25 maja weszło w życie nowe rozporządzenie unijne dotyczące ochrony danych osobowych, a kto zignoruje ten fakt, może zapłacić wielomilionowe kary. Czym jest RODO w praktyce i jak wdrożyć RODO?
Co to jest RODO?
RODO (ang. GDPR) to w skrócie Rozporządzenie o Ochronie Danych Osobowych. Zostało przyjęte w kwietniu 2016 roku, a czas na wdrożenie zmian przez firmy działające na terenie Unii Europejskiej minął 25 maja bieżącego roku. Od tego momentu wszystkich administratorów i wszystkie podmioty przetwarzające dane obowiązują nowe wytyczne dotyczące przepływu i przetwarzania danych osobowych osób fizycznych.
Co się zmieniło?
Poniżej zostało wypisanych kilka najbardziej znaczących zmian. W celu poznania wszystkich warto zajrzeć na stronę Ministerstwa Cyfryzacji, gdzie znajdują się m.in.: informator, filmy i odpowiedzi posłów dot. RODO.
Dane osobowe to to także poglądy polityczne i kod DNA
Wg. nowych przepisów dane osobowe to takie dane zbierane na temat danej osoby, które pozwalają na ustalenie jej tożsamości, a więc nie tylko nr PESEL, imię, nazwisko, ale również mniej oczywiste, np.: numer IP, dane o lokalizacji, kod genetyczny, poglądy polityczne czy historia zakupów. Niezależnie od tego czy zbierane informacje są przetwarzane w formie papierowej czy cyfrowej, jeśli pozwalają na zidentyfikowanie osoby fizycznej, są danymi osobowymi.
Rejestr czynności zamiast GIODO
Zamiast zgłaszania zbiorów danych do organu nadzorczego, wewnątrz przedsiębiorstwa lub innej instytucji (prywatnej bądź publicznej) sporządzany będzie rejestr czynności. To dokumentacja związana z przetwarzaniem danych osobowych, zawierająca wszystkie czynności związane z przetwarzaniem danych osobowych. Pozwoli ona rozliczyć się przed organem nadzoru w przypadku kontroli.
RODO nie narzuca w jakiej formie ma być prowadzony rejestr – może to być dowolny typ pliku w wybranym programie komputerowym spełniający wskazane kryteria. Musi być na bieżąco aktualizowany, zaś jego zawartość odpowiednio chroniona przed nieuprawnionymi osobami.
Prawo do bycia zapomnianym
Osoby, których dane dotyczą mają prawo do ich usunięcia, w tym prawo do bycia zapomnianym. Zgodnie z przepisami RODO osoba taka może nie tylko zażądać od administratora usunięcia danych, ale również poinformowania o tym żądaniu podmiotów, które przetwarzają upublicznione przez tego administratora dane.
Według informatora na stronie Ministerstwa Cyfryzacji obowiązek usunięcia danych powstaje, gdy:
- „dane osobowe nie są już niezbędne do celów, do których je zebrano,
- podmiot danych wycofał zgodę i nie istnieje inna podstawa prawna dla przetwarzania tych danych,
- podmiot danych wniósł sprzeciw do dalszego przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,
- dane osobowe były przetwarzane niezgodnie z prawem,
- dane osobowe muszą być usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w unijnym bądź krajowym przepisie prawnym (np. przepisach dotyczących niszczenia dokumentacji medycznej),
- dane zostały zebrane w celu świadczenia usług internetowych dziecku.”
Prawo do przeniesienia danych
Osoba, która dostarczyła administratorowi dotyczących jej danych osobowych, ma prawo zażądać ich wydania przez dotychczasowego administratora w powszechnie używanym formacie nadającym się do odczytu maszynowego i może przesłać je innemu administratorowi bez przeszkód ze strony pierwszego. Dotyczy to danych przetwarzanych w systemach informatycznych (czyli w sposób zautomatyzowany).
Administrator danych osobowych jest zobowiązany nie tylko do dokumentowania naruszeń ochrony danych osobowych. Jeżeli naruszenie to skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych, musi zgłosić je w ciągu 72 godzin od stwierdzenia naruszenia. Jednak w przypadku, gdy takie zagrożenie nie istnieje, nie ma takiego obowiązku.
Kogo dotyczy RODO?
Nowa regulacja dotyczy wszystkich podmiotów gromadzących lub wykorzystujących dane osobowe osób fizycznych. Ma ogromne znaczenie dla całego społeczeństwa, bo każdy z nas, czy to w szkole, czy w urzędzie miasta, czy w banku udostępnia swoje dane (imię, nazwisko, wiek itp.), których jest właścicielem.
Co grozi za nieprzestrzeganie nowych przepisów?
Za niestosowanie się do nowego rozporządzenia grożą środki prawne o charakterze administracyjnym oraz sankcje pieniężne w wysokości nawet 10 mln euro lub 2% rocznego obrotu firmy. W przypadku rażących naruszeń może to być aż 20 mln euro i 4% rocznego obrotu. Oczywiście wszystko zależy od wagi naruszenia i małe firmy z pewnością nie poniosą takich konsekwencji jak ogromne korporacje korzystające z bardzo bogatych baz danych.
Co więcej każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów ma prawo uzyskać odszkodowanie od administratora danych bądź podmiotu przetwarzającego dane. Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden podmiot to odpowiedzialność za szkodę jest solidarna.
Jak wdrożyć RODO?
Aby wdrożyć RODO należy podjąć kilka kroków.
- Zapoznać się z nowymi przepisami dotyczącymi przetwarzania danych osobowych.
- Zaplanować proces wdrażania systemu ochrony danych osobowych. Wymaga to:
- ustalenia w jakim czasie zostanie wdrożony system,
- zdecydowania kto będzie odpowiedzialny za koordynację działań,
- nawiązania współpracy z informatykiem,
- nawiązania współpracy z prawnikiem.
- Przeprowadzić audyt wewnętrzny (stwierdzić gdzie i jak przetwarzane są dane osobowe oraz co poprawić, by system przetwarzania danych był zgodny z RODO)
- Ocenić ryzyko związane z przetwarzaniem danych osobowych.
- Przemyśleć rozwiązania, które będą wdrażane.
- Zrealizować zaprojektowane rozwiązania organizacyjne i techniczne, wdrożyć je.
- Opisać wdrożone rozwiązania i przygotować założenia potrzebne do stworzenia dokumentacji RODO.
- Zlecić prawnikowi przygotowanie dokumentacji RODO.
- Przeprowadzić szkolenie pracowników z zakresu ochrony danych osobowych.
Aby uniknąć błędów, które mogłyby skutkować karami w trakcie kontroli, warto podjąć współpracę z firmą zewnętrzną. Pozwoli to zaoszczędzić czas i uniknąć frustracji z powodu przekopywania się przez sterty dokumentów zawierających kolejne wymagania. Zespół ekspertów nie tylko przeprowadzi audyt, szkolenia dla administratorów (danych osobowych, systemów informatycznych), inspektorów ochrony danych, pracowników, ale również wdroży system danych osobowych zgodny z RODO, przygotuje odpowiednią dokumentację czy będzie pełnił obowiązki Inspektora Ochrony Danych.