Już niespełna kilka miesięcy zostało do rozpoczęcia obowiązywania Rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE, potocznie zwanego RODO. Kolejne artykuły w prasie i Internecie roztaczają przed nami wizję całkowitej reorganizacji ochrony danych, a dla niedostosowanych – dotkliwych kar pieniężnych sięgających milionów złotych. Czy rzeczywiście są powody do rwania włosów z głowy?
Szum powstały wokół zmian w prawie ochrony danych osobowych wiąże się przede wszystkim z faktem, że od wielu lat obszar ten nie podlegał większym zmianom. Administratorzy danych przyzwyczaili się do stabilnych przepisów, na których mogli operować od dawna. Coraz większy postęp technologiczny sprawił jednak, że dane osobowe nigdy nie były tak zagrożone jak teraz – dlatego właśnie Unia Europejska postanowiła tę kwestię uregulować zapewniając danym osobowym możliwie jak największe bezpieczeństwo. Poniżej kilka najważniejszych zmian, jakie wprowadza nowe Rozporządzenie:
1. Nowe uprawnienia osób, których dane dotyczą
RODO wprowadza szereg nowych uprawnień dla osób, których dane osobowe są przetwarzane, a tym samym – szereg obowiązków informacyjnych po stronie administratora danych osobowych. Po rozpoczęciu obowiązywania Rozporządzenia od administratora będzie można żądać usunięcia danych osobowych, przeniesienia danych do innego administratora, sprostowania i wglądu do danych, a także wniesienia sprzeciwu do organu nadzorczego wobec ich przetwarzania. Administrator zaś zobowiązany jest do poinformowania osoby, której dane dotyczą o jej uprawnieniach. W praktyce zazwyczaj konieczna będzie modyfikacja informacji udzielanych przy okazji formularza ze zgodą na przetwarzanie danych osobowych oraz umożliwienie uprawnionym realizowania ich praw wynikających z RODO.
2. Rejestr czynności przetwarzania danych osobowych
Postanowienia RODO w dużym stopniu skupiają się na konieczności wykazywania przez administratora podjętych środków ochrony danych. Jednym ze sposobów realizacji tego wymogu jest konieczność prowadzenia przez niektórych administratorów rejestru czynności przetwarzania danych osobowych. RODO szczegółowo wymienia, jakie informacje powinny znaleźć się w rejestrze – są to m.in. dane administratora, cele przetwarzania, opis kategorii osób, których dane są przetwarzane, kategorie odbiorców danych, planowany termin ich usunięcia, ewentualnie sposób ustalenia tego terminu.
3. Inspektor Ochrony Danych
Niektórzy administratorzy danych osobowych muszą liczyć się również z koniecznością powołania w miejsce Administratora Bezpieczeństwa Informacji (ABI) Inspektora Ochrony Danych (IOD). Do tej pory ABI miał za zadanie wspomagać administratora w wypełnianiu obowiązków wynikających z prawa ochrony danych osobowych, a jego powołanie nie było obligatoryjne. Według nowej regulacji, po spełnieniu określonych przesłanek, powołanie IOD będzie obowiązkowe. Inspektor Ochrony Danych podlegać będzie administratorowi, który obowiązany jest do wdrażania IOD we wszystkie bieżące sprawy dotyczące ochrony danych osobowych. Do jego zadań należeć będzie m.in. monitorowanie przestrzegania przepisów dotyczących ochrony danych, udzielanie w tym zakresie zaleceń, współpraca z organem nadzorczym.
4. Obowiązek zgłaszania naruszeń
Kolejnym novum jest konieczność informowania organu nadzorczego, a w niektórych przypadkach także osób, których dane dotyczą, o naruszeniu ochrony danych osobowych. Kwestia ta jest na tyle istotna dla ustawodawcy, że na zgłoszenie naruszenia przewidział maksymalnie 72 godziny od chwili wykrycia naruszenia. Aby być w stanie dokonać zgłoszenia w tak krótkim czasie, należy przygotować procedurę postępowania w takich sprawach.
5. Kary finansowe
W razie nieprzestrzegania przepisów o ochronie danych osobowych organ nadzorczy uprawniony jest do nakładania dużo bardziej dolegliwych kar, aniżeli do tej pory. W zależności od m.in. charakteru i wagi naruszenia organ nadzorczy może nałożyć karę pieniężną w wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Powyżej wymienione zostały najważniejsze, jednak nie jedyne zmiany przewidziane przez RODO. Zmian jest bardzo dużo, jednak nie dajmy się zwariować – wszystkie z nich są jak najbardziej możliwe do wprowadzenia. Odpowiedni plan wprowadzania zmian pozwoli na bezbolesne przystosowanie do nowych przepisów.
Na początek należy dokładnie przyjrzeć się temu, jak na chwilę obecną wygląda ochrona danych osobowych w naszym przedsiębiorstwie oraz jakie dane przetwarzamy. Pozwoli to dostrzec, jakie występują braki w stosunku do postanowień RODO. Kolejnym krokiem powinno być ustalenie, jakim obowiązkom podlegamy – o czym musimy informować osoby, których dane dotyczą, czy musimy prowadzić rejestr, powołać IOD, a następnie stopniowo wprowadzać w życie poszczególne podpunkty planu. Nie ulega wątpliwości, że przy zachowaniu zdrowego rozsądku jak najbardziej możliwe jest bezstresowe wdrożenie nowych obowiązków wynikających z RODO.
Poszczególne przewidziane przez RODO regulacje będą omówione w kolejnych artykułach, do czytania których serdecznie zapraszamy.
