RODO W PRAKTYCE

wpis w: Bez kategorii | 0

GDPR w 10 punktach: co musisz wiedzieć na temat RODO

 

 

 

Za kilka dni w życie wejdą rewolucyjne zmiany w dziedzinie ochrony danych osobowych. Ogólne rozporządzenie o ochronie danych osobowych to z perspektywy przedsiębiorców bardzo istotne zmiany: nowe obowiązki oraz konieczność dostosowania procesów i zaplecza technologicznego.

Mecenas Sławomir Kowalski, adwokat w kancelarii prawnej Maruta Wachta, wyjaśnia kluczowe założenia Ogólnego rozporządzenia o ochronie danych osobowych oraz wskazuje kroki, jakie powinny podjąć przedsiębiorstwa, by przygotować się na wejście w życie nowego prawa w maju 2018 roku.

  1. Zakres Ogólnego rozporządzenia o ochronie danych osobowych (RODO)

„RODO w sposób kompleksowy reguluje ochronę danych osobowych w Unii Europejskiej. Założeniem prac nad RODO było, aby ograniczyć zróżnicowanie przepisów między poszczególnymi państwami członkowskimi. Z tego powodu zdecydowano się na regulację w formie rozporządzenia, a nie dyrektywy” – wyjaśnia mecenas Sławomir Kowalski. „Rozporządzenie wiąże w całości, jest stosowane bezpośrednio i nie wymaga implementacji do porządków krajowych poszczególnych państw, dlatego jest instrumentem pozwalającym na silniejsze zbliżenie prawa”.

RODO (GDPR) wprowadza zasadniczą zmianę podejścia do ochrony danych osobowych: każdy podmiot je gromadzący i przetwarzający będzie miał obowiązek aktywnego zabiegania o ochronę prywatności na każdym etapie przetwarzania oraz na każdym etapie projektowania procesów przetwarzania – wskazują to m. in. dyrektywy Privacy by Design oraz Privacy by Default.

  1. Obowiązki przedsiębiorstw wobec wejścia w życie RODO

RODO przewiduje szereg obowiązków, które podmioty przetwarzające i administratorzy powinni spełnić w celu zgodnego z prawem przetwarzania danych osobowych. Obowiązki te obejmują m.in. opracowanie i prowadzenie dokumentacji przetwarzania danych, w tym rejestru czynności przetwarzania i rejestru naruszeń, monitorowanie naruszeń ochrony danych, a w określonych sytuacjach notyfikowanie organu nadzorczego lub podmiotu danych o naruszeniu, np. wycieku danych.

„RODO wymaga, aby administratorzy danych osobowych i podmioty przetwarzające analizowały poziom ryzyka i na podstawie jego oceny decydowali o rodzaju i zakresie środków technicznych i organizacyjnych ochrony danych” – mówi Sławomir Kowalski. Kluczem jest w tym przypadku adekwatność środków do zagrożeń – odpowiedź na pytanie, czy zidentyfikowane ryzyka są w wystarczający sposób adresowane przez przyjęte rozwiązania. Co istotne, „RODO nie będzie regulowało precyzyjnie wytycznych organizacyjnych ani technologicznych zabezpieczenia danych. Będzie trzeba samemu ocenić i zdecydować co i jak zrobić, żeby było bezpiecznie” – dodaje Kowalski. W tym zakresie doczekamy się zapewne miękkich wytycznych ze strony organów nadzorczych oraz dobrych praktyk rynkowych, ale na ich pojawienie się będzie trzeba jeszcze poczekać.

Oprócz analizowania poziomu ryzyka, ważnym wymaganiem wynikającym z RODO będzie także zapewnienie rozliczalności, tzn. wykazania, że przestrzega się prawa. „Obowiązek może wygląda niegroźnie na pierwszy rzut oka, ale w praktyce będzie powodował dużą ilość pracy. Nie wystarczy przestrzegać przepisów, będzie też trzeba na żądanie organu nadzorczego przedstawić dokumentację lub w inny sposób wykazać zgodność” – przestrzega mecenas Kowalski.

