Już niedługo, bo 25 maja 2018 roku, w naszym kraju zaczną obowiązywać przepisy europejskiego rozporządzenia o ochronie danych osobowych (RODO). To dla wielu przedsiębiorców wręcz rewolucyjna zmiana, której skutki odczują wszystkie podmioty przetwarzające w jakikolwiek sposób dane osobowe. Prace nad wdrożeniem nowych przepisów trwają więc gorączkowo. My zaś postanowiliśmy zebrać wszystkie informacje na temat tego rozporządzenia i zmian, jakie zostaną wprowadzone. Wierzymy, że zagregowane w jednym miejscu dane pozwolą rozwiać wszystkie wątpliwości dotyczące zmian, jakie już niedługo nastaną.
Co to jest RODO i kiedy zacznie obowiązywać?
Zacznijmy od początku, a więc wyjaśnienia czym właściwie jest RODO. Skrót ten oznacza Rozporządzenie o Ochronie Danych Osobowych. To dokument, który został stworzony już w 27 kwietnia 2016 roku przez Parlament Europejski. Rozporządzenie to weszło w życie 17 maja 2016 r. Dlaczego więc o RODO w naszym kraju mówi się dopiero teraz? To proste – jak w przypadku każdej nowej dyrektywy prawnej, kraje członkowskie UE otrzymują czas na dostosowanie swojego prawa do norm europejskich. Dlatego też w krajowym porządku prawnym RODO zacznie obowiązywać dopiero 25 maja 2018 roku. Czym jest? Mówiąc najprościej, jest to zbiór przepisów prawa dotyczących przetwarzania danych osobowych. Mówimy tu o tym, w jaki sposób możemy je pozyskiwać, w jaki sposób powinny być przechowywane, zmieniane lub wykorzystywane. To również szereg przepisów, które mają jeszcze lepiej chronić interesy osób prywatnych. Rozporządzenie to wprowadza wiele zmian i rozszerza zakres obowiązków, jaki spoczywa na barkach administratorów danych.
Jakie obowiązki zostaną zniesione?
Nie oznacza to jednak, że RODO to tylko kolejne procedury, obowiązki oraz nakazy, które sprawią, że prowadzenie działalności związanej z przetwarzaniem danych osobowych może stać się jeszcze trudniejsze. Musimy bowiem zdać sobie sprawę z tego, że niektóre z obowiązków, jakie już teraz spoczywają na barkach administratorów, zostaną zniesione. Wśród nich wymienić możemy między innymi obowiązek rejestracji zbiorów danych osobowych i zgłaszania ich do GIODO. To jednak nie wszystko. Kolejnym obowiązkiem, który zostaje zniesiony przez RODO, jest przymus posiadania polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi. Nie trudno więc dojść do wniosku, że zmiany, które wprowadza RODO, tak naprawdę mogą nieco ułatwić przedsiębiorcom życie.
Nowe przepisy dotyczące przetwarzania danych osobowych
Niemniej jednak, zalecamy powstrzymanie się z nadmiernym optymizmem. Czekają nas bowiem zmiany – i to spore. Nie bez powodu wielu przedsiębiorców korzysta obecnie z profesjonalnej pomocy prawnej, chcąc dobrze zrozumieć wszystkie zmiany ustawy o ochronie danych osobowych. Przyjrzymy się więc nieco bliżej przepisom, które właśnie wchodzą w życie. Przede wszystkim warto przypomnieć, że dochodzi do zmiany aktu prawnego, którego zapisy odpowiadają za ochronę danych każdego z nas. Nowe regulacje wprowadzone przez RODO zwiększają nasze możliwości kontroli oraz dysponowania własnymi danymi osobowymi oraz nakładają na przedsiębiorców oraz inne podmioty administrujące danymi kilka nowych obowiązków, które postaramy się teraz szczegółowo omówić.
Co to jest rejestr czynności przetwarzania?
Zmiany w przepisach o ochronie danych osobowych wprowadzają szereg nowości, których wdrożenie spoczywa na barkach administratorów danych. Wśród najwidoczniejszych zmian warto wymienić przede wszystkim obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. Rejestr ten może zawierać do siedmiu pozycji, wśród których znajdować się mogą: nazwa i dane kontaktowe administratora, cel przetwarzania danych, opis kategorii osób lub danych (np. czy są to dane wrażliwe czy niewrażliwe), planowany termin usunięcia danych czy opis zastosowanych zabezpieczeń. Co ważne, nie każdy administrator będzie musiał takowy rejestr prowadzić. Nie dotyczy on bowiem podmiotów, które zatrudniają nie więcej niż 250 osób. Warto w tym miejscu jednak wspomnieć, że brak wypełnienia obowiązku dotyczącego prowadzenia rejestru może wiązać się z niemałymi karami finansowymi. Przypomnijmy, że ustawodawca europejski przewidział za brak jego realizacji górną granicę kary w wysokości do 10 000 000 euro. W przypadku przedsiębiorstwa mówimy zaś o karach wysokości do 2% całkowitego rocznego obrotu z poprzedniego roku.
