RODO. Od 25 maja 2018 r. w ochronie danych osobowych nic nie będzie już takie samo. Osoby fizyczne zyskają m.in. prawo do zapomnienia, a firmy i urzędy muszą spełnić szereg restrykcyjnych wymogów. Za ich niespełnienie można zapłacić karę w wysokości nawet 20 mln euro.
Rozporządzenie o Ochronie Danych Osobowych (RODO), to nowe unijne prawo, które w zupełnie inny, niż dotychczas, sposób definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w firmach i urzędach. Trzeba je wdrożyć do 25 maja przyszłego roku.
Kogo dotyczy RODO
Przepisy obejmują wszystkie podmioty, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Nadchodzące zmiany będą dotyczyły zarówno firm, jak i administracji. Co ważne – RODO będą musiały wdrożyć wszystkie organy administracji publicznej! Teraz zarówno te duże firmy, czy urzędy jak i te małe kilku-, czy kilkunastoosobowe firmy, sklepy internetowe, szkoły, ośrodki pomocy społecznej czy domy kultury itp. muszą przetwarzać dane osobowe zgodnie z prawem.
10 najważniejszych zmian wynikających z RODO
- Kary finansowe
RODO wprowadza dotkliwe kary finansowe za brak wdrożenia i przestrzegania nowych przepisów dot. ochrony danych osobowych.
Firmy mogą zostać ukarane karą pieniężną od 10 do 20 mln euro lub od 2% do 4% wartości rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa.
Kary będą nakładane proporcjonalnie w zależności od skali naruszenia przepisów.
- Bezpośrednia odpowiedzialność przetwarzającego dane
Za naruszenie przepisów o ochronie danych osobowych odpowiadać będzie szef firmy, jednostki, szkoły, urzędu. Odpowiedzialność jest bezpośrednia i powołanie inspektora ochrony danych osobowych, czy wynajęcie firmy zewnętrznej w tym obszarze, nie zwalnia z tej odpowiedzialności. Dlatego każdy prezes, dyrektor, wójt, burmistrz, prezydent miasta powinien dobrze się przygotować i wdrożyć RODO. Szef organizacji odpowiada zarówno przed urzędem kontroli, jak i przed sądem cywilnym czy karnym. Nie może cedować tej odpowiedzialności na innych pracowników.
- Inspektor Ochrony Danych (IOD) – nowa funkcja
Inspektor Ochrony Danych (IOD), to nowa osoba w organizacji, odpowiedzialna za bezpieczeństwo danych, ale też za raportowanie naruszeń do urzędu kontroli. Dotychczasowy administrator danych osobowych (ABI) przestaje istnieć.
Powołanie IODo jest obligatoryjne dla podmiotów, które prowadząc swoją działalność, przetwarzają takie rodzaje danych, których brak należytego zabezpieczenia może spowodować naruszenie praw i wolności osób fizycznych np. dzieci.
Obligatoryjnie IOD muszą powołać:
- organy i podmioty publiczne np.: szkoły, uczelnie publiczne, urzędy gmin, jednostki pomocy społecznej, spółki komunalne itp.,
- firmy, które regularnie i systematycznie przetwarzają i monitorują dane osobowe np. firmy telekomunikacyjne, reklamowe, badawcze, ubezpieczyciele, marketingowe itp.,
- szpitale, przychodnie,
- inne, które wymieniają przepisy.
IOD powinien posiadać wiedzę ekspercką w zakresie ochrony danych osobowych, aby odpowiednio kierować polityką bezpieczeństwa danych w organizacji.
- Zgłoszenie naruszeń w ciągu 72 godzin
To właśnie IOD będzie miał obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w czasie do 72 godzin od naruszenia, bezpośrednio do właściwego organu nadzoru. W niektórych przypadkach należy również poinformować o takim incydencie konkretne osoby, których dane „wyciekły”.
