejszej części artykułu obowiązki nakładane na przedsiębiorstwa oraz nowe prawa nadawane osobom fizycznym. Zarówno systemy IT, klauzule informacyjne oraz inne zasady dotyczące sposobu gromadzenia i przechowywania posiadanych informacji muszą być zgodne z nowymi przepisami.
Etap 4. Szkolenia dla pracowników
Czas na edukację pracowników dopasowaną stosownie do ich roli i kompetencji. Zorganizowanie szkoleń dla poszczególnych działów firmy na temat prowadzenia działań zgodnie z przepisami pomoże uniknąć wystąpienia błędów w przyszłości. Kluczem do ich skuteczności jest dopasowanie przekazywanych informacji do ról poszczególnych osób. Marketingowcy powinni dowiedzieć się więcej o profilowaniu, natomiast pani pracująca w sekretariacie o dodatkowych obowiązkach związanych z ochroną personaliów.
Etap 5. Kontrola
Ostatnim krokiem jest kontrola wprowadzonych zmian. To weryfikacja podjętych działań dostosowawczych oraz ich rezultatów. Pozwoli określić czy firma jest przygotowana na nowe przepisy oraz pokaże elementy wymagające dopracowania.
Rozporządzenie RODO wejdzie w życie już za kilka miesięcy. Opisane wyżej działania i przepisy mają na celu egzekwowanie podstawowego prawa obywateli Unii Europejskiej, jakim jest ochrona danych osobowych. Ustawa wprowadza zmiany, które teraz mogą wydawać się trudne do wdrożenia. Należy jednak pamiętać, że ochrona danych osobowych, to kwestia, która nie może pozostać zaniedbana, a troska o nią przyniesie korzyści całemu społeczeństwu.