RODO – rozporządzenie o ochronie danych: to trzeba wiedzieć

General Data Protection Regulation (GDPR), czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO), zacznie obowiązywać 25 maja 2018 r. i wprowadzi nowe wymogi dotyczące przetwarzania danych. Celem rozporządzenia jest ujednolicenie zasad przetwarzania danych na obszarze Unii Europejskiej i zapewnienie w przyszłości lepszej ochrony danych. RODO będzie dotyczyć wszystkich przedsiębiorców regularnie przetwarzających dane osobowe klientów, bez względu na wielkość firmy. W związku z tym, także i sklepy internetowe będą musiały dostosować swoją politykę prywatności i praktyki w zakresie przetwarzania danych osobowych do nowych przepisów. Warto zatem podsumować kilka najważniejszych informacji dotyczących RODO.

Dlaczego powstało RODO?

RODO zostało uchwalone ze względu na konieczność wprowadzenia zmian wynikających z dynamicznego rozwoju technologii przetwarzania danych osobowych. Przepisy rozporządzenia są dość uniwersalne i elastyczne, co z jednej strony pomaga dostosować je do ciągłego rozwoju nowych technologii, a z drugiej powoduje pewne trudności interpretacyjne. Unijny ustawodawca, dążąc do stworzenia przepisów niezależnych od postępu technologicznego, nie zawarł bowiem w rozporządzeniu konkretnych wytycznych, jak zabezpieczyć dane osobowe. Jest to zrozumiałe, gdyż wytyczne takie musiałyby być odmienne dla każdej branży, a ponadto ulegać ciągłym aktualizacjom pod kątem zmieniających się warunków i postępu technologicznego. Przepisy RODO zobowiązują administratorów danych (np. właścicieli sklepów internetowych) do wprowadzenia mechanizmów gwarantujących poszanowanie prywatności i bezpieczeństwo przetwarzania danych. Pozostawiają one również większy niż dotychczas wpływ na zakres ich przetwarzania osobom, do których dane należą (prawo do bycia zapomnianym, możliwość zgłoszenia sprzeciwu wobec profilowania, uprawnienie do żądania przeniesienia danych, wzmocnione prawo dostępu i wglądu w swoje dane).

RODO

Obowiązki przedsiębiorców – co się zmieni?

 - Koniec z rejestrowaniem zbiorów danych

Nowe przepisy zmienią dotychczasowy zakres obowiązków administratorów danych. Część zostanie zniesiona – w tym wiele tych najbardziej uciążliwych, jak np. obowiązek zgłaszania każdego zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. W miejsce GIODO powołany zostanie nowy państwowy organ kontrolny – Prezes Urzędu Ochrony Danych Osobowych. Nowy urząd nie będzie już prowadzić rejestru zbiorów danych. Nie będzie trzeba ich zgłaszać do rejestracji.

 - Koniec z wytycznymi, administratorzy muszą samodzielnie wypracować odpowiednie środki ochrony danych

W związku z rozpoczęciem stosowania przepisów RODO przestanie obowiązywać rozporządzenie MSWiA określające warunki techniczne i organizacyjne, jakie musza spełniać urządzenia i systemy informatyczne wykorzystywane do przetwarzania danych osobowych. Administratorzy nie będą więc musieli zapewniać określonych w tym rozporządzeniu wymagań techniczno-informatycznych. Każdy administrator danych będzie natomiast musiał samodzielnie wypracować właściwe dla jego działalności biznesowej oraz adekwatne do zakresu i rodzaju przetwarzanych danych rozwiązania techniczne i środki zabezpieczeń. Przepisy przestaną konkretyzować, w jaki sposób należy to uczynić.

Każdy administrator będzie jednak musiał być w stanie wykazać, iż przetwarzanie danych odbywa się zgodnie z zasadami i wymogami określonymi w przepisach unijnego rozporządzenia. Daleko idące zwiększenie samodzielności, ale i też odpowiedzialności administratorów danych za procesy przetwarzania danych osobowych jest konsekwencją przyjętego kierunku stworzenia ram prawnych niezależnych od ciągłego i dynamicznego postępu technologicznego. RODO określa obowiązki administratora, pozostawiając mu jednocześnie bardzo dużą swobodę w wyborze odpowiednich rozwiązań gwarantujących ich spełnienie i zachowanie należytego standardu ochrony prywatności.