  1. Najważniejsze zmiany wprowadzane przez GDPR w stosunku do obecnego stanu prawnego

Największą zmianą są kary, jakie będą groziły podmiotom przetwarzającym dane w przypadku niedopełnienia obowiązków wynikających z RODO. „Oczywiście są inne zmiany, pojawiają się nowe prawa osób fizycznych, np. prawo do przenoszenia danych, nowe obowiązki w tym np. obowiązki notyfikacyjne w sytuacjach incydentów w obszarze ochrony danych, jednak największa zmiana jest taka, że dotychczas niezgodność z regulacjami ochrony danych uchodziła – przynajmniej w Polsce – płazem, a w maju 2018 może się to istotnie zmienić” – tłumaczy mecenas Kowalski. Wyzwaniem z pewnością będzie zmiana przyzwyczajeń – dotychczasowe, dość swobodne podejście do ochrony danych osobowych, będzie musiało się skończyć. Dotkliwość kar jest znaczna: w zależności od ciężaru gatunkowego naruszenia kara może wynieść do 10 lub do 20 mln euro, bądź do 2% lub 4% rocznego obrotu przedsiębiorstwa.

Inną istotną zmianą w stosunku do aktualnego stanu prawnego będzie obowiązek powołania Inspektora Danych Osobowych – odpowiednika obecnego administratora bezpieczeństwa informacji (ABI). Obecnie nie ma takiego obowiązku; po wejściu w życie RODO, „niektórzy przedsiębiorcy nie będą mieli wyjścia i będą musieli znaleźć odpowiednią osobę. Dotyczy to przede wszystkim tych przedsiębiorców, dla których przetwarzanie danych osobowych to podstawa działalności oraz tych, którzy przetwarzają dane osobowe w zaawansowany technologicznie sposób, np. monitorują zachowania osób fizycznych, analizują wzorce zachowań konkretnych osób i na tej podstawie podejmują decyzje, które mogą na tę osobę wpływać” – wyjaśnia Sławomir Kowalski.

RODO to nie tylko obowiązek, ale także ułatwienia. Wejście w życie rozporządzenia zniesie obowiązek zgłaszania zbiorów danych oraz ich aktualizowania. Co więcej, tworzona dokumentacja dotycząca przetwarzanych danych nie będzie miała sztywnych, wynikających z przepisów wykonawczych, ram. Jak wspomniano wyżej, nie będzie już obowiązku stosowania odgórnie ustalonych wymagań technicznych – zamiast tego, przedsiębiorcy będą musieli podejmować „adekwatne” środki zapobiegawcze. Wszystko to ułatwi funkcjonowanie przedsiębiorstwom, dla których przetwarzanie danych nie stanowi clou ich działalności, a jednocześnie zwiększy zakres ochrony danych gromadzonych przez firmy, dla których tego typu działalność jest trzonem biznesu.

  1. Procedura oceny oddziaływania na ochronę danych osobowych

Czemu służyć ma procedura oceny oddziaływania na ochronę danych osobowych oraz konsultacje z organem ochrony danych osobowych? „Ocena skutków przetwarzania ma na celu sprawdzenie, czy przetwarzanie danych w konkretnym przypadku jest odpowiednio zabezpieczone. Na podstawie analizy ryzyka naruszenia praw i wolności osób fizycznych uzupełnionej o cel, charakter, zakres i kontekst przetwarzania powinniśmy być w stanie ocenić, jakie środki organizacyjne i techniczne pozwolą odpowiednio zabezpieczyć przetwarzanie” – tłumaczy mecenas Kowalski.

