Nadchodzi RODO. Zapamiętaj ten dzień - 25 maja 2018 roku
Każdy przedsiębiorca, zarówno ten duży, jak i ten mały, powinien w swoim kalendarzu na czerwono zaznaczyć w 2018 roku jedną datę - 25 maja. W tym dniu wchodzi w życie zupełnie nowe unijne Rozporządzenie Ogólne o Ochronie Danych (w skrócie: RODO). Ten przepis wywraca do góry nogami dotychczasowy sposób myślenia na temat ochrony danych osobowych. Zmiana jest uciążliwa, ale ma swoje plusy.
Po 25 maja 2018 r. każdy przedsiębiorca, który nie dostosuje się do zmian, może zapłacić gigantyczną karę. Za nieprzestrzeganie RODO organy nadzoru będą mogły nakładać kary w trybie administracyjnym - kary finansowe mogą sięgać aż do 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Każdy przedsiębiorca powinien więc zacząć myśleć, jak dostosować się do zmian.
I jeszcze jedno! Powierzenie przetwarzania danych osobowych osobie trzeciej nie będzie zwalniało z odpowiedzialności administratora danych. Jeśli obsługę kadrowo--płacową zlecamy firmie zewnętrznej, a ta nie wywiąże się z obowiązków z zakresu RODO, to karę zapłacimy również my.
Widać więc, że przepisy RODO spowodują rewolucję w sferze ochrony danych osobowych. Rewolucję, która dotyczy wszystkich przedsiębiorców w UE. Zmiana zasad ochrony danych osobowych dotyczy każdego przedsiębiorcy gromadzącego dane osób fizycznych, niezależnie od tego, czy prowadzi tradycyjny biznes, czy też jego działania skupiają się na innowacyjnych usługach bądź produktach opartych na internecie - w tym także sprzedaży i działalności marketingowej. RODO swoim zakresem obejmuje również przedsiębiorców zatrudniających pracowników, których dane potrzebne do ich zatrudnienia przetwarzają, czyli np. producenta mebli zatrudniającego na linii produkcyjnej 200 osób, ale też mikroprzedsiębiorcę z branży budowlanej, który zatrudnia kilku pracowników na prowadzonych budowach.
Tak kończy się czas „ochrony danych” przez administratorów ochrony danych, polegającej wyłącznie na rejestracji zbiorów danych osobowych do Głównego Inspektora Ochrony Danych Osobowych, wydrukowaniu polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi. Takie działania na pewno były wygodne dla przedsiębiorców, którzy co do zasady wypełniali zadania stawiane im przez ustawę. Jednak twórcy przepisów uznali, że nie gwarantowały faktycznej ochrony danych osobowych, pozwalających na identyfikację konkretnej osoby w postaci imienia i nazwiska, danych o lokalizacji, identyfikatorów internetowych w postaci adresów poczty elektronicznej czy też numeru telefonu.
Od 25 maja 2018 r. każdy przedsiębiorca będzie musiał mieć procedury i systemy odpowiednie do profilu działalności i według nich postępować. Ochrona danych osobowych nie będzie sprowadzać się do podjęcia dokładnie sprecyzowanych ustawą czynności - każdy przedsiębiorca będzie miał za zadanie zaprojektować i stworzyć skuteczny system ochrony danych osobowych, adekwatny do zakresu prowadzonej działalności gospodarczej. Oznacza to nie mniej nie więcej, że w inny sposób działać będzie przedsiębiorca prowadzący salon samochodowy, w inny bank czy ubezpieczyciel, a w jeszcze inny sposób handlujący w internecie lub wykorzystujący sieć do rejestracji klientów swoich usług, czyli na przykład muzeum. Rozporządzenie wprowadza nowe podejście do ochrony danych osobowych - tzw. risk based approach, czyli podejście uwzględniające ryzyko. To znaczy, że do 25 maja 2018 r. przedsiębiorcy powinni dokonać analizy danych osobowych, jakimi dysponują (dane osobowe klientów i pracowników), celów, w jakich wykorzystują te dane, czynności, jakie podejmowane są w oparciu o te dane oraz procesów, w jakich przetwarzane są te dane osobowe. Po dokonaniu takiej wszechstronnej analizy przedsiębiorca zobowiązany będzie działać tak, by zminimalizować ryzyko związane z przetwarzaniem danych osobowych.
Jedną z nowości wprowadzanych przez RODO jest obowiązek leżący na przedsiębiorcach - administratorach danych - do zgłaszania w ciągu 72 godzin od wykrycia do właściwego organu nadzoru naruszeń, które mogą skutkować zagrożeniem praw i wolności osób fizycznych, których dane zostały naruszone. Takimi naruszeniami, które będzie trzeba raportować na gruncie RODO, będą między innymi kradzież lub sfałszowanie czyjejś tożsamości, utrata przez przedsiębiorcę kontroli nad danymi osobowymi, wyciek danych osobowych, nieuprawnione udostępnienie baz danych w inter-necie czy też naruszenie poufności danych osobowych chronionych tajemnicą zawodową. Za niezgłoszenie w terminie 72 godzin organowi nadzorczemu naruszenia będzie groziła kara administracyjna w wysokości do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym również w tym przypadku zastosowanie będzie miała kwota wyższa.
Nowością będzie też to, że każda osoba fizyczna będzie mogła wystąpić do jednego administratora danych, aby ten przekazał jego dane osobowe innemu przedsiębiorcy lub instytucji publicznej w formie pliku pdf. W praktyce takie rozwiązanie sprawdzi się np. w sytuacji, w której będziemy wnioskować o kredyt gotówkowy w instytucji pożyczkowej lub ubiegać się o ubezpieczenie samochodu w firmie ubezpieczeniowej. Odpadnie w takim przypadku konieczność wielokrotnego i żmudnego wypełniania formularzy zawierających dane osobowe. Obywatel będzie miał prawo poprosić przedsiębiorcę (bank A), który już otrzymał jego dane osobowe, aby przekazał je kolejnemu przedsiębiorcy (bank B), co stanowić będzie ułatwienie dla obywateli. Dla przedsiębiorców natomiast stanowi duże wyzwanie - podmiot, który przetwarza dane osobowe, będzie musiał posiadać techniczne możliwości wygenerowania pliku oraz przekazania go, natomiast podmiot otrzymujący plik z danymi osobowymi będzie musiał posiadać techniczne możliwości jego odczytu.
Kolejnym nowym uprawnieniem osób fizycznych będzie prawo do pełnej kontroli posiadanych przez przedsiębiorców ich danych osobowych oraz do żądania od przedsiębiorcy udzielenia wszelkich informacji na temat danych osobowych osobie, której te dane dotyczą. W przypadku złożenia zapytania przez tę osobę po stronie przedsiębiorcy będzie obowiązek udzielenia odpowiedzi na zadane pytanie w terminie miesiąca.
