+48 17 307 07 66
Blog

Najważniejsze zmiany wprowadzone przez RODO

28 maja 2018

RODO wprowadziło niemal rewolucyjne zmiany w ochronie danych osobowych. O czym powinien wiedzieć każdy przedsiębiorca, by gromadzić i przetwarzać dane zgodnie z nowymi przepisami? Jakie środki bezpieczeństwa należy zastosować w celu zminimalizowania ryzyka rozpowszechnia danych i kiedy zgłaszać naruszenia do organu nadzorczego?

Ochrona danych osobowych a RODO

Wejście w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) wprowadziło między innymi szereg obowiązków dla przedsiębiorców, których działalność związana jest z przetwarzaniem danych, dodatkowo wprowadza nowe rodzaje odpowiedzialności w tym także sankcje finansowe dla tych, którzy nie przestrzegają postanowień Rozporządzenia.

Wydawać by się mogło, że przepisy RODO mają zastosowanie wobec wszystkich, którzy mają jakąkolwiek styczność z przetwarzaniem danych, jednakże RODO wyszczególnia podmioty, które nie są zobowiązane do ochrony danych, np. przepisów rozporządzenia nie stosuje się do działalności organów zapobiegających przestępczości, prowadzących postępowanie przygotowawcze, lub których działania skierowane są na ochronę bezpieczeństwa publicznego.

Kolejno z zakresu obowiązywania przepisów RODO możemy wyłączyć taką działalność, która związana jest z przetwarzaniem danych, np. przez instytucje dyplomatyczne bądź instytucje unijne.

Na koniec należy wspomnieć także o prywatnej działalności osób fizycznych, u których przetwarzanie danych nie jest związane z działalnością zawodową lub handlową – również taka prywatna forma przetwarzania danych nie będzie podlegała przepisom RODO.

Obowiązki administratora danych

Rozporządzenie wprowadza katalog praw podmiotów danych osobowych. Chyba jednym z najważniejszych obowiązków administratorów danych jest informowanie osoby, której dane są przetwarzane, o tym fakcie. Na żądanie osoby zainteresowanej przedsiębiorca zobowiązany jest udzielić szczegółowych informacji w zakresie kategorii przetwarzanych danych, takich jak imię nazwisko, wiek, miejsce zamieszkania, oraz informacji przez jaki czas takie dane będą przetwarzane.

Dodatkowo podmiot zobowiązany jest do informowania o możliwości ich zmiany, usunięcia lub ograniczenia przetwarzania, a także informacji o możliwości wniesienia skargi do odpowiedniego organu nadzorczego, w przypadkach dopuszczenia się naruszeń z zakresu ochrony danych. W Polsce taką funkcję pełni Generalny Inspektor Danych Osobowych (GIODO), a od 25 maja 2018 r. będzie to Prezes Urzędu Ochrony Danych Osobowych (PUODO).

Inspektor Ochrony Danych

Na podstawie RODO wprowadzona zostanie nowa instytucja IOD (swoisty „następca” Administratora Bezpieczeństwa Informacji), odpowiedzialna za bezpieczeństwo danych osobowych. Do Inspektora będzie także należało między innymi zgłaszanie naruszeń związanych z nieodpowiednią ochroną danych przedsiębiorstwa. Funkcja IOD ulegnie zmianie w porównaniu do Administratora Bezpieczeństwa Informacji (ABI), który pełni swoją funkcję do czasu wejścia w życie Rozporządzenia. Jednakże w dalszym ciągu głównym zadaniem Inspektora będzie wspieranie administratorów i podmiotów przetwarzających dane w realizacji ich obowiązków.

Zadaniem przedsiębiorców będzie sprawdzenie, w jakich sytuacjach wyznaczenie Inspektora jest koniecznością, a ponadto, w wypadku stwierdzenia obowiązku wyznaczenia IOD, odpowiednie wyselekcjonowanie osoby posiadającej kwalifikacje, wiedzę praktyczną i teoretyczną w zakresie ochrony danych.

Obowiązek prowadzenia rejestru czynności przetwarzania

RODO wprowadza obowiązek stworzenia i utrzymywania rejestru czynności przetwarzania danych osobowych oraz wszystkich kategorii czynności przetwarzania danych realizowanych w imieniu administratora danych. Rejestry powinny zawierać podstawowe informacje dotyczące administratorów danych, takie jak imię, nazwisko oraz dane kontaktowe, ponadto powinny określać sposoby przetwarzania danych, kategorie osób, których dane dotyczą oraz kategorie danych, jakie podlegają przetwarzaniu, a także kategorie podmiotów, którym dane zostały ujawnione, bądź mogą zostać ujawnione w tym podmiotów w państwach trzecich oraz organizacji międzynarodowych.

