25 maja 2018 zbliża się wielkimi krokami, a wraz z nią największa od ponad 20 lat zmiana w systemie ochrony danych osobowych. Śmiało można stwierdzić, że GDPR/RODO to prawdziwa rewolucja dla wszystkich – zarówno dla instytucji i firm, jak i konsumentów. Bezpieczeństwo przede wszystkim. Jakie zmiany wprowadza RODO?

ZMIANA FILOZOFII

O tym, czym jest RODO już wiesz. A jeśli nie, koniecznie zajrzyj tutaj . Teraz przyszedł czas na to, by zagłębić się w treść i prześledzić najważniejsze kwestie, na które trzeba przygotować się już teraz.

Gruntownych przemian nie można przeprowadzić bez odwrócenia mentalności. Prawodawca nie stosuje w tej materii półśrodków. Zerwana została całkowicie dotychczasowa hermeneutyka filozofii stanowionego prawa. Postawiono na koncepcję proaktywną oraz poszukiwanie jednocześnie systemowych, jak i indywidualnych rozwiązań legislacyjnych. Bez tego nie można byłoby wprowadzić tak radykalnych regulacji.

RODO samo w sobie nie zakłada gotowych, schematycznych rozwiązań. Wskazuje cel, jednak ścieżka działania stoi po stronie konkretnego przedsiębiorstwa. Punktem wyjścia jest analiza własnej sytuacji – konieczna jest weryfikacja dotychczasowej polityki ochrony danych osobowych, by potem stworzyć nowe procedury – najbardziej adekwatne do specyfiki prowadzonej działalności.

DEFINICJA DANYCH OSOBOWYCH

Dane osobowe to tak delikatna rzeczywistość, że nie można pozwolić sobie na jakiejkolwiek nieścisłości semantyczne. W nowym pakiecie legislacyjnym dopracowano ich definicję. Jako dane osobowe uwzględniono chociażby dane o lokalizacji, identyfikator internetowy czy znaki szczególne ściśle powiązane z tożsamością fizyczną, genetyczną, psychiczną, ekonomiczną, kulturową i społeczną.

ZWIĘKSZONY ZAKRES I ZASADA „ONE STOP SHOP”

RODO znajduje swoje zastosowanie wobec administratorów i podmiotów, które przetwarzają dane osobowe i mają swoją siedzibę w UE, a także poza jej granicami. W przypadku tych drugich stosowane ono będzie wobec danych osób przebywających w granicach Unii Europejskiej, którym oferowane będą towary i usługi lub działalność związana będzie z monitoringiem ich zachowania. Z poprzedniego tekstu wiadomo, że chodzi o wszelkiego rodzaju instytucje i firmy – bez względu na branżę, ilość zatrudnianych osób czy wielkość przedsiębiorstwa. Mała rodzinna firma na Podlasiu będzie w świetle prawa traktowana na równi z międzynarodową korporacją z siedzibą w Monachium.

Może zdarzyć się sytuacja, że dane będą przetwarzane w większej ilości krajów Unii lub ich administrator posiadać będzie swoje przedstawicielstwa operacyjne w różnych krajach UE. Wtedy podlegać będzie on zasadzie „one stop shop”, wedle której właściwy organ nadzoru dla głównej jednostki organizacyjne danego przedsiębiorstwa będzie stanowił najwyższą i jedyną instancję we wszystkich sprawach transgranicznego przetwarzania danych przez tę firmę.

ODPOWIEDZIALNOŚĆ BEZPOŚREDNIA

Organizacje świadczące usługi, które wymagają przetwarzania danych osobowych pochodzących z innych firm – jak choćby wszelkie przedsiębiorstwa hostingowe czy dostarczające różnego rodzaju rozwiązania w chmurze – ponosić będą BEZPOŚREDNIĄ odpowiedzialność za złamanie przepisów i naruszenia.  Jedną z konsekwencji będzie nałożenie wysokich kar finansowych. Konieczne będzie sporządzenie nowych, bardziej restrykcyjnych, umów o przetwarzaniu danych. Najprawdopodobniej wymagana będzie również renegocjacja dotychczasowych ustaleń w sprawie odszkodowań i ograniczenia odpowiedzialności.

LIMIT 72 GODZIN

Administratorzy będą mieli obowiązek w ciągu 72 godzin od wykrycia zgłosić do odpowiednich organów naruszenia w ochronie danych, które mogą skutkować zagrożeniem praw i swobód zainteresowanych osób. Zaleca się również, by niezwłocznie zawiadomić konkretną osobę o potencjalnie dużym ryzyku wystąpienia nieprawidłowości.

Każda firma  przetwarzająca dane powinna opracować tzw. breach response plan. Jest to procedura reakcji na wypadek włamania bądź wycieku danych. Najlepiej zaangażować w nią prawników, specjalistów IT, śledczych oraz specjalistów ds. bezpieczeństwa.

