RODO – sprawdź, czy masz się czego bać
Opublikowano: 11 kwietnia 2018

Rozporządzenie nazywane GDPR (ang. General Data Protection Regulation), a w Polsce znane pod nazwą RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych), od 25 maja br.  będzie stosowane w całej Unii Europejskiej.

Unia Europejska w swoich działaniach nowelizacyjnych dąży do kompleksowego odświeżenia i ujednolicenia prawa w zakresie ochrony danych osobowych. Reforma przepisów została wymuszona przez szybki postęp technologiczny i związane z nim zwiększenie wymiany danych między firmami na terenie Wspólnoty.

Wzrasta zatem ryzyko, że prawo do wolności i ochrony prywatności jej obywateli może być zagrożone, szczególnie w przypadku, gdy państwa członkowskie chronią dane osób w niejednolity sposób. Wprowadzone zmiany miały zniwelować ograniczenia i przeszkody w funkcjonowaniu rynku wewnętrznego, ułatwiając tym samym rozwój i funkcjonowanie biznesu w UE, przy jednoczesnym zapewnieniu ochrony i przestrzegania prawa do prywatności i ochrony danych obywateli. Ogólne rozporządzenie (2016/679) o ochronie danych (RODO) zastępuje unijną dyrektywę 95/46/WE.

Dla kogo RODO?

Nowe przepisy będą stosowane bezpośrednio (zatem będą wiążące dla każdego przedsiębiorcy) i dotyczyć będą każdej firmy, która świadczy swoje produkty lub usługi osobom fizycznym w całej Unii Europejskiej. Rozporządzenie RODO będzie dotyczyć również firm, które nie mają swojej siedziby w UE, ale oferują swoje usługi osobom tam mieszkającym. Mowa tutaj nie tylko o dużych korporacjach działających globalnie, lecz także o niewielkich przedsiębiorstwach działających lokalnie, np. niewielkich sklepach internetowych, gromadzących dane swoich klientów w celu realizacji zamówienia.

Czym są dane osobowe w rozumieniu nowej ustawy o ochronie danych osobowych? Są to wszystkie dane, dzięki którym jesteśmy w stanie bezpośrednio powiązać je z ich „właścicielem”. Np. danymi osobowymi nie są nagrania z monitoringu sklepu spożywczego, lecz nagranie w połączeniu z transakcją kartą zbliżeniową pozwalającą na identyfikację osoby z zapisu nagrania video już tak. W rozumieniu nowej ustawy o ochronie danych osobowych dane, które mogę być osobowymi, np. transakcje w sklepie internetowym, pliki cookie, adres IP, imię/nazwisko/pesel, zdjęcie w połączeniu z wartościami pozwalającymi zidentyfikować osobę (zdjęcie osoby w samochodzie –  numer rejestracyjny pojazdu) itd.

Warto przestrzegać

Aktualna ustawa o ochronie danych osobowych pozwala nałożyć na organizację za pośrednictwem GIODO jednorazową maksymalną karę w wysokości 50 tys. zł. Nowa ustawa będzie zawierała nieporównywalnie wyższe kary za niespełnienie jej wymagań. Najwyższą karą za nieprzestrzeganie wymagań ustawy GDPR/RODO jest 20 mln euro lub równowartość 4 proc. globalnych obrotów firmy. Rozporządzenie nie określa ani tego, jakie dokumenty mamy posiadać (z małymi wyjątkami), ani jaka ma być ich treść.

Zgodnie z nowym rozporządzeniem stworzenie właściwej dokumentacji pozostaje w gestii przedsiębiorców, a treść dokumentów ma być uzależniona od oceny ryzyka dla poszczególnych administratorów danych. Co więcej, dotychczasowe wymagania UODO dotyczące polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych czy ewidencji osób upoważnionych do przetwarzania danych utracą swoją ważność. Także w tych kwestiach RODO zostawia firmom dowolność i wymaga jedynie spełnienia założeń rozporządzenia, czyli poprawnej i adekwatnej do analizy ryzyka ochrony danych osobowych.

Wymagająca dokumentacja

Wymagania co do dokumentacji, które łączą UODO i RODO, to klauzule: zgody, informacyjne oraz w zakresie udokumentowania umowy o powierzeniu przetwarzania danych. Przygotowanie dokumentacji do zgodności z RODO musi objąć dostosowanie treści dokumentów do sposobu przetwarzania i środków ochrony danych stosowanych w danej firmie. Unijny regulator pozostawił w rękach przedsiębiorców wdrażających RODO dostosowanie struktury, rodzajów i liczby dokumentów do realnych potrzeb spółki. Aby proces dostosowywania dokumentacji odbywał się sprawnie, należy rozpocząć od zrozumienia i zaplanowania mechanizmu dokonywania zmian w dokumentacji organizacji oraz uwzględnienia jej w istniejących procesach biznesowych.

Zapewnienie skutecznego obiegu pism nie może się obejść bez szczegółowego zidentyfikowania odbiorców poszczególnych dokumentów, co jest standardem w większości organizacji. Nawet gdy proces wdrażania dokumentacji zgodnej z RODO się zakończy, powinna ona być na bieżąco weryfikowana pod względem zmieniającego się otoczenia prawnego i biznesowego oraz udoskonalana w zależności od potrzeb.

Jak widać z powyższej analizy, RODO nie zawsze będzie oznaczać rewolucję u danego administratora danych. Świadome i odpowiedzialne wykorzystanie istniejącej dokumentacji pozwoli łatwiej przygotować się do zmian i uniknąć wprowadzania naraz zbyt wielu zmian w organizacji. Warto jednak pamiętać, że pod przepisami RODO już nie wystarczy sztampowa polityka bezpieczeństwa czy instrukcja zarządzania systemami informatycznymi – niedopasowana do danej organizacji i nieodpowiadająca na ryzyka związane z przetwarzaniem danych osobowych. Ustalenie, jaka powinna być treść dokumentów zgodnych z RODO, wymaga przeprowadzenia przez administratora danych analiz ryzyka. Dokumentację należy zatem przygotowywać z uwzględnieniem zidentyfikowanego ryzyka.

Materiał przygotowali specjaliści z RODOConsulting.pl

Tagi: adres IP, Bezpieczeństwo, dane osobowe, GIODO, pliki cookie, prawo, RODO, Unia Europejska, UODO