Nowe obowiązki związane z gromadzeniem, przetwarzaniem i przechowywaniem danych osobowych będą dotyczyć wszystkich, nawet osób prowadzących jednoosobową działalność gospodarczą.
Od 25 maja 2018 roku w Polsce zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (potocznie zwane: „RODO”).
RODO przede wszystkim ma na celu ujednolicenie na obszarze całej Unii Europejskiej przepisów w zakresie ochrony danych osobowych przetwarzanych w związku z prowadzoną działalnością gospodarczą, ale nie tylko.
Co czeka przedsiębiorców od 25 maja 2018 roku?
Po pierwsze, nowe przepisy wprowadzają pojęcie „szczególne kategorie danych”, a ich zakres w porównaniu do danych wrażliwych zwiększył się o dane genetyczne i biometryczne.
Po drugie, nie będzie konieczności rejestracji zbiorów danych w GIODO, w zamian jednak przedsiębiorcy będą mieli obowiązek prowadzenia rejestru czynności przetwarzania.
Po trzecie, zmianie ulegnie formuła zgody na przetwarzanie danych. Wyrażenie zgody będzie musiało mieć charakter wyraźnego działania i być dobrowolne, konkretne, świadome i jednoznaczne. Już przy pozyskiwaniu danych administrator danych będzie zobligowany do podania informacji o celu przetwarzania danych, o odbiorcach danych osobowych, o wykorzystywaniu danych do profilowania, o prawie do żądania dostępu do danych osobowych, okresie przetwarzania, a także informacji o zamiarze przekazywania danych poza Unię Europejską.
Po czwarte, osoby, organizacje przetwarzające dane w imieniu administratora (procesorzy), będą zobowiązane do prowadzenia rejestru czynności, w niektórych przypadkach koniecznym będzie także powołanie Inspektora Ochrony Danych. Inspektor będzie zobowiązany do kontaktowania się z GIODO oraz uwzględniania zastrzeżeń i próśb osób, których dane są przetwarzane.
Po piąte, właściciele danych będą mieli większe uprawnienia do usunięcia danych (prawo do bycia zapomnianym) oraz ich przenoszenia. Co więcej ci, którzy uważają, że ich dane osobowe przetwarzane są niezgodnie z prawem będą mogli skorzystać ze skutecznego środka ochrony prawnej przed sądem.
Po szóste, w przypadku wycieku danych osobowych lub naruszenia ich ochrony, nowe przepisy wprowadzają obowiązek zawiadomienia o tym fakcie GIODO w ciągu 72 godzin od jego stwierdzenia, w niektórych sytuacjach trzeba będzie także powiadomić o tym poszkodowane osoby. Zwiększeniu ulegną również nakładane sankcje za uchybienia w ochronie danych osobowych, mogą one wynieść do 20 milionów euro lub do 4 % całkowitego światowego obrotu za rok poprzedni.
Jakie zmiany dotyczące dokumentacji ochrony danych osobowych wprowadza RODO?
Obecnie przedsiębiorcy byli zobowiązani do posiadania dokumentów dokładnie określonych w przepisach ustawy o ochronie danych osobowych i przepisach wykonawczych. Treść tych dokumentów była ściśle określona i jednakowa dla wszystkich administratorów danych. RODO natomiast nie wskazuje w zasadzie jakie dokumenty i o jakiej treści powinien posiadać przedsiębiorca. Tym samym przedsiębiorcy będą zmuszeni sami zadbać o sporządzenie odpowiedniej dokumentacji ochrony danych osobowych, której treść będzie uzależniona od oceny ryzyka przez administratorów danych, ponieważ dotychczasowe wymogi dotyczące tej dokumentacji utracą swoją ważność. RODO nie stawia bowiem wymagań co do treści prowadzonej przez przedsiębiorców dokumentacji, zastrzegając jedynie, że powinna ona spełniać założenia rozporządzenia, tj. poprawnej i adekwatnej do analizy ryzyka ochrony danych osobowych.
Czy zatem potrzebne są zmiany w obecnych dokumentach?
Jak najbardziej tak. I to nie tylko zmiany w dokumentach dotyczących ochrony danych osobowych (np. politykach bezpieczeństwa) ale również w umowach, zbieranych zgodach. Sporządzenie dokumentacji zgodnej z wymogami RODO będzie opierało się na dostosowaniu jej treści do sposobu przetwarzania i środków ochrony danych osobowych stosowanych u danego przedsiębiorcy. RODO nakłada wyraźny obowiązek regularnego testowania, mierzenia i oceniania wdrożonych środków technicznych i organizacyjnych, których celem jest zapewnienie bezpieczeństwa przetwarzania danych. Chodzi tutaj nie tylko o sporządzenie prawidłowo uargumentowanej dokumentacji, ale przede wszystkim o opracowanie, wdrożenie i udokumentowanie całego procesu przetwarzania danych, by w każdym przypadku móc udowodnić, że zastosowane środki zapewniają odpowiedni poziom bezpieczeństwa.
Innymi słowy, to na przedsiębiorcy będzie spoczywał obowiązek prawidłowego zdefiniowania ryzyka i wprowadzenia mechanizmów ochronnych, a w konsekwencji odpowiedzialność za wszelkie naruszenia.