RODO / GDPR – ochrona danych osobowych w nowym wymiarze

R

RODO / GDPR ustawa o ochronie danych osobowych

Już 25. maja 2018 roku w życie wchodzi rozporządzenie dotyczące przetwarzania zbiorów danych osobowych, które zastąpi dotychczasowe przepisy obowiązujące w polskim prawie. Rozporządzenie w Polsce nazywa się RODO (Rozporządzenie o Ochronie Danych Osobowych), a na świecie GDPR (General Data Protection Regulation). Namiesza ono o tyle, że wprowadzi ujednolicone procedury w zakresie ochrony danych osobowych w całej Unii Europejskiej. Niestety, dla administratorów danych, rozporządzenie przewiduje surowe sankcje i jest bardzo skrupulatne. Poniżej postaram się wyjaśnić zagadnienie możliwie najszerzej i najdokładniej.

 

Stan obecny

Siła rażenia nowego rozporządzenia jest duża dlatego, że dotychczas ochrona danych osobowych to był temat, o którym się wiedziało i… tyle. Oczywiście mamy Generalnego Inspektora Ochrony Danych Osobowych, jednakowoż urząd ten nie nadąża za postępem technologicznym i, oględnie mówiąc, działa ospale. W konsekwencji naruszenie integralności systemów czy zapisów ustawy o ochronie danych osobowych, w niektórych przypadkach nie rodzi żadnych negatywnych skutków dla administratora tych danych. Nawet jeśli w ustawie zastrzeżone były sankcje – większość spraw analizowana jest na tyle wolno, że niewielu się nimi przejmuje.

Przepisy o ochronie danych osobowych w ramach Europy, Unii Europejskiej to wewnętrzna sprawa każdego z członków. Dochodziło zatem do sytuacji, w których firmy rejestrowały swoje oddziały w państwach, gdzie przepisy dotyczące ochrony danych są najbardziej liberalne (mniejszy rygor oznacza możliwość cięcia funduszy przeznaczonych na ochronę danych). Jest to naturalna tendencja,  bo z czysto biznesowego punktu widzenia koszty powinny być jak najmniejsze. Sytuacja wygląda zgoła inaczej w momencie, gdy weźmiemy pod uwagę, że chodzi o nasze dane osobowe, które w niepowołanych rękach mogą się okazać bardzo problematyczne. Ocenić zatem należy, że zmiany w prawodawstwie są potrzebne i wpłyną zbawiennie na bezpieczeństwo danych, jednakże będą one wymagały mocnego zaangażowania podmiotów administrujących danymi. Tutaj najbardziej zagrożone są małe i średnie przedsiębiorstwa, gdyż one mają najbardziej ograniczone zasoby, tak bardzo potrzebne podczas implementacji dyrektyw rozporządzenia.

 

Najważniejsze zmiany wnoszone przez RODO

Zmianą elementarną jest to, że z dniem 25. maja 2018 roku RODO zastąpi ustawę o ochronie danych osobowych co oznacza, że w tej jednej chwili, jak za dotknięciem różdżki, całkowicie zmieni się prawo i podejście aparatu prawnego do obrotu danymi wewnątrz organizacji. Wszystkich organizacji, w całej Unii Europejskiej. Właśnie dlatego w chwili obecnej wszystkie podmioty powinny podjąć działania mające na celu dostosowanie się do rozporządzenia przed datą, kiedy przewidziano nadanie mocy przepisom. Niestety jak wskazuje raport TrendMicro i Vmware ponad połowa badanych organizacji nie słyszała jeszcze o RODO czy GDPR (stan na jesień 2016). Najważniejsze zmiany wprowadzane przez GDPR zostaną opisane poniżej.

Rozszerzenie odpowiedzialności

Każdy podmiot, który przetwarza dane osobowe dla innego podmiotu w ramach jakiegokolwiek porozumienia, odpowiada za te dane jak za dane, które przetwarza w swoim imieniu. Np. jeśli szpital (podmiot A) wykupi dostęp do aplikacji hostowanej na serwerach firmy dostarczającej infrastrukturę (podmiot B) to podmiot B odpowiada za te dane jak za swoje. Dotychczas za wyciek danych podmiotu A odpowiadałby podmiot A (ew. kompensata szkód regulowana była umownie), teraz prymat nad tą kwestią wiedzie rozporządzenie, którego nie da się umownie pominąć.

