Rozporządzenie o Ochronie Danych Osobowych (RODO), które weszło w życie 24 maja 2016 r., wprowadza wiele istotnych zmian związanych z przetwarzaniem danych osobowych, a co za tym idzie nakłada szereg nowych obowiązków na podmioty będące ich administratorami. Do dnia 25 maja 2018 roku, czyli dnia, w którym RODO zacznie obowiązywać, wielu przedsiębiorców musi wprowadzić istotne zmiany w zakresie ochrony danych osobowych. Na co zwrócić szczególną uwagę i co właściwie nakazuje nam RODO? Oto kilka słów wyjaśnienia.
Zgodnie z treścią rozporządzenia danymi osobowymi są informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej w szczególności na podstawie następujących identyfikatorów:
RODO zdefiniowało również pojęcie administratora, przez które rozumie się osobę fizyczną lub prawną, organ publiczny jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Przetwarzaniem danych jest natomiast zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie usuwanie lub niszczenie danych osobowych stanowiących część zbioru (uporządkowanego zestawu) danych, zarówno w sposób zautomatyzowany, jak i niezautomatyzowany.
Zaprezentowana w RODO definicja danych osobowych jak również definicja przetwarzania jest bardzo szeroka. Za dane osobowe należy uznać nie tylko dane Klientów, ale także pracowników, wspólników i innych osób świadczących usługi na rzecz przedsiębiorcy. Ponadto przetwarzanie danych osobowych może mieć miejsce nie tylko w systemie informatycznym, ale także poza nim. W konsekwencji oznacza to, że administratorami, na których ciąży obowiązek dostosowania swojego funkcjonowania do przepisów znajdujących się w RODO, są prawie wszyscy przedsiębiorcy. Należy bowiem zdać sobie sprawę z tego, że przetwarzanie danych to nie tylko ich gromadzenia w takich instytucjach jak banki czy urzędy, ale również zapisywanie numerów telefonów do klientów, ich numery NIP i dane niezbędnych do wystawienia faktury, a także prowadzenie strony internetowej, która za pomocą plików cookies rejestruje adresy IP odwiedzających.
RODO nałożyło na administratorów danych osobowych szereg nowych obowiązków, m.in.:
– obowiązek analizowania ryzyka na etapie projektowania nowych rozwiązań,
– sformalizowanie procesów i określenie odpowiedzialności za ich realizację,
– informowanie osób fizycznych o metodach i celach przetwarzania danych osobowych,
– pozyskiwanie zgody na przetwarzanie podczas zawierania umowy,
– zgłaszanie przypadków naruszenia bezpieczeństwa danych osobowych.
Niestety na to pytanie nie znajdziemy odpowiedzi w treści RODO. Unijne rozporządzenie nie zawiera w tym zakresie żadnych konkretnych wytycznych. Oznacza to, że każdy przedsiębiorca będzie musiał samodzielnie zastanowić się, jakie czynności podjąć, aby w sposób właściwy wprowadzić obowiązki nałożone przez rozporządzenie. Od czego zacząć?
W pierwszej kolejności przedsiębiorca powinien przeanalizować, jakimi danymi dysponuje, w jakim celu to robi, w jaki sposób je pozyskuje, przetwarza i usuwa. Wyniki przeprowadzonej analizy przedstawią mu aktualny stan zabezpieczeń przetwarzania danych osobowych w przedsiębiorstwie. Następnie powinien sprawdzić, czy sposób, w jaki je przetwarza niesie za sobą ryzyko ich udostępnienia osobom trzecim bądź wykorzystania niezgodnie z wolą osoby udzielającej zgody na ich przetwarzanie. Jeżeli w jego ocenie może istnieć niebezpieczeństwo w tym zakresie, po przeprowadzeniu analizy ryzyka, powinien zdecydować o odpowiednich środkach technicznych i organizacyjnych służących zabezpieczeniu danych osobowych. Oznacza to, że to przedsiębiorca powinien samodzielnie ustanowić stosowne procedury, opracować system ochrony danych osobowych oraz wdrożyć go w prowadzonym przez siebie przedsiębiorstwie.
