RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnym przepływem to dla wielu polskich przedsiębiorców prawdziwa rewolucja. Wszystko za sprawą przełomowych zmian, jakie za sobą niesie.
Mówiąc w sporym uproszczeniu — RODO na dobre zmieni zasady i reguły przetwarzania danych osobowych. Od 25 maja 2018 r., czyli od chwili wejścia w życie nowych przepisów, firmy będą bowiem przetwarzać dane osobowe w zupełnie inny sposób. Nowym prawem będą objęci mikroprzedsiębiorcy, małe i średnie firmy, ogromne korporacje oraz organy administracji publicznej.
Wyjaśnienie zmian w zasadach przetwarzania danych rozpoczniemy od wytłumaczenia, czym tak naprawdę są same dane osobowe i co w praktyce oznacza ich przetwarzanie. Zgodnie z prawem termin dane osobowe oznacza nie tylko imię i nazwisko, ale również wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. I tak: dane w postaci imienia i nazwiska (np. Jan Kowalski) nie pozwolą zidentyfikować konkretnej jednostki. Osób o identycznych personaliach może być bowiem setki, a nawet tysiące. Powiązanie Jana Kowalskiego z nazwą firmy czy adresem można już określić mianem danych osobowych. Takimi mogą być także informacje dotyczące lokalizacji, statusu majątkowego czy społecznego, a nawet… zdrowia fizycznego i psychicznego.
Przetwarzanie danych jest natomiast każdą czynnością związaną z ich użyciem:
Głównym celem wprowadzenia nowych procedur i czynności jest ujednolicenie i unowocześnienie przepisów dla wszystkich krajów członkowskich Unii Europejskiej. Nowe zasady będą bowiem identyczne we wszystkich państwach należących do UE. Zamierzeniem ustawodawców było także podkreślenie faktu, że ochrona danych osobowych stanowi główne i bezsprzeczne prawo każdego obywatela. Wprowadzając większą transparentność danych oraz szereg istotnych regulacji, RODO będzie skutecznie chronić zwłaszcza interesy osób prywatnych.
Poniżej przedstawiamy najważniejsze zmiany, wynikające z wejścia w życie zapisów RODO.
Bezpośrednią odpowiedzialność za przetwarzanie danych (w tym również za złamanie zapisów ustawy) będą ponosić podmioty, które dokonują przetwarzania. Ma to szczególne znaczenie np. w sytuacji, kiedy przetwarzaniem danych w konkretnej firmie zajmuje się zewnętrzny podmiot, a nie stworzona do tego celu wewnętrzna komórka. Powołanie Inspektora Ochrony Danych Osobowych, czy wynajęcie zewnętrznej firmy, nie zwolni przetwarzającego z odpowiedzialności.
Jeśli w procesie przetwarzania danych dojdzie do naruszenia, które zostanie wykryte, obowiązkiem osoby odpowiedzialnej będzie zgłoszenie tego faktu do właściwego organu nadzoru w ciągu 72 godzin. Ma to szczególne znaczenie w przypadku nadużyć, których efektem może być zagrożenie praw i swobód osób, których dane naruszono.
RODO wprowadza szereg nowych praw dla osób, których dane są przetwarzane. Wśród nich znajdują się:
Szczególnie istotne z punktu widzenia osób fizycznych jest prawo do bycia zapomnianym. Gwarantuje ono możliwość całkowitego usunięcia swoich danych z konkretnej bazy.
Obecnie w wielu przedsiębiorstwach osobą odpowiedzialną za gromadzenie i przetwarzanie danych jest ABI, czyli Administrator Bezpieczeństwa Informacji. Po wprowadzeniu w życie zapisów RODO, ABI-ego będzie musiał zastąpić odpowiednio przeszkolony Inspektor Ochrony Danych Osobowych. Czy wszystkie firmy będą musiały powołać Inspektora Ochrony Danych Osobowych? Do stworzenia takiego stanowiska będą zobligowane:
Aby administrator danych osobowych mógł przetwarzać dane konkretnej osoby, musi uzyskać od niej wyraźną zgodę na tę czynność. Powinna mieć ona charakter wyraźnego działania – oświadczenia lub potwierdzenia. Także treść i forma formularza zgody na przetwarzanie danych nie mogą budzić wątpliwości co do swojego przeznaczenia.
Zgodnie z RODO, dane osobowe mogą być pozyskiwane oraz przetwarzane jedynie w konkretnych, prawnie uzasadnionych celach. Zbieranie, gromadzenie oraz przetwarzanie danych w sposób z nimi niezgodny nie będzie więc możliwe. Co ważne, cel przetwarzania danych musi być konkretny i jasno określony już na etapie ich pozyskiwania, a udzielona przez właściciela zgoda obowiązuje wyłącznie do jednego, konkretnego procesu przetwarzania. Konieczności powtórnego przetworzenia danych wiąże się z potrzebą pozyskania kolejnej zgody.
Ustawa nakłada na podmioty obowiązek prowadzenia rejestru czynności przetwarzania. Jego prowadzenie będzie niezbędne dla:
Jedną z istotnych zmian, wynikających z wprowadzenia RODO będą dotkliwe kary finansowe dla przedsiębiorców, którzy nie wdrożyli wymaganych procedur lub nie przestrzegają nowych przepisów dot. ochrony danych osobowych. Kary pieniężne mogą wynosić od 10 do 20 mln euro lub od 2% do 4% wartości rocznego światowego obrotu!
Jak pokazują wyniki badania, przeprowadzonego przez IDC1, prawie 80 proc. osób decyzyjnych z działów IT nie jest w pełni świadomych konsekwencji Rozporządzenia o Ochronie Danych Osobowych lub w ogóle nie słyszało o RODO. Wśród pozostałych badanych jedynie 20 proc. spełnia nowe wytyczne, 59 proc. jest w trakcie prac, mających na celu wdrożenie niezbędnych zmian, a 21 proc. deklaruje, że nie jest na nie przygotowana. Niestety, takie dane nie napawają optymizmem. Zwłaszcza biorąc pod uwagę fakt, że do ostatecznej daty wdrożenia nowych przepisów zostało dosłownie „kilka dni”.
Sponsorujemy
Nasze wyróżnienia
Nasi partnerzy
Komentarze