Nowość – obowiązek zgłaszania naruszeń
Kolejną nowością, którą wprowadzają przepisy o ochronie danych osobowych, jest obowiązek zgłaszania naruszeń. Nałożony został on na administratorów danych. Co oznacza to w praktyce? Administrator ma obowiązek prowadzenia dokumentacji wszystkich występujących naruszeń ochrony danych osobowych. Co więcej, musi je zgłosić do odpowiednich organów jak najszybciej (nie później niż przed upływem 72 godzin). Informowany powinien być nie tylko Generalny Inspektor Ochrony Danych Osobowych, ale również osoba, której bezpieczeństwo danych zostało naruszone. Niewypełnienie tego obowiązku może grozić dotkliwymi karami finansowymi. Przybliżmy jeszcze, czym tak naprawdę są naruszenia ochrony danych osobowych. Są to między innymi włamanie się do systemu, utrata lub zniszczenie nośnika, na którym były zapisane dane osobowe lub uzyskanie dostępu do danych przez osobę, która nie ma do tego uprawnień.
Podstawa prawna przetwarzania danych – obowiązek informowania
RODO nakłada na administratorów danych osobowych wiele obowiązków. Wśród nich wymienić musimy między innymi obowiązek informowania. Na czym polega? Mówiąc najprościej, na przedstawieniu osobie, której danymi chcemy administrować, szeregu informacji takich jak: dane administratora, cel zbierania danych, informacje o odbiorcach danych, informacji o możliwości poprawiania, usuwania danych, informację o dobrowolności w podawaniu danych osobowych oraz prawie do wniesienia sprzeciwu. Ponadto RODO nakłada na administratur również obowiązek udzielania informacji dotyczących czasu przechowywania danych osobowych, podanie przepisu prawa, jeśli to na jego mocy odbywa się przetwarzanie danych oraz informacji o prawie wniesienia skargi do GIODO. W jaki sposób administrator danych może wypełnić obowiązek informowania? Istnieje wiele rozwiązań. Wśród tych najwygodniejszych wymienić możemy między innymi umieszczenie odpowiednich informacji bezpośrednio w treści zgody na przetwarzanie danych lub zamieszczenie ich w regulaminie usługi. Istnieje również możliwość poinformowania za pomocą korespondencji – tradycyjnej lub droga mailową.
Prawa osób, których dane będą przetwarzane
Jedną z zalet zmian, jakie nastaną po wprowadzeniu RODO, jest zwiększona możliwość kontroli nad danymi osób, które wyraziły zgodę na ich przetwarzanie. Dotychczas, pomimo jasnych i dość restrykcyjnych przepisów, często działo się tak, że nie mieliśmy kontroli nad tym, jakie dane są we władaniu poszczególnych administratorów oraz co się z nimi dzieje. Nowe przepisy wprowadzają szereg zmian w tym zakresie. Wśród praw, jakie zyskujemy jako osoby prywatne, możemy wymienić prawo do wglądu w dane osobowe, na przetwarzanie których się zgodziliśmy. Możemy również modyfikować je, poprawiać, ograniczać możliwości ich przetwarzania, a także zgłosić sprzeciw wobec ich przetwarzania, a nawet zażądać całkowitego ich usunięcia.
Prawo do bycia zapomnianym
W przepisach o ochronie danych osobowych znajdziemy również informację o prawie do bycia zapomnianym. Czym jest to prawo i w jakich sytuacjach może zostać zastosowane? Mówiąc najprościej, prawo to daje nam możliwość wniesienia o usunięcie naszych danych z baz podmiotów, które nimi dysponują. Dane muszą zostać usunięte jeśli zostały pozyskane niezgodnie z prawem, są nieaktualne, nie są już potrzebne przedsiębiorcy do świadczenia usług oraz jeśli zgłosimy sprzeciw lub cofniemy zgodę. Jak widać, prawa osób prywatnych są przez RODO doskonale zabezpieczone.
Prawo do wglądu i sprostowania danych
Osoby, których dane osobowe są przetwarzane, mają również prawo do wglądu oraz sprostowania danych. Co to oznacza w praktyce? Każdy, kto zda sobie sprawę z tego, że jego dane są już nieaktualne, może zażądać od administratora sprostowania informacji zapisanych na nasz temat. Dotyczy to sytuacji takich jak zmiana nazwiska czy adresu. Co więcej, nawet jeśli w naszym przypadku nic się nie zmieniło, ale podejrzewamy, że administrator nie posiada prawidłowych danych, w każdej chwili możemy upewnić się jak jest w istocie. Mamy bowiem prawo do wglądu w informacje, jakie są o nas przechowywane.