Nowe obowiązki dla przedsiębiorców
25 maja 2018 roku wchodzą w życie regulacje prawne, dotyczące ochrony danych osobowych. Są one oparte o Rozporządzenie Parlamentu Europejskiego i Rady UE z 27 kwietnia 2016, czyli ,,RODO”, zwane także „GDPR” lub „Ogólnym Rozporządzeniem o Ochronie Danych”, to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Brak dostosowania się do nowych regulacji może skończyć się bardzo przykrymi konsekwencjami, bowiem urząd może nałożyć karę finansową w wysokości do 10 000 000 EUR lub do 2% rocznego globalnego obrotu.
Wyróźniamy kilka pojęć, używanych przy omawianiu tego rozporządzenia:
ADO - Administrator Danych Osobowych - jest nim najczęściej przedsiębiorca, który pozyskał i przetwarza dane osobowe w celu świadzenia jakiejś usługi.
ABI - Administrator Bezpieczeństwa Informacji - pracownik lub zewnętrzna firma dbająca o właściwe zapezpieczenie danych w firmie. Przed wejściem w życie tego rozporządzenia nie było obowiązku powoływania administratora bezpieczeństwa informacji (ABI), a unijne rozporządzenie to zmienia. Jednocześnie od maja 2018 ABI nazywany jest Inspektorem Ochrony Danych.
IOD (DPO) - Inspektor Ochrony Danych - jego zadaniem jest należyte zabezpieczenie danych osobowych, a także analiza ryzyka związanego z wyciekiem tych danych poprzez niepowołane osoby lub stosowanie niedostatecznych zabezpieczeń. DPO powinien doradzać administratorowi danych/podmiotowi przetwarzającemu, jaki audyt lub jakie szkolenie personelu należy przeprowadzić, a także jakie środki należy przedsięwziąć, aby zapewnić właściwy poziom bezpieczeństwa.
Incydent ODO - jednym z nowych obowiązków przedsiębiorcy jest powiadomienie urzędu o wycieku danych wrażliwych. W momencie, w którym sami przyznajemy się do popełnionego błędu, możemy liczyć na łagodniejsze potraktowanie przez GIODO. Może także zaistnieć potrzeba informowania o wycieku także osób, których dane wypłynęły.
Nowe rozporządzenie reguluje kwestie dotyczące ochrony danych osobowych osób przebywających na terenie Unii Europejskiej, zasad ich przechowywania, zabezpieczania, udostępniania i usuwania. Nie określa jednach ścisłych reguł, w jaki sposób ta ochrona ma być realizowana. Każda firma musi uwzględnić specyfikę swojej branży i w