Do 25 maja 2018 r. przedsiębiorcy mają czas na wdrożenie w życie zabezpieczeń i procedur przetwarzania danych osobowych spełniających wymogi RODO. W egzekwowaniu nowego prawa ma pomóc nie tylko zaostrzenie sankcji (w tym finansowych), ale również nowe środki kontroli i egzekwowania prawa.
Ochrona danych osobowych to gorący temat, który ze względu na postępującą informatyzację społeczeństwa oraz globalizację świadczenia usług nie traci na aktualności. Nie bez znaczenia jest również uchwalenie na poziomie UE nowych aktów regulujących tematykę ochrony danych osobowych, w tym Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (tzw. RODO/GDPR), które na terytorium całej UE będzie egzekwowane od dnia 25 maja 2018 r. W mediach można zaobserwować wzmożoną aktywność podmiotów z branży konsultingowej proponujących szereg warsztatów i usług związanych z przygotowaniem przedsiębiorców do nadchodzących zmian. Nie trudno też nie zauważyć działań pracowników Generalnego Inspektora Ochrony Danych Osobowych (dalej: GIODO), a ściślej coraz częstszego wykorzystywania przez nich prawa kontroli podmiotów przetwarzających dane osobowe. Czy jest się czego obawiać?
Dotychczas wielu przedsiębiorców kwestię ochrony danych osobowych traktowało z przymrużeniem oka. Powodów tego stanu rzeczy było kilka: mała skuteczność GIODO w egzekwowaniu obowiązujących przepisów, łagodny system sankcji, brak świadomości. Temat zdecydowanie nie jest jednak bagatelny, a nadchodzące zmiany przewidują zbyt dotkliwe sankcje, aby można było przejść obok nich obojętnie, co nie oznacza, że należy wpadać w panikę albo udawać, że nas to nie dotyczy lub, też dojść do wniosku, że do maja pozostało jeszcze wiele czasu. RODO nie trzeba się bać, do RODO jednak należy się właściwie przygotować. Co więcej, RODO to nie tylko jednorazowe podejście do problemu to (r)ewolucja całego systemu i podejścia do tematu.
OBOWIĄZKI USTAWOWE
Aktualnie stosowane w Polsce przepisy nakładają na każdego administratora danych osobowych (ADO) szereg obowiązków, które dla przeciętnego przedsiębiorcy są zbyt rozbudowane i niemożliwe do spełnienia – zarówno ze względów finansowych, jak i organizacyjnych. Właśnie dlatego RODO pomimo iż przesuwa ciężar podjęcia decyzji dotyczących właściwego poziomu ochrony danych osobowych na indywidualnych przedsiębiorców jest też dużo bardziej elastyczne i przyjazne dla małych i średnich przedsiębiorców oraz pozwala na dostosowywanie działań w zakresie ochrony przetwarzanych danych osobowych do zmieniającej się sytuacji finansowo-organizacyjnej przedsiębiorcy. Obecnie ADO musi prowadzić dokumentację opisującą sposób przetwarzania danych oraz zastosowane przez niego środki techniczne i organizacyjne. Szczegółowy sposób prowadzenia dokumentacji określają przepisy[1]. Na dokumentacją tą składają się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Za wyjątkiem sytuacji wskazanych ADO jest zobowiązany zgłosić wszystkie zbiory danych[1] osobowych do rejestracji. Nowo obowiązujące przepisy nie definiują wprost szeregu obowiązków, jednak wymagają, aby przedsiębiorca mając na uwadze rodzaj prowadzonej działalności (kategorie, ilość, sposób przetwarzanych danych osobowych) właściwie zabezpieczył przetwarzane dane, legalnie je przetwarzał oraz we właściwym czasie usunął, mając na uwadze przepisy i prawa osób, których dane zostały mu udostępnione.
RODO
Jak przygotować się do RODO? Na pewno należy działać, gdyż dostosowanie się do nowych realiów nie jest procesem ani szybkim ani łatwym i co do zasady będzie wymagało od przedsiębiorcy skorzystania z usług wyspecjalizowanych podmiotów – zarówno z branży prawniczej, jak i IT.
Pierwszym etapem przygotowania jest audyt stosowanych przez przedsiębiorcę rozwiązań, w tym legalność przetwarzania udostępnionych mu danych osobowych (dysponowanie stosownymi zgodami lub spełnianie innych przesłanek uzasadniających legalne ich przetwarzanie). Wymaga to także weryfikacji dotychczas stosowanych klauzul/formularzy/umów, w tym w zakresie świadczenia usług drogą elektroniczną, działalności marketingowej. Konieczne jest też przeprowadzenie kontroli poziomu zabezpieczenia przetwarzanych danych, także tych przetwarzanych za pomocą systemów informatycznych. Reforma ochrony danych osobowych ma na celu zagwarantowanie, że ADO w każdym czasie będzie w stanie wykazać, że dane osobowe gromadzone i przetwarzane są legalnie oraz usuwane, gdy odpadnie cel ich przetwarzania. Niemniej istotne jest dopełnienia stosownych obowiązków informacyjnych wobec osób, których dane osobowe są przetwarzane, a które uległy poszerzeniu wraz z wejściem w życie RODO. Dla niektórych przedsiębiorców powstanie też obowiązek wyznaczenia/zatrudnienia osób odpowiedzialnych za odpowiednią ochronę przetwarzanych przez nich danych.
SANKCJE
Weryfikacja i sankcjonowanie działań przedsiębiorców w obszarze przetwarzania przez nich danych osobowych możliwa jest lub będzie poprzez m.in.:
- możliwość kontrolowania przez inspektorów Państwowej Inspekcji Pracy w trakcie czynności kontrolnych w ramach uprawnień PIP;
- możliwość kontrolowania przez inspektorów GIODO/nowo powstałego organu;
- możliwość skierowania sprawy do sądu cywilnego przez osobę, której dane są przetwarzane roszczenia o odszkodowanie lub zadośćuczynienie za nielegalne przetwarzanie jej danych osobowych;
- ryzyko tzw. pozwów zbiorowych;
- aktualizację odpowiedzialności karnej;
W związku z powyższym tak ważne jest, aby przygotować zarządzany przez Państwa podmiot do nadchodzących zmian i być świadomym ciążących na Państwu obowiązków.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
[2] Rozporządzenie Ministra Spraw Wewnętrznych I Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.2004.100.1024).
[3] rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie (art. 7 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Dz.U.2016.922 j.t.)