 - Nowy sposób prowadzenia dokumentacji

Przedsiębiorcy przetwarzający dane osobowe nie będą już zobowiązani do opracowania i wdrożenia dotychczas obowiązkowych dokumentów – polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. RODO wprowadza jednak wymóg prowadzenia rejestru czynności przetwarzania danych osobowych. Dokument ten powinien wskazywać m.in., jakie dane są przetwarzane, sposób, w jaki są chronione, a także określać, kto tymi danymi administruje i ma do nich dostęp (kategorie odbiorców). Wskazać należy również planowane terminy usunięcia poszczególnych kategorii danych. Rejestry muszą mieć formę pisemną – jednak nie ma żadnego wymogu odnośnie konkretnej formy (może to być dokument w formie elektronicznej, zwykły dokument tekstowy, czy plik w excelu).

 - Zasada privacy by design i privacy by default

Nowością na gruncie RODO jest obowiązek uwzględnienia ochrony danych w fazie projektowania (privacy by design) oraz obowiązek realizowania domyślnej ochrony danych osobowych (privacy by default). Pierwszy z nich nakazuje uwzględnienie i stosowanie przepisów o ochronie danych już na etapie samego projektowania procesów biznesowych. Z kolei privacy by default oznacza, że prywatność ma być traktowana, jako standardowe, domyślne ustawienie systemowe w ramach procesów przetwarzania danych przez administratora danych osobowych. Dla przykładu – sprzedawca internetowy powinien zbierać tylko te dane osobowe, które są niezbędne do procesu realizacji zamówienia, skorzystania z serwisu, konkretnej usługi lub aplikacji (tzw. minimalizacja danych). Chodzi o to, żeby nie zbierać danych, które nie są potrzebne – „na zapas”. Przykładem może być np. wymóg podania numerów telefonu czy adresów zamieszkania osób, które chciałyby otrzymywać newsletter. W tego typu przypadku – podanie takich dodatkowych danych, które nie są konieczne dla realizacji danej usługi musi być całkowicie dobrowolne. Brak ich podania w żadnym wypadku nie może uniemożliwiać korzystania z serwisu, czy usługi polegającej np. na wysyłaniu newslettera.

 - Obowiązkowe zgłoszenia naruszeń ochrony danych osobowych i surowsze sankcje

Nowością jest również obowiązek zgłoszenia organowi nadzorczemu (po 25 maja 2018 będzie nim Urząd Ochrony Danych Osobowych) naruszenia zasad ochrony danych osobowych przez osoby, które się tego dopuściły. Taki obowiązek donoszenia na samego siebie będzie dotyczył istotnych naruszeń praw i wolności osób, których dane są przetwarzane. Chodzi zatem o naruszenia mogące prowadzić do kradzieży lub fałszowania tożsamości, starty finansowej, naruszenia dobrego imienia czy też naruszenia tajemnic prawnie chronionych. Na zgłoszenie istotnych naruszeń ochrony danych administrator będzie mieć 72 godziny od momentu ich wykrycia. Powinien również bez zbędnej zwłoki zawiadomić o takim naruszeniu osobę, której dane dotyczą.

Niezgłoszenie naruszenia może skutkować nałożeniem przez organ nadzorczy bardzo dotkliwej kary finansowej. Oczywiście możliwe będzie również nałożenie kary już za samo zaistnienie naruszenia ochrony danych. Przepisy RODO przewidują surowsze niż dotychczas konsekwencje niezgodnego z prawem przetwarzania danych osobowych. W przypadku przedsiębiorstw kary mogą̨ wynosić maksymalnie 20 mln euro lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

W naszym kolejnym artykule prawnym przedstawimy najistotniejsze nowe prawa osób, których dane są przetwarzane. 

01.02.2018
Select Country: