Aktualności

Już 25 maja 2018 roku wchodzi w życie RODO (GDPR), czyli nowe unijne rozporządzenie dotyczące ochrony danych osobowych. Może się wydawać, że 10 miesięcy, które pozostały, to dużo czasu – a jednak zmiany, jakie do tego czasu muszą wprowadzić firmy, mogą okazać się na tyle poważne, że ich wdrażaniem powinno zająć się już teraz. W powietrzu wisi bowiem widmo wielomilionowych kar.

Rozporządzenie Ogólne o Ochronie Danych Osobowych było opracowywane i dyskutowane przez cztery lata, a ostatecznie przyjęte zostało przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 r. Nowe wytyczne dotyczące ochrony danych osobowych wywrócą do góry nogami część procedur, jakie firmy działające w UE stosowały przez lata.

Kogo dotyczyć będzie RODO? Tak naprawdę wszystkich firm, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Mogą to być zarówno duże korporacje – na przykład firmy ubezpieczeniowe czy instytucje finansowe – oraz niewielkie rodzinne przedsiębiorstwa, jak sklep internetowy czy salon kosmetyczny.

Dlatego unijne rozporządzenie nie zawiera żadnych konkretnych wytycznych, jak zabezpieczać dane osobowe. Bo nie dość, że wytyczne te musiałyby być inne dla każdej branży, to jeszcze szybko mogłoby się okazać, że trzeba je na nowo dostosowywać do zmieniających się warunków.

Zaprojektować własny system ochrony danych

Dla przedsiębiorców oznacza to, że wdrożenie nowych regulacji będzie wymagało pewnej dozy kreatywności. Skoro przepisy nie tłumaczą punkt po punkcie, co należy zrobić, to znaczy, że są w jakimś stopniu niejasne. A skoro są niejasne, to trzeba je potraktować niejako „na wyczucie” i w sposób mocno spersonalizowany. Metody zabezpieczania i przetwarzania danych osobowych każdy przedsiębiorca będzie musiał dostosować indywidualnie do charakteru swojego przedsięwzięcia

Z racji tego, że każdy przedsiębiorca działa inaczej i w różnych sektorach zabezpiecza się dane w inny sposób, ochrona danych osobowych nie będzie zatem sprowadzała się do wykonania kilku jasno określonych czynności, a raczej zaprojektowania całego systemu tej ochrony – i ustawiania procedur osobno pod wszystkie procesy, jakie dzieją się w firmie i uwzględniają wykorzystanie danych osobowych.

W związku z tym nie ma jednego szablonu, tylko każdy dostanie obowiązek stworzenia go sobie samemu. Przechodzimy z zamkniętego do otwartego modelu ochrony danych.

Rodzi się pytanie, czy skoro przepisy są niejasne, to przedsiębiorcy będą unikać przestrzegania ich? Nie tyle nawet na przekór, co raczej z poczucia zagubienia i pewnej bezradności wobec mętnych regulacji. „Czy to na pewno mnie dotyczy? Jak mam to zrobić?”.

Przedsiębiorca będzie zobowiązany samodzielnie przeanalizować, jakimi danymi osobowymi dysponuje, co konkretnie się z nimi dzieje i jakie ryzyko się z tym wiąże – a ostatecznie dobrać optymalne środki, które to ryzyko zminimalizują. Natomiast oceną tego, czy dane są należycie zabezpieczone, każdorazowo zajmie się pracownik urzędu ochrony danych osobowych.

Dane będzie można łatwo przenosić między instytucjami

Kolejna nowa zasada będzie dotyczyła przenoszenia danych. Każdy obywatel będzie mógł wystąpić do administratora – czyli przedsiębiorcy, który zarządza jego danymi – z żądaniem przekazania danych osobowych w formie pliku pdf. Innymi słowy, przedsiębiorca będzie zobowiązany na zawołanie pokazać, które konkretnie dane wykorzystuje w swojej działalności. Ale to tylko element zasady przenoszenia.