Z kolei celem konsultacji z organem ochrony danych (prawdopodobnie GIODO) będzie zapewnienie nadzoru nad procesami przetwarzania, których odpowiednie zabezpieczenie sprawia szczególne trudności. Organ nadzoru będzie w takim przypadku uprawniony do kierowania do danego podmiotu zaleceń dotyczących sposobów przetwarzania danych.

  1. Wpływ RODO na procesy pozyskiwania danych od klientów

„GDPR wprowadza szerszy katalog obowiązków informacyjnych, jakie będziemy musieli wykonać zbierając dane” – mówi Sławomir Kowalski. „Dane będzie można zbierać dalej, pamiętając o tym, że musimy rzetelnie informować, a tam gdzie jest to konieczne – prosić o zgodę na przetwarzanie danych osobowych”. Warto pamiętać, że fakt odebrania zgody trzeba będzie odpowiednio udokumentować. Na potrzeby wykazania zgodności przetwarzania z prawem będziemy zobligowani do przechowywania informacji o tym kto wyraził zgodę, kiedy to zrobił, w jakim zakresie oraz jakie informacje zostały mu przekazane przy okazji odbierania zgody. „To szczególnie ważne, bo obecnie wiele systemów informatycznych nie zapewnia odpowiedniej funkcjonalności” – dodaje mecenas Kowalski.

  1. Uzyskiwanie zgody na przetwarzanie danych

Co w praktyce będzie wedle nowych przepisów oznaczała zgoda na przetwarzanie danych? Jakie zmiany wprowadzi RODO w zakresie wymiany danych pomiędzy różnymi firmami?

„Zgoda na przetwarzanie danych osobowych musi być wyrażona konkretnemu podmiotowi” – podkreśla Sławomir Kowalski. „Pytając o zgodę na gromadzenie danych, musimy wskazać podmioty, których ta zgoda ma dotyczyć”. Oświadczenie o wyrażeniu zgody powinno zostać wyodrębnione, musi także mieć także zrozumiałą formę, tj. zostać sformułowane w jasny i prosty sposób. „Nie możemy tej zgody schować wśród innych treści, ani zakamuflować prawniczymi formułkami” – dodaje mec. Kowalski.

Udostępnianie danych innemu podmiotowi stanowi czynność przetwarzania – jej przeprowadzenie wymaga odpowiedniej podstawy prawnej. „Jeśli nie mamy takiej podstawy, nie możemy udostępnić danych osobowych – w przeciwnym wypadku ryzykujemy odpowiedzialność” – przestrzega mec. Kowalski. Udostępnianiem danych osobowych jest m. in. popularny obecnie handel bazami danych osobowych. Stosunkowo łatwo jest obecnie nabyć bazę danych np. w celu wykorzystania jej w celach marketingowych. Obrót ten częściowo odbywa się niezgodnie z obecnie obowiązującymi regulacjami albo bez podstawy prawnej, np. zgody. W nowej rzeczywistości ochrony danych osobowych działalność polegająca na sprzedawaniu baz danych osobowych oraz ich kupowaniu może być bardzo niebezpieczna dla zaangażowanych w proceder podmiotów.

  1. Obowiązek notyfikacyjny oraz sankcje za jego niedopełnienie

„Obowiązek notyfikacyjny polega konieczności zgłoszenia do organu nadzorczego incydentu naruszenia bezpieczeństwa w ciągu 72 godzin od jego zajścia” – mówi Sławomir Kowalski. „W określonych sytuacjach obowiązek notyfikacyjny będzie musiał być wykonany także w odniesieniu do osób, których dane dotyczą”.

Obowiązek powiadomienia osób, których dane osobowe zostały – bądź mogły zostać – poważnie naruszone, może być bardzo trudny do wypełnienia. Taka konieczność z pewnością będzie generować poważne problemy, zarówno techniczne, jak i organizacyjne i finansowe, w szczególności przy wyciekach danych na dużą skalę. Należy pamiętać, że niedopełnienie obowiązku notyfikacyjnego będzie mogło skutkować nałożeniem kary finansowej do 10 mln euro.

