Rozporządzenie RODO – czyli jak zabezpieczać dane osobowe w MŚP

25 maja 2018 roku wchodzi w życie uchwalone 27 kwietnia 2016 r. rozporządzenie Parlamentu Europejskiego Rady Unii Europejskiej w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE L 119 z 4 maja 2016 r.), w skrócie określane jako RODO.

Nowe przepisy będą obowiązywać bezpośrednio, co oznacza, że formalnie nie wymagają krajowej implementacji, choć omawiana problematyka jest objęta ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych – tekst jednolity z 13 czerwca 2016 r. (Dz. U. z 2016 r. poz. 922), która jednak jest jeszcze na etapie prac sejmowych. Zmiany dotyczą firm komercyjnych, choć są także istotne dla jednostek administracji państwowej, samorządu gospodarczego oraz innych organizacji życia społeczno-gospodarczego.

Wprowadzane przepisy odnoszą się nie tylko do firm działających na terenie Unii Europejskiej, ale również do takich, których siedziba jest poza Unią Europejską w sytuacjach, gdyby firmy te miały oferować dobra lub usługi obywatelom UE, a także, gdyby miały monitorować zachowania mieszkańców Wspólnoty. Oznacza to, że będą musiały się do nich stosować także znane korporacje amerykańskie, jak np. Google czy Facebook.

Zasadniczym celem nowej regulacji jest wzmocnienie pozycji osób fizycznych, nakładając przy tym nowe obowiązki na przedsiębiorców i administrację.

RODO wymaga, by podmioty będące w posiadaniu prywatnych danych osobowych chroniły te dane w sposób domyślny, to jest bez konieczności podejmowania działań przez osobę, do której te dane się odnoszą.

Odpowiednie starania przedsiębiorca powinien podejmować już na etapie kreowania produktów i usług.

Zwarzywszy na zróżnicowanie specyfiki działalności w poszczególnych branżach, RODO nie narzuca konkretnych rozwiązań organizacyjnych i technik przy pomocy których dane osobowe będą chronione w danej firmie, zaleca się jednak utrzymanie i rozbudowanie dotychczas prowadzonej dokumentacji jak instrukcje ochrony danych osobowych i polityki bezpieczeństwa oraz rozbudowanie tych już istniejących dokumentów wewnętrznych o nowe wymagania ujęte w rozporządzeniu UE. Zaleca się także uruchomienie i prowadzenie rejestru czynności związanych z przetwarzaniem danych – opis jakie elementy powinien taki rejestr obejmować przedstawimy oddzielnie niebawem.

Istotną nowością jest okoliczność, iż nowe regulacje przewidują możliwość interwencji osoby fizycznej której dane przetwarzamy w przekazane nam dane osobiste. Wśród nich wymienić można :

  • Prawo do bycia zapomnianym,
  • Prawo do przenoszenia danych do innych podmiotów,
  • Prawo do profilowania danych przekazanych w przyszłości.

Rozszerzony zostaje obowiązek informacyjny w trakcie zbierania informacji o charakterze prywatnym. Konsekwencją tego jest znacznie rozbudowana treść i  objętość klauzul informacyjnych.

Dla firm, których głównym profilem działalności jest przetwarzanie danych osobowych i dla podmiotów zajmujących się przetwarzaniem danych wrażliwych powstaje obowiązek powołania Inspektora Ochrony Danych (IOD). Dane wrażliwymi są między innymi dane dotyczące stanu zdrowia, wyznania, przekonań religijnych, przynależności partyjnej.

Jako uproszczenie przepisów odnotować należy zniesienie obowiązku zgłaszania rejestru danych do Generalnego Inspektora Ochrony Danych Osobowych. Do GIODO trzeba jednak zgłaszać naruszenia danych osobowych. W poważniejszych przypadkach powstaje również obowiązek informowania osób, których dotyczy dane naruszenie.

Przetwarzanie danych w sposób niezgodny z prawem zagrożone jest wysoką karą do 4% wartości obrotów jakie firma osiągnęła w poprzednim roku obrotowym, natomiast skargi do krajowych instytucji zajmujących się ochroną danych osobowych będą od zgłaszających przyjmowane nieodpłatnie.

 

Sugerowane czynności na dojściu do wdrożenia RODO

Tak jak to już to wcześniej zaznaczyliśmy, odmiennie od znanych polskim przedsiębiorstwom ustaw, rozporządzenie RODO nie zawiera szczegółowych rozwiązań, dotyczących sposobu zabezpieczenia danych osobowych. Dlatego wdrożenie tej regulacji wymaga wypracowania własnych rozwiązań mieszczących się w przyjętych przez RODO ramach.

Przygotowując firmę do spełnienia nowych wymagań ochrony danych osobowych sugerujemy podjęcie następujących czynności:

  • Identyfikacja posiadanych zbiorów danych osobowych.
  • Przeprowadzenie analizy zagrożeń, poprzez zdefiniowanie obszarów działalności jednostki wdrażającej, które powinny podlegać zmianom Elementem analizy powinna być ocena skutków planowanych operacji przetwarzania danych osobowych z punktu widzenia ich ochrony oraz wprowadzenie adekwatnych do rodzaju zagrożeń zabezpieczeń organizacyjnych i technicznych.
  • Przeszkolenie pracowników obejmujące nowe pojęcia i definicje RODO, w celu podniesienia świadomości zagrożeń wycieku informacji i zaznajomienia ich z podstawowymi zasadami RODO.                                                                                         
  • Zapoznanie się postanowieniami dotyczącymi obowiązków Administratora i Inspektora Danych Osobowych, jak np. obowiązek rejestracji czynności przetwarzania danych osobowych, obowiązek zgłaszania naruszeń ochrony danych.
  • Opracować zgodną z RODO Politykę Ochrony Danych
  • Opracować procedury bezpieczeństwa IT, to jest wykaz procesów, w ramach których przetwarzane są dane osobowe.
  • Przygotować rejestr czynności przetwarzania danych (obecny rejestr ABI).
  • Wdrożyć rozwiązania technologiczne, urządzenia techniczne i usprawnić infrastrukturę IT dla zapewnienia bezpieczeństwa  przechowywania i przetwarzania danych osobowych
  • Przygotować się do identyfikacji i sposobu postępowania w przypadku zaistnienia incydentów w zakresie bezpieczeństwa danych osobowych.
  • Wymienić lub rozszerzyć klauzule w dokumentach firmowych dla  ochrony danych osobowych i realizacji innych regulacji RODO w formularzach, kwestionariuszach i innych dokumentach stosowanych przy pozyskiwaniu i przetwarzaniu danych osobowych.