Zmiany w przepisach o ochronie danych osobowych

O tym, że czekają nas bardzo istotne zmiany prawne w zakresie ochrony danych osobowych, słyszał już niemal każdy. W mediach pojawia się coraz więcej informacji dotyczących tzw. RODO, czyli Rozporządzenia Parlamentu Europejskiego i Rady, które weszło w życie w 2016 roku, ale zacznie obowiązywać od 25 maja 2018 roku. Po tej dacie cały proces przetwarzania danych osobowych będzie musiał odpowiadać wszystkim wymogom RODO, bez względu na to, w jakiej branży działa dany podmiot. Każdy powinien zatem odpowiedzieć sobie na pytanie: jakie zmiany musi wdrożyć w swojej organizacji, aby przygotować się do stosowania nowych przepisów i uniknąć kar finansowych? Te będą szczególnie dotkliwe – RODO przewiduje możliwość nałożenia kary do 4% rocznego światowego obrotu z poprzedniego roku obrotowego danego podmiotu lub do 20 milionów euro! Widmo kar pieniężnych powinno odpowiednio zmotywować każdego administratora danych do uporządkowania tego obszaru swojej działalności i dostosowania go do wymogów RODO.

Z uwagi na zakres zmian i ryzyko odpowiedzialności, wdrażania przepisów RODO nie powinniśmy zostawiać na ostatnią chwilę. Co zatem zrobić, aby skutecznie przygotować się do stosowania RODO? Poniżej zamieszczamy kilka praktycznych wskazówek.

1. Sprawdź, czy Twoje klauzule zgód odpowiadają wymogom RODO

Jeżeli po 25 maja 2018 roku chcesz dalej przetwarzać dane osobowe swoich klientów na podstawie wyrażonych przez nich zgód, upewnij się, czy aktualna treść klauzul oraz sposób ich wyrażania odpowiada wymogom RODO. Jeżeli nie, wprowadź odpowiednie zmiany już teraz i zadbaj o to, aby dane w Twojej bazie były zbierane na podstawie klauzul odpowiadających nowym przepisom.

Pamiętaj, że zgodnie z RODO:

– jeżeli odbierasz zgodę w treści pisemnej umowy lub regulaminu, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii,

– z treści klauzuli musi jasno wynikać, dla jakich celów dane mają być wykorzystywane,

– klauzula zgody musi być sformułowana jasnym, prostym językiem,

– profilowanie danych (zautomatyzowane przetwarzanie danych osobowych, polegające na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej) wymaga odebrania wyraźnej zgody osoby, której dane dotyczą.

2. Dostosuj klauzule informacyjne do przepisów RODO

Przepisy RODO znacznie rozszerzają zakres obowiązku informacyjnego, który powinien zostać spełniony względem każdej osoby znajdującej się w bazie przedsiębiorstwa. Dotychczas obowiązkowe klauzule informacyjne, które znamy chociażby ze standardowych polityk prywatności, obejmowały dość wąski zakres informacji, tj. nazwę i adres siedziby administratora, określenie celu przetwarzania danych, określenie odbiorców, którym dane są udostępniane, informację o obowiązkowym lub dobrowolnym charakterze zbierania danych oraz wzmiankę o niektórych przysługujących uprawnieniach (prawo dostępu do treści danych oraz ich poprawiania).

RODO nakłada dodatkowe obowiązki informacyjne, dotyczące w szczególności:

– okresu przechowywania danych osobowych lub kryteriów ustalania jego długości,

– informacji o prawie cofnięcia zgody na przetwarzanie danych osobowych,

– informacji o prawie sprzeciwu wobec przetwarzania danych oraz prawie do ich przenoszenia,

– informacji o prawie wniesienia skargi do GIODO,

– informacji o ewentualnym profilowaniu danych,

– danych kontaktowych do Inspektora Ochrony Danych, o ile został powołany.

W konsekwencji od 25 maja 2018 roku każdy administrator danych powinien stosować nowe polityki prywatności oraz nowe klauzule informacyjne w umowach, regulaminach czy formularzach.

3. Zaktualizuj swoją dokumentację wewnętrzną i procedury pod kątem nowych przepisów

Wszelkie procedury dotyczące przetwarzania danych osobowych, które funkcjonują w Twojej organizacji, powinny zostać uaktualnione i dostosowane do przepisów nowego rozporządzenia. Należy uświadomić pracownikom, że RODO wymusza pewne zmiany procesowe i już teraz niezbędne jest rozpoczęcie ich wprowadzania.