  1. Architektura IT i rozwiązania technologiczne w kontekście RODO

IT będzie miało bardzo duży udział we właściwym dostosowaniu przedsiębiorstwa do zapisów Ogólnego rozporządzenia o ochronie danych osobowych. Rozporządzenie będzie generowało koszty związane z zapewnianiem wysokiego poziomu bezpieczeństwa IT m. in. z racji na konieczność zachowania kontroli nad miejscami, w których przechowywane są dane, stworzenia mechanizmów udostępniania informacji (notyfikacji) o naruszeniach bezpieczeństwa, czy też możliwości zagwarantowania określonego okresu przetrzymywania danych, ich modyfikacji i usuwania, w tym z danych nieustrukturyzowanych oraz z kopii zapasowych. Dostosowania będą wymagały także procesy związane z uzyskiwaniem zgody na przetwarzanie danych oraz klasyfikacja danych.

Według ośrodka analitycznego IDC, w 2018 roku 34% wydatków związanych z bezpieczeństwem IT w Europie będzie związanych z koniecznością adaptacji systemów i procesów przedsiębiorstw do nowych wymogów prawnych, dotyczących ochrony danych osobowych.

„Procesu dostosowywania firmy do RODO nie da się zupełnie wyoutsourcować i o nim zapomnieć” – przypomina mec. Kowalski. „Można oczywiście korzystać z konsultantów i ekspertów zewnętrznych, jednak należy pamiętać, żeby w trakcie projektu organizacja na bieżąco zdobywała know-how na temat tego, jak zarządzać obszarem ochrony danych osobowych”.

  1. RODO a chmura obliczeniowa

Ogólne rozporządzenie o ochronie danych osobowych może okazać się dla części przedsiębiorstw dodatkowym motywatorem na rzecz wykorzystania chmury obliczeniowej od jej publicznych dostawców. „Dostawcy chmurowi będą ponosić odpowiedzialność za własne działanie” – mówi Sławomir Kowalski. „Można oczekiwać ruchu na rynku. Z uwagi na to, że podmioty chcące korzystać z usług chmurowych będą musiały wykazać, że wybrały rozwiązania bezpiecznie i zgodne z prawem, dostawcy najprawdopodobniej częściej niż obecnie będą pytani o zakres i rodzaj stosowanych zabezpieczeń. Z drugiej strony chmury uznanych dostawców oferują wysoki poziom bezpieczeństwa, który trudno jest osiągnąć przy użyciu własnej infrastruktury – to rozpędzi rynek po stronie popytu”.

  1. Skutki RODO w Polsce i Europie

Na ile GDPR ujednolici europejskie prawodawstwo w zakresie ochrony danych osobowych? Jakiego rodzaju różnice pozostaną w tej kwestii między państwami członkowskimi UE?

„Różnic powinno być możliwie niewiele, tylko tyle, ile nie jesteśmy w stanie uniknąć. Pamiętać należy, że mamy do czynienia z rozporządzeniem UE. Oznacza to, że wszelkie zmiany lub uzupełnienia prawa na poziomie krajowym muszą mieć podstawę prawną” – podkreśla mec. Kowalski. Wskazuje, że nowa ustawa o ochronie danych osobowych nie powinna ingerować w treść praw i obowiązków wynikających z RODO. Jej zadaniem powinno być jedynie uregulowanie kwestii proceduralnych, takich jak postępowanie przed organem nadzoru czy ścieżka odwoławcza, oraz ustrojowych, jak np. organizacja organu nadzorczego.

„Pewne różn

 

ice pozostaną na pewno w regulacjach sektorowych, np. w przepisach regulujących przetwarzanie danych pracowniczych, w kwestiach związanych z przetwarzaniem danych medycznych i objętych tajemnicami zawodowymi, np. tajemnicą lekarską czy tajemnicą adwokacką” – dodaje mec. Kowalski.

Zostaw Komentarz