- Rejestr naruszeń
Jedną ze zmian, jaką wprowadza RODO, jest nowy obowiązek inspektorów ochrony danych prowadzenia rejestru naruszeń. Zgodnie z przepisami IOD musi dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
Prowadzona w ten sposób dokumentacja musi pozwolić organowi nadzorczemu zweryfikować, czy firma przestrzega postanowień RODO w tym zakresie, czyli zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego.
- Analiza ryzyka
Przeprowadzenie analizy ryzyka będzie obowiązkowe przed podjęciem działań „wysokiego ryzyka”, takich jak np.: przetwarzanie danych dotyczących zdrowia (fizycznego, psychicznego, korzystania z usług medycznych), danych dzieci, danych wrażliwych. Analiza ryzyka powinna zapewnić wykazanie się starannością co do poprawności przetwarzania danych, szczególnie przed organem nadzorczym w momencie kontroli.
- Nowe procedury i klauzule
Nowe obowiązki to poważne wyzwanie dla administratora, ze względu na brak „gotowych” rozwiązań/regulacji. RODO nie wskazuje wprost, jakie dokumenty, procedury i polityki należy wdrożyć. Ogólnie wspomina, że to podmiot musi się wykazać starannością w zabezpieczeniu tych procesów, aby podczas przetwarzania danych osobowych nie doszło do nieprawidłowości.
Administrator danych na etapie pozyskiwania danych osobowych, będzie zobowiązany, m.in. do podania nowych informacji np.: o podstawie prawnej przetwarzania, danych kontaktowych do IODO, okresie przechowywania danych, prawie do ich przenoszenia, prawie wniesienia skargi do organu nadzorczego, cofnięcia zgody na przetwarzanie danych w dowolnym momencie itp.
Trzeba będzie opracować nowe klauzule informacyjne.
- Obowiązek inwentaryzacji danych osobowych. Rejestry czynności przetwarzania
RODO nie wymaga rejestracji zbiorów danych osobowych. Jednak administratorzy danych będą musieli prowadzić wewnętrzny rejestr czynności przetwarzania danych, zawierający m.in. informacje takie jak: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, rejestry naruszeń, osoby odpowiedzialne za poszczególne procesy przetwarzania, itd. Oznacza to, że administrator powinien rozważyć, jakie rodzaje rejestrów będzie prowadził, czy na poziomie ogólnym czy dość szczegółowym.
- Prawo do zapomnienia i prawo do wglądu w historię przetwarzania danych
RODO przyznaje obywatelom – osobom fizycznym, których dane osobowe są przetwarzane, szereg nowych uprawnień, które muszą być respektowane przez organizacje.
Takie uprawnienia to:
- „prawo do bycia zapomnianym”, czyli trwałe usunięcie danych osobowych przetwarzanych przez daną instytucję; dotyczy to informacji: w formie cyfrowej, papierowej i kopii zapasowej,
- żądanie przeniesienia danych np. do innego podmiotu przy zmianie umowy,
- rozszerzone prawo dostępu i wglądu obywatela w jego dane m.in.: prawo do otrzymania kopii danych,
- roszczenia odszkodowawcze w sądach cywilnych z tytułu szkód poniesionych z niewłaściwego przetwarzania danych.
- Przetwarzanie danych osobowych dzieci
Administrator danych powinien zapewnić możliwość wyrażenia zgody przez opiekuna prawnego dziecka na wykorzystanie jego danych (w szczególności w usługach świadczonych elektronicznie/Internet) oraz mieć świadomość, że zgoda wyrażona przez dziecko może być nieważna, zwłaszcza jeżeli dotyczy celów marketingowych, czy też aktywności dzieci w mediach społecznościowych.
Nowa odsłona przepisów dot. ochrony danych osobowych niesie ze sobą bardzo poważne zmiany w tej kwestii. Dostosowanie organizacji powinno się rozpocząć już teraz, ze względu na skomplikowany proces wdrożenia i liczbę zadań do wykonania. Każda firma czy urząd, które przetwarzają dane osobowe, w dniu wejścia w życie RODO tj. 25 maja 2018 r. musi działać zgodnie z nowymi przepisami.