Warto zaznaczyć że rejestry powinny zawierać opisy środków technicznych które zostały użyte w celu zminimalizowania ryzyka oraz ochrony danych, zarówno rejestr czynności przetwarzania danych osobowych oraz wszystkich kategorii czynności przetwarzania danych realizowanych w imieniu administratora danych powinny być prowadzone w formie pisemnej, w tym elektronicznej.

Środki bezpieczeństwa

Na podmiocie przetwarzającym dane ciąży obowiązek wprowadzenia odpowiednich środków w celu zminimalizowania ryzyka rozpowszechnia danych osób, które przetwarza. Zazwyczaj wiąże się to z zastosowaniem odpowiednich środków organizacyjnych oraz technicznych. Możemy do nich zaliczyć: wprowadzenie odpowiednich zabezpieczeń w postaci hasła, a także anonimizacji, pseudonimizacji i szyfrowania danych osobowych.

Zgłaszanie naruszeń do organu nadzorczego

Obowiązek notyfikacji naruszeń obejmuje wszelkie te zdarzenia, które z dużym prawdopodobieństwem mogły by spowodować naruszenie praw i wolności osób, których dotyczą. Przed wejściem w życie RODO, podmioty przetwarzające dane nie miały obowiązku zgłaszania incydentów bezpieczeństwa do organów nadzorczych. Od wejścia w życie RODO podmiot przetwarzający dane ma obowiązek w ciągu 72 godzin zgłosić do odpowiedniego organu nadzorującego fakt wykrycia naruszenia. W zgłoszeniu powinny pojawić się informacje dotyczące tego, w jaki sposób przypuszczalnie mogło dojść do naruszenia, jego charakter oraz kategorie osób i danych, których dane dotyczą. Dodatkowo należy wskazać konsekwencje, jakie mogą być skutkiem zaistnienia naruszenia oraz środki jakie do tej pory zostały podjęte w celu zminimalizowania ewentualnych skutków i ich przyszłych następstw.

Ocena skutków ochrony danych

Wprowadzenie w przedsiębiorstwie odpowiednich zabezpieczeń technicznych będzie wiązało się z obowiązkiem dokonania analizy, czy wprowadzone nowe technologie ze względu na ich zakres, charakter oraz cele, nie będą mogły spowodować naruszeń ochrony danych. Obowiązkiem podmiotu przetwarzającego dane będzie w konsekwencji ocena skutków ochrony danych oraz podjęcie takich działań, których celem będzie możliwie najskuteczniejsza ochrona przetwarzanych danych. Już w fazie projektowania, należy uwzględniać wprowadzenie odpowiednich zabezpieczeń, zarówno podczas określania sposobów przetwarzania, jak i w czasie ich przetwarzania.

Odpowiedzialność osób przetwarzających dane

W wypadkach nieprzestrzegania podstawowych postanowień wprowadzonych Rozporządzeniem, podmioty przetwarzające dane osobowe będą ponosiły odpowiedzialność. Nawet w przypadkach, kiedy przetwarzanie danych zostanie powierzone firmie zewnętrznej bądź zostanie powołany IOD, nie zwalnia to z odpowiedzialności głównego administratora danych. Przykładowo – jeśli podmiot zewnętrzny nie wywiąże się z obowiązków odpowiedniego zabezpieczenia danych firmy, to i tak administrator będzie ponosił pełną odpowiedzialność. W wypadkach niezastosowania się bądź nieprawidłowego zastosowania do przepisów Rozporządzenia, stosowane będą sankcje, w tym finansowe, których wysokość będzie proporcjonalna do skali naruszeń.

 

Prawnicy Kancelarii TMH udzielają niezbędnych porad prawnych przedsiębiorcom przy wdrażaniu postanowień RODO, przeprowadzają audyty i szkolenia dla pracowników firm w zakresie przepisów o ochronie danych, jak również sporządzają szczegółowe analizy oceny ryzyka. Kancelaria prawna TMH świadczy usługę kompleksowych wdrożeń dla przedsiębiorców z zakresu przepisów RODO.

 

Aneta Kamińska – prawnik Kancelarii TMH