+48 17 307 07 66
Blog

Zmiany w ochronie danych osobowych – RODO

9 lutego 2018

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, powszechnie nazywane ogólnym rozporządzeniem o ochronie danych, w skrócie – RODO, zacznie obowiązywać od 25 maja 2018 roku i zastąpi dotychczasową ustawę o ochronie danych osobowych.

Wprowadza ono wiele istotnych zmian w zakresie ochrony danych osobowych osób fizycznych, które dotkną wszystkich przedsiębiorców, którzy w jakikolwiek sposób gromadzą i przetwarzają dane swoich pracowników, kontrahentów czy klientów. Mając na uwadze, że RODO znajdywać będzie zastosowanie niezależnie od wielkości przedsiębiorstwa, zarówno duże, jak i małe przedsiębiorstwa (spółki), a nawet osoby prowadzące jednoosobową działalność gospodarczą, powinny się przygotować do nowych wymagań. Im wcześniej zacznie się przygotowania, tym lepiej – czasu zostało już niewiele, a zakres zmian jest znaczny.

Najważniejsze zmiany

  1. RODO ustanawia obowiązek prowadzenia przez administratora danych osobowych lub podmioty przetwarzającej (tzw. procesorów) rejestru czynności przetwarzania danych osobowych. Dzięki niemu możliwa będzie szczegółowa analiza dotycząca tego, jakie dane są gromadzone oraz w jaki sposób są przetwarzane. Wymóg ten znajduje zastosowanie przede wszystkim do przedsiębiorców zatrudniający powyżej 250 pracowników. Jego aktualizacja nastąpi jednak także wtedy, gdy przetwarzanie danych osobowych wiąże się z ryzykiem naruszenia praw lub wolności osób, których dane dotyczą, lub obejmuje dane osobowe wrażliwe lub dane dotyczące wyroków skazujących i naruszeń prawa.
  2. Zmianie ulegną umowy powierzenia przetwarzania danych osobowych. W tym niemniej przypadku RODO wprowadza ułatwienia dla przedsiębiorców, ponieważ umowę taką będzie można zawrzeć elektronicznie. Od administratora wymaga się tu jednak uprzedniej weryfikacji podmiotu, z którego usług będzie korzystał, pod kątem zgodności jego działalności z nowymi zasadami ochrony danych osobowych.
  3. W szczególnych przypadkach administrator lub podmiot przetwarzający będą obowiązani wyznaczyć inspektora ochrony danych osobowych, którego funkcja odpowiada dotychczasowemu administratorowi bezpieczeństwa informacji. Osoba ta musi dysponować wiedzą ekspercką w zakresie ochrony danych osobowych.
  4. Na administratora nakłada się nowy obowiązek zgłaszania naruszeń ochrony danych osobowych. Od momentu wykrycia incydentu, który pociąga za sobą ryzyko naruszenia praw i swobód osób, których dotyczą dane, powinien on wciągu 72 godziny zawiadomić właściwy organ nadzoru, a w szczególnych sytuacjach – także osobę dotkniętą naruszeniem. Na administratorze zawsze ciąży jednocześnie obowiązek udokumentowania każdego naruszenia, w tym jego okoliczności, skutków oraz podjętych działań zaradczych.
  5. Istotne jest, by wprowadzić nowe formularze zgody przetwarzania danych osobowych lub zmodyfikować te już istniejące. Zgoda musi być uprzednia, wyraźna, dobrowolna, a przede wszystkim nie domyślna. Należy również pamiętać o tym, że wycofanie zgody na przetwarzanie danych osobowych musi być równie łatwe, jak jej wyrażenie.
  6. Należy również wspomnieć o wprowadzanych nowych uprawnieniach dla osób fizycznych, a przede wszystkim o „prawie do bycia zapomnianym”. Osoba, której dane dotyczą, może wystąpić o ich usunięcie z systemu i zaprzestanie ich przetwarzania, jeżeli nie są już niezbędne do celów, w których były zbierane. Osoby fizyczne uzyskują również uprawnienie do żądania przeniesienia swoich danych. Na wniosek takiej osoby administrator zobowiązany jest dostarczyć jej dane osobowe w ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie, a także przesłania ich innemu administratorowi.
  7. Dobra informacja dla osób fizycznych jest taka, że od 25 maja 2018 r. zniesione zostaną opłaty za skargę do organu nadzoru, którym zgodnie z projektem nowej ustawy o ochronie danych osobowych będzie Prezes Urzędu Ochrony Danych Osobowych. Przedsiębiorcy powinni się zatem spodziewać częstszych kontroli za strony organu nadzorczego.
  8. Rozporządzenie wprowadza także ograniczenia w zakresie profilowania. Uznaje je ono za przetwarzanie danych osobowych, do czego wymagana jest zgoda użytkownika przed rozpoczęciem zbierania danych, informowanie o profilowaniu oraz konieczność akceptacji braku zgody na profilowanie.

Wdrożenie przepisów

Sprawne wdrożenie przepisów RODO wymaga przeprowadzenie analizy własnego przedsiębiorstwa. Przede wszystkim należy się przyjrzeć procesom gromadzenia i przetwarzania danych osobowych oraz rozpatrzyć, jakie środki techniczne i organizacyjne zapewniać będą odpowiednie bezpieczeństwo. Konieczna jest tu zarazem analiza ryzyka. Należy zidentyfikować możliwe zagrożenia, ich prawdopodobieństwo oraz wypracować odpowiednie procedury zaradcze, pamiętając zarazem o sprawnym systemie wykrywania i zgłaszania naruszeń. Szczególnej analizy wymaga jednocześnie stosowana w przedsiębiorstwie/spółce dokumentacja ochrony danych osobowych, przede wszystkim formularze zgody oraz umowy o powierzenie przetwarzania danych osobowych, które dostosować należy nowych standardów.

Kary

RODO przewiduje możliwość nałożenia bardzo wysokich kar na przedsiębiorców, nawet do 20 milionów euro lub 4% obrotu przedsiębiorstwa z poprzedniego roku – w zależności, która kwota jest większa. Kara ma być jednak proporcjonalna do charakteru naruszenia, jego wagi czy czasu trwania naruszenia. Organ nadzorczy powinien także rozważyć, czy do incydentu doszło umyślnie czy nieumyślnie. Jeżeli naruszenie było niewielkie lub grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można natomiast poprzestać na udzieleniu upomnienia.

Podsumowanie

Ogólne rozporządzenie o ochronie danych wprowadza obowiązek, aby osoby przetwarzające dane osobowe uwzględniały prywatność już na etapie ich zbierania (privacy by design). Zrozumienie i wprowadzenie nowych przepisów we własnym przedsiębiorstwie wymaga dużej wiedzy oraz czasu. Prawnicy Kancelarii TMH prowadzą kompleksową obsługę przedsiębiorców przy wdrażaniu postanowień RODO oraz przeprowadzają szkolenia dla ich pracowników, a także dla innych osób, które chciałyby nabyć wiedzę na temat zmian w przepisach dotyczących ochrony danych osobowych. Każde szkolenie prowadzone przez Kancelarię TMH poprzedza audyt, w ramach którego prawnicy Kancelarii adwokackiej dokonują pogłębionej weryfikacji aktualnie stosowanych w przedsiębiorstwie rozwiązań z zakresu danych osobowych.

 

Julia Bonusiak – prawnik Kancelarii TMH