4. Sprawdź, czy musisz powołać Inspektora Ochrony Danych (IOD)

Inspektor Ochrony Danych jest na gruncie RODO odpowiednikiem obecnego Administratora Bezpieczeństwa Informacji (ABI), a więc konkretnej osoby fizycznej, która ma za zadanie nadzorować procesy przetwarzania danych osobowych w organizacji. Obecnie powołanie takiej osoby nie jest obligatoryjne. Zgodnie z RODO do powołania Inspektora Ochrony Danych zobowiązane będą:

– organy i podmioty publiczne (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości),

– podmioty, których główna działalność polega na operacjach przetwarzania na dużą skalę, ze względu na swój charakter, zakres lub cele wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą (np. podmioty przetwarzające dane do celów reklamy behawioralnej przez wyszukiwarki),

– podmioty, których główna działalność polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych (m.in. danych o stanie zdrowia, orientacji seksualnej, przekonaniach religijnych lub światopoglądowych). Takimi podmiotami są np. szpitale oraz inne placówki medyczne.

5. Sprawdź, czy musisz prowadzić rejestr czynności przetwarzania

Od 25 maja 2018 roku administratorzy danych będą zobowiązani do prowadzenia w formie pisemnej (papierowej lub elektronicznej) tzw. rejestru czynności przetwarzania. Jest to nowość w porównaniu z dotychczasową ustawą o ochronie danych osobowych. Rejestr ten będzie musiał obejmować informacje dotyczące m.in. celu przetwarzania danych, kategorii danych osobowych, kategorii odbiorców danych oraz technicznych i organizacyjnych środków zabezpieczenia danych.

Powyższy obowiązek nie będzie dotyczył jedynie tych podmiotów, które:

zatrudniają mniej niż 250 osób i jednocześnie
przetwarzanie przez nie danych osobowych ma charakter sporadyczny, nie powoduje ryzyka naruszenia praw i wolności osób, których dane dotyczą oraz nie obejmuje wcześniej wspomnianych danych wrażliwych.

6. Zapewnij szkolenie swoim pracownikom – ich szybka reakcja pozwoli na realizację obowiązku zgłaszania do GIODO incydentów bezpieczeństwa danych osobowych w wymaganym terminie

Od 25 maja 2018 roku każdy administrator danych będzie zobowiązany do zgłaszania do GIODO (Generalnego inspektora Ochrony Danych Osobowych) wszystkich przypadków naruszeń ochrony danych osobowych. Zgłoszenie będzie musiało być dokonane bez zbędnej zwłoki, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia. Obowiązek ten nie będzie dotyczył wyłącznie tych incydentów, co do których jest mało prawdopodobne, że skutkują one ryzykiem naruszenia praw lub wolności osób fizycznych.

Trudno wyobrazić sobie możliwość prawidłowej realizacji powyższego obowiązku w organizacji, w której pracownicy nie zostali właściwie przeszkoleni w zakresie ochrony danych osobowych. Tylko odpowiednio uświadomieni pracownicy będą bowiem w stanie zidentyfikować incydent bezpieczeństwa i poinformować kierownictwo na tyle szybko, aby umożliwić zgłoszenie go do GIODO w wymaganym terminie 72 godzin.

7. Przygotuj aneksy do umów powierzenia przetwarzania danych osobowych

Przepisy RODO – w porównaniu do tych zawartych w obecnej ustawie o ochronie danych osobowych – zawierają bardziej obszerną regulację dotyczącą umów powierzenia przetwarzania danych osobowych. Wymagają m.in., aby umowa powierzenia określała nie tylko cel i zakres powierzonego przetwarzania, lecz również rodzaj danych, kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora. W praktyce oznacza to konieczność aneksowania wszystkich obecnie funkcjonujących umów powierzenia przetwarzania danych (np. z biurem księgowym, firmą informatyczną, podmiotem świadczącym usługi hostingowe) – tak, aby ich treść odpowiadała nowym wymogom RODO.

Jeżeli z podmiotami, którym zlecamy przetwarzanie danych osobowych w naszym imieniu, nie mamy jeszcze zawartych umów powierzenia, okres przejściowy przed obowiązywaniem RODO to ostatni moment na naprawienie tych braków. Nowe przepisy przypisują bowiem tym zagadnieniom wielką wagę.

8. Jeszcze większy nacisk połóż na techniczne i organizacyjne środki zabezpieczenia danych osobowych

Po 25 maja 2018 roku konsekwencje związane z wyciekiem danych będą bardzo dotkliwe. Oprócz wprowadzenia wysokich kar finansowych RODO przewiduje także obowiązek zgłaszania incydentów bezpieczeństwa do GIODO, a w niektórych przypadkach nawet obowiązek bezpośredniego poinformowania o nim osób, których dane wyciekły. Jeżeli weźmiemy pod uwagę jeszcze łatwiejszy niż dotychczas sposób dochodzenia roszczeń przez osoby, których dane osobowe nie były w należyty sposób chronione , to nasuwa się tylko jeden wniosek – wdrożenie odpowiednich środków ochrony danych (takich jak np. monitoring wizyjny, oprogramowanie antywirusowe, firewall) w ciągu najbliższych kilkunastu miesięcy powinno być priorytetem dla każdego administratora danych.