Możliwe będzie zażądanie od firmy, by tego samego pliku z informacją o naszych danych osobowych nie wysyłała do nas, tylko bezpośrednio do innej firmy lub instytucji

Prawo do bycia zapomnianym

Co ciekawe z punktu widzenia konsumenta, będzie on mógł zażądać nie tylko udostępnienia mu informacji o danych osobowych, ale też usunięcia ich z bazy danej instytucji. Nazywa się to prawem do bycia zapomnianym. Warunkiem jest to, że dane te nie są już dłużej używane – i to rodzi pewne komplikacje, ponieważ czasem nawet po wygaśnięciu umowy między konsumentem a firmą informacje osobowe pozostają w obrocie.

A jeśli dojdzie do naruszenia danych osobowych, na przykład w wyniku ataku hakerskiego? Firma będzie musiała niezwłocznie zgłosić ten fakt do generalnego inspektora ochrony danych osobowych. Będą na to tylko 72 godziny. To sytuacja, z jaką krajowe przedsiębiorstwa wcześniej się nie spotkały. – Przedsiębiorcy – poza branżą telekomunikacyjną – nie są przyzwyczajeni do zgłaszania własnych naruszeń ochrony danych osobowych organom nadzoru. Ten nowy obowiązek wymaga nie tylko identyfikowania zaistniałego naruszenia, ale także przygotowania procedur reagowania na incydenty ochrony danych.

Wbrew temu, co może się wydawać, do kradzieży danych dochodzi stosunkowo często – tyle że poza nielicznymi wyjątkami o takich sprawach nie jest głośno. – W mediach usłyszymy o wycieku danych dotyczących, przykładowo, setek klientów jakiegoś banku. W rzeczywistości jednak liczba popełnianych cyberprzestępstw jest bardzo duża, ale kradzieże danych rzadko są zgłaszane. Wraz z wprowadzeniem RODO informacja nawet o pojedynczym, drobnym naruszeniu musi być przekazana odpowiednim organom.

Kary wysokie, a firmy nieprzygotowane

Jak widać, unijne prawo zaostrza się – i choć jest to ukłon w stronę konsumentów, nad przedsiębiorcami zawisa widmo wysokich kar. Niedopilnowanie nowych obowiązków dotyczących ochrony danych osobowych może kosztować firmę nawet do 20 mln euro lub 4 proc. rocznego obrotu firmy – w zależności od tego, która kwota jest wyższa. – Kary będą miarkowane proporcjonalnie do skali naruszenia przepisów. Podobnie jak całość rozporządzenia, są one wspólne dla wszystkich krajów członkowskich i będą dotyczyły również administracji publicznej, tyle że w niższym wymiarze.

Tymczasem świadomość przedsiębiorców dotycząca RODO wciąż jest niewielka. Według zeszłorocznego badania firmy Dell, ponad 80 proc. ankietowanych przedstawicieli firm nic nie wie na temat nowego unijnego rozporządzenia lub ma o nim szczątkową wiedzę. Zaledwie 3 proc. osób biorących udział w badaniu zadeklarowało, że ich firma ma stosowny plan wprowadzenia RODO.

W nowym podejściu ochrona danych osobowych w przedsiębiorstwie to ciągły proces, dlatego niezwykle ważne jest, by jak najlepiej przygotować się do nowych obowiązków, aby oddalić ryzyko sankcji, proces ten musi być ciągle doskonalony – nawet w późniejszych etapach

Na razie nie wiadomo, jak polski ekosystem biznesowy przyjmie RODO. Część przepisów wciąż rodzi pytania, a większość firm nawet nie zaczęła przygotowywać się do nowych regulacji. Co na pewno trzeba mieć na uwadze to, że poza unijnymi przepisami, w życie wejdzie też nowa polska ustawa.

Nasza firma dysponuje gotowymi rozwiązaniami proceduralnymi i technologicznymi w tym zakresie. Zapraszamy zainteresowanych użytkowników do kontaktu z działem technicznym

Źródło onet.pl