Należy jednak zaznaczyć, że ocena przedsiębiorcy odnosząca się do tego, czy przetwarza on dane osobowe w sposób właściwy nie będzie wystarczyła do stwierdzenia, że przetwarza on dane osobowe zgodnie z postanowieniami RODO. Ocena taka, w przypadku kontroli, będzie należała każdorazowo do pracownika Urzędu Ochrony Danych Osobowych, natomiast na przedsiębiorcy będzie ciążył obowiązek wykazania, że zastosowane przez niego środki są wystarczające do zabezpieczenia danych osobowych przez niego przetwarzanych.
RODO wprowadza szerszy niż dotychczas obowiązek informacyjny. Zgodnie z art. 7 RODO na administratorach danych osobowych będzie ciążył obowiązek uzyskania wyraźnej zgody na przetwarzanie danych osobowych. Oznacza to, że oświadczenie o udzieleniu zgody na przetwarzanie danych osobowych musi zostać sformułowane w sposób prosty i zrozumiały oraz powinno zawierać następujące informacje:
Warto również zaznaczyć, że jeżeli przedsiębiorca chciałby przetwarzać dane osobowe dla realizacji wielu celów, konieczne jest uzyskanie przez niego zgody na każdy z nich. Ponadto osoba wyrażająca zgodę powinna zostać poinformowana o możliwości jej cofnięcia w każdym momencie. W praktyce oznacza to, że przedsiębiorcy, którzy obecnie przetwarzają dane osobowe swoich klientów będą musieli dostosować klauzule wyrażenia zgody na przetwarzanie danych osobowych do wymagań wynikających z RODO, w szczególności zamieszczając informację o możliwości cofnięcia zgody na przetwarzanie w każdym czasie.
Regulacją nową w stosunku do poprzednio obowiązujących przepisów odnoszących się do przetwarzania danych osobowych jest prawo do żądania usunięcia danych osobowych przez administratora, zwana „prawem do bycia zapomnianym”. Na jego mocy każda osoba, której dotyczą przetwarzane dane, będzie mogła zażądać natychmiastowego ich usunięcia, a administrator danych zobowiązany będzie takie żądanie spełnić. Oznacza całkowite wykasowanie danych z bazy instytucji– czyli usunięcie ze wszystkich nośników danych osobowych- zarówno w wersji papierowej jak również elektronicznej. Wspomniane żądanie nie wymaga żadnej szczególnej formy, oznacza to, że może być również zgłoszone ustnie. Ponadto osoba, której dane są przetwarzane będzie mogła żądać ich sprostowania oraz ograniczenia przetwarzania.
Należy również pamiętać o prowadzeniu tzw. „rejestru czynności przetwarzania”, do którego prawnie zobligowane będą wszystkie firmy zatrudniające powyżej 250 pracowników, ale także te mniejsze, w których przetwarzane są tzw. dane wrażliwe, czyli:
RODO wprowadziło również krótszy czas na zgłoszenie naruszenia bezpieczeństwa danych osobowych, który wynosi 72 godziny. W stanie prawnych obowiązującym dotychczas obowiązywał on wyłącznie podmioty działające w określonych branżach (np. operatorów telekomunikacyjnych), natomiast obecnie dotyczy on wszystkich podmiotów będących administratorami danych osobowych
Za niewprowadzenie stosownych zmian w zakresie przetwarzania danych osobowych w RODO przewidziano bardzo wysokie kary finansowe wynoszące nawet do 20 mln euro lub 4 proc. rocznego obrotu firmy – w zależności od tego, która kwota jest wyższa. Wskazane kary będą miarkowane proporcjonalnie do skali naruszenia przepisów.