Kary pieniężne

Po wejściu rozporządzenia zaczną obowiązywać bardzo słone kary pieniężne za naruszenie jego przepisów. Podmiot, który doprowadzi do wycieku danych będzie musiał zapłacić do 20 milionów Euro lub przygotować się na karę, która równa się 4% obrotu (nie zysku) za poprzedni rok działalności. W przypadku firm zarabiających na niskich marżach taka kara może być bardzo bolesna, a nawet zabójcza.

Przetwarzanie danych osób niepełnoletnich

Sytuacji, w których przetwarza się dane dzieci jest multum. Zwłaszcza w internecie trudno zweryfikować czy osoba, która powierza nam swoje dane jest pełnoletnia czy też nie. Od przyszłego roku na administratorze danych osobowych ciążyć będzie obowiązek pozyskania zgody rodzica lub prawnego opiekuna osoby niepełnoletniej na przetwarzanie jego danych osobowych. Mamy zatem sytuację, gdzie nie wystarczy pozyskanie samej zgody na przetwarzanie danych. Na administratorach ciąży również konieczność weryfikacji wieku osoby, a także, w przypadku ustalenia, że osoba jest niepełnoletnia, kontakt i uzyskanie zgody od jego rodziców / prawnych opiekunów.

Prawo do bycia zapomnianym

Każdy obywatel ma prawo do zostania zapomnianym – innymi słowy, przetwarzając dane podmiotu, na jego żądanie, administrator musi usunąć dane, które posiada oraz te, które za jego pośrednictwem udostępnione zostały podmiotom trzecim. Dotyczy to ogółu infrastruktury, którą posługuje się administrator (łącznie z backupami i archiwami). Administrator musi upewnić się, że wszelkie publikacje (internetowe, prasowe itp.) danych osobowych związane z daną jednostką są usunięte – jeśli jego risercz okaże się niepełny i mimo żądania nie usunie pełni danych – naraża się na karę.

Obowiązkowe zgłoszenia naruszeń

Każdy administrator jest zobowiązany do zgłoszenia każdego naruszenia dotyczącego danych do 72 godzin od wystąpienia naruszenia. Brak reakcji skutkować będzie naliczeniem kary przewidzianej w rozporządzeniu. Incydenty należy zgłosić do odpowiedniego organu nadzoru lub, w niektórych przypadkach, bezpośrednio do osoby / osób, których dane są narażone.

Zaostrzenie przepisów dotyczących profilowania

Profilowanie musi się odbywać w zakresie dopuszczonym przez osobę, której profil się tworzy. Rozporządzenie wprowadza także bezwzględny zakaz tworzenia profilu użytkownika jeśli ten nie wyrazi na to zgody.

Globalny zasięg

Jeśli jakiejś firmie nie pasuje prawo podatkowe w jurysdykcji, w której firma faktycznie wykonuje działalność – rejestruje ją gdzie indziej. Z RODO nie jest tak łatwo. Jeśli firma zarejestrowana gdziekolwiek przetwarza dane obywatela Unii Europejskiej – przepisy rozporządzenia ją obowiązują. Nie ma więc ucieczki przed zapisami tego aktu prawnego.

Obowiązkowe rejestrowanie zdarzeń związanych z przetwarzaniem danych

Każdy podmiot, który administruje danymi będzie musiał stworzyć rejestr, w którym zapisane będą wszelkie operacje na zbiorach danych. Dokumenty zawierające rejestry zdarzeń wchodzą w skład znacznie szerszej listy dokumentacji, którą należy skompletować w związku z przystosowywaniem organizacji do wdrożenia RODO.