WIĘCEJ PRAW OSÓB FIZYCZNYCH

Dla twórców RODO najważniejsze jest dobro jednostki, stąd tak radykalne wytyczne i nakaz solidnej dbałości oraz pełnego zabezpieczania jej danych. Z drugiej strony, obywatel ma rozszerzoną gamę praw, która mu przysługuje w świetle nowych przepisów. Dziś tylko je wymienimy, a na szczegółowe omówienie przyjdzie jeszcze czas:

• Prawo do informacji
• Prawo do dostępu do danych
• Prawo do sprostowania danych
• Prawo do „bycia zapomnianym”
• Prawo do ograniczenia przetwarzania danych
• Prawo do przenoszenia danych do innego usługodawcy
• Prawo do sprzeciwu wobec przetwarzania
• Prawo do sprzeciwu wobec profilowania i zautomatyzowanego podejmowania decyzji

OGRANICZONE PROFILOWANIE I OBOWIĄZEK INFORMACYJNY

Szczególnie ostatni zapis na tej liście może mieć niebagatelne znaczenie dla firm, których działalność opiera się na dogłębnej analizie danych, które pozyskuje się dzięki profilowaniu. Profilowanie to zautomatyzowane przetwarzanie danych osobowych, polegające na wykorzystaniu ich do oceny niektórych czynników osobowych osoby fizycznej, np. w celu zbadania preferencji czy zachowań. Wszelkie praktyki marketingu bezpośredniego ze wcześniejszym wykorzystaniem profilowania będą wymagały uprzedniego uzyskania odpowiedniej zgody. RODO nakłada obowiązek informowania o próbie podjęcia takich działań, a co najważniejsze – firmy są zobowiązane do respektowania braku takowej zgody.

Przepisy jasno wskazują również liczne informacje, które muszą być uwzględnione w komunikacji odnośnie chęci oraz sposobu przetwarzania danych osobowych kierowanej do osób, których te dane dotyczą. Prawodawca, chcąc zmniejszyć ryzyko obchodzenia tych zapisów, precyzuje także sposób ich dostarczenia. Wszystko ma być podane przy użyciu jasnego i prostego języka, w sposób zwięzły, przejrzysty i czytelny.

ZGODY

Co ma charakteryzować zgodę na przetwarzanie w myśl nowego prawa? Ma być ona udzielona w formie oświadczenia lub potwierdzona świadomym i dobrowolnym działaniem, jednoznacznie dającym konkretne przyzwolenie. Zapytanie o tę zgodę powinno być dokładnie sprecyzowane i określać zakres oraz sposób przetwarzania. Wyrażona zgoda w jednej sprawie nie może być automatycznie przypisana do kolejnych – nawet w ramach jednego produktu czy usługi.
Kolejną kwestią jest zgoda na przetwarzanie danych dziecka. Na podstawie zgody danych dziecka poniżej 16. roku życia konieczne jest także uzyskanie zgody rodzica lub opiekuna prawnego. Od tego zapisu także nie ma ustępstw

INSPEKTOR NA POKŁAD

Najbardziej optymalnym rozwiązaniem będzie zatrudnienie doświadczonego eksperta, który będzie pełnił funkcję Inspektora Ochrony Danych (IODA) lub Administratora Danych Osobowych.  Dotyczy to zarówno firm z sektora kontrolingu, jak i tych, które dane osobowe przetwarzają i nimi zarządzają. Lepiej stanąć po Jasnej Stronie Mocy.

PRIVACY IMPACT ASSESMENT

W przypadku, gdy przetwarzanie danych niosło będzie ze sobą wysokie ryzyko naruszenia praw i wolności podmiotów tych osób, konieczne będzie dokonanie oceny skutków potencjalnych incydentów. Oczywiście administrator musi to zrobić zanim uzyska zgodę i rozpocznie proces przetwarzania. W największym stopniu odnosi się to do firm zarządzających danymi wrażliwymi (np. dotyczącymi zdrowia) i/lub działającymi na międzynarodową skalę.

OCHRONA BY DESIGN i BY DEFAULT

Ochrona i bezpieczeństwo danych powinny być brane pod uwagę już od samego początku, czyli od momentu projektowania nowych produktów. Nie mają one być tylko dodatkiem, ale znaczącym komponentem nowych przedsięwzięć.

Dodatkową analizę oceny ryzyka należy wykonać przed wprowadzeniem ich na rynek. Klient/Konsument/Odbiorca, jego szczęście i dobro są najważniejsze, dlatego wymaga się, by wybierać rozwiązania, które domyślnie zapewniają przetwarzanie danych osobowych tylko w niezbędnym zakresie.

INWENTARYZACJA

Wymaganiem i dobrą praktyką jest prowadzenie w każdej firmie szeroko pojętą dokumentację dotyczącą przetwarzania danych. Wskazane jest, by zawierała ona m.in. kategorie podmiotów danych i danych osobowych, rejestry międzynarodowych transferów danych, rejestry naruszeń i incydentów, rozwój i utrzymanie zasad ochrony prywatności. Nie można zapomnieć także o przechowywaniu potwierdzonych zgód na przetwarzanie danych itd.

Jak widać zmian jest sporo, a czasu na wdrożenie RODO zostało niewiele. To ostatni dzwonek, by przygotować się na nowe regulacje i struktury. Na szczęście jest Lion’s Care. Zajmiemy się tym po królewsku. Czy Twój biznes jest gotowy na RODO?