Rozszerzenie formuł zgód na przetwarzanie danych

Zmianom podlegają również same zgody na przetwarzanie danych osobowych. Zostają one rozszerzone o nowe informacje, jak na przykład:

  • dane kontaktowe Inspektora Ochrony Danych Osobowych;
  • informację o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
  • okres, przez który dane osobowe będą przechowywane oraz (jeśli jest to możliwe) kryteria ustalania takiego okresu.

 

Jak przygotować swoją organizację do wdrożenia GDPR

Przepisy dotyczące ochrony danych osobowych zmienią się z dnia na dzień. To dlatego od uprawomocnienia się rozporządzenia do dnia, w którym zapisy rozporządzenia wchodzą w życie występuje luka czasowa. Jest to czas na wdrożenie nowych przepisów oraz przetestowanie zastosowanych rozwiązań kiedy naruszenie nie wiąże się z ryzykiem wielomilionowej kary. Różne organizacje, mając na uwadze zakres zmian, które wprowadza GDPR wypracowały dwunastostopniowy system wdrożenia przepisów rozporządzenia, którego tłumaczenie zamieszczam poniżej.

1. Uzyskanie świadomości

Pierwszym krokiem, który należy podjąć bezwzględnie to uświadomić sobie jak radzi sobie nasza organizacja w zakresie przetwarzania i zarządzania danymi. W tym celu trzeba:

  • zapoznać się z wymaganiami rozporządzenia;
  • oszacować wielkość zasobów, które organizacja może przeznaczyć na ochronę danych osobowych;
  • przeanalizować historię organizacji pod kątem incydentów związanych z danymi osobowymi.

2. Ewidencja przetwarzanych informacji

Po poznaniu przeciwnika następuje czas na ocenę ile i jakie informacje przetwarza nasza organizacja, aby móc na nich pracować i opracowywać na ich podstawie odpowiednie dokumenty. Dodatkowo należy dla każdego typu danych oznaczyć podmioty, którym udostępniliśmy te dane oraz jak zostały pozyskane.

3. Przegląd dotychczasowych dokumentów

Każdy podmiot przetwarzający dane, na podstawie rodzimych ustaw państw członkowskich sporządził jakieś dokumenty regulujące obrót tymi danymi. Należy zebrać wszelkie dokumenty należące do tej rodziny oraz przeanalizować je pod kątem zgodności z GDPR. Kompleksowa analiza przyczyni się do szybkiego i bezproblemowego przystosowania dokumentacji do nowych przepisów.

4. Poznanie praw jednostki

RODO nadaje szersze prawa jednostkom. Krokiem, który przybliży naszą firmę do zgodności z rozporządzeniem będzie prześwietlenie procedur pod kątem tego jakie prawa nadaje użytkownikom w związku z danymi, które przetwarza nasza firma, by nie okazało się że bezprawnie ograniczamy ustawowe prawa użytkowników.

5. Rewizja terminów

GDPR wskazuje, że każde żądanie jednostki ma być rozpatrzone w nieprzekraczalnym terminie, który wynosi 30 dni (jeden miesiąc). Przy przetwarzaniu dużej ilości danych koniecznym jest utworzenie swoistego harmonogramu przetwarzania zgłoszeń.

6. Ustalenie podstaw prawnych

W obrocie gospodarczym występuje kilka rodzajów organizacji przetwarzających dane. Wszystkie te dane przetwarzane są na kanwie podstaw prawnych, które należy przedstawić właścicielowi danych podczas ich zbioru. Należy ustalić podstawy prawne, które mają zastosowanie w przypadku analizowanej organizacji i odpowiednio ułożyć klauzule zgód.

7. Dostosowanie klauzul zgód

Zmianie ulegają klauzule zgód, o czym pisałem wyżej. Należy upewnić się, że wykorzystywane przez naszą organizację zgody są kompletne i spełniają wymagania GDPR.

8. Przetwarzanie danych dzieci

RODO wprowadza przepis, który mówi, że przetwarzanie danych osób niepełnoletnich może się odbywać wyłącznie za zgodą ich rodziców lub prawnych opiekunów. Każdy administrator, w obrębie własnego systemu, będzie musiał wdrożyć procedury pozwalające na identyfikację wieku użytkownika oraz kierowanie niepełnoletnimi w taki sposób, aby uzyskiwać wiarygodne zgody ich pełnoletnich opiekunów.

9. Raportowanie naruszeń

Raportowanie naruszeń to kolejny wymóg postawiony przed podmiotami, które zarządzają danymi osobowymi. W trakcie przygotowywania się do wdrożenia przepisów rozporządzenia administratorzy muszą upewnić się, że mają odpowiednie narzędzia aby sprostać wymaganiom RDPR. Należy ustalić czy organizacja jest w stanie wydajnie wykrywać, raportować i rozwiązywać naruszenia danych osobowych.

10. Wdrażanie procedur ochronnych

Ochrona danych to nie jest jednorazowy skok na bezpieczeństwo. To proces ciągły, który występuje tak długo jak długo dana organizacja przetwarza dane osobowe. RODO kodyfikuje to zjawisko i wprowadza pojęcie „privacy by design” co oznacza, że każdy administrator powinien troszczyć się o ochronę danych (co jest rozumiane poprzez stosowanie odpowiednich procedur i trzymanie standardów bezpieczeństwa dyktowanych przez prawo) od początku, już na wstępie projektowania przedsięwzięcia. Organizacja musi przejść metamorfozę myślenia, która sprawi, że ochrona danych dla jej elementów będzie czymś naturalnym.

11. Powołanie Inspektora Ochrony Danych

Jeśli analizowane przedsiębiorstwo ma obowiązek powołania IOD lub podczas procesu wdrażania GDPR ma powołanego Administratora Bezpieczeństwa Informacji, musi podjąć kroki mające na celu wyznaczenie osoby odpowiedzialnej za przetwarzanie danych lub przekształcić stanowisko ABI, tak aby pasowało do kompetencji dla tego stanowiska przewidzianych przez RODO.

12. Obranie obowiązującej jurysdykcji

Jeśli dana firma przetwarza dane osób z wielu państw europejskich – może sobie wybrać jedno państwo, do którego prawodawstwa przystosuje swoją politykę zarządzania danymi osobowymi.

 

Podsumowanie

Tak duże zmiany w obszarze danych osobowych to świetna okazja do polepszenia jakości usług świadczonych przez firmy z pełnego wachlarza branż. Oczywiście warunkiem, który zdeterminuje wpływ zmian na daną organizację jest to, czy ta organizacja odpowiednio wcześnie zacznie się do nich przygotowywać. Trudno prorokować sukces wdrożenia rozporządzenia w firmie, która zaczęła to robić tydzień przed wejściem przepisów w życie.

Rozporządzenie jest wymagające, fakt, ale prywatność to podstawowe prawo jednostki i nikt nie powinien bać się o swoje dane powierzając je firmie, która działa legalnie, bez większego skrępowania i powinna dbać o to by jej usługi były jak najlepsze. RODO tylko kodyfikuje pewien standard, który powinien zostać zachowany, abyśmy wszyscy mogli bez obaw korzystać z usług, które oferuje nam rynek.

Priorytetem dla firm przetwarzających dane obywateli Unii Europejskiej, jeśli jeszcze nie zaczęły wdrażać w RODO, powinno być jak najszybsze przystąpienie do tego procesu, by 25. maja 2018 roku nie obudzić się z ręką w nocniku z widmem słonej kary pieniężnej.

 

Dziękuję za lekturę.

Najnowsze wpisy

Bądź na bieżąco!


Notice: Undefined index: privacy_use_wp_url in /home/hs/domains/hotsender.pl/public_html/blog/wp-content/plugins/newsletter/subscription/subscription.php on line 1047

Notice: Undefined index: footer_contact in /home/hs/domains/hotsender.pl/public_html/blog/wp-content/plugins/newsletter/includes/module.php on line 1415

Notice: Undefined index: footer_title in /home/hs/domains/hotsender.pl/public_html/blog/wp-content/plugins/newsletter/includes/module.php on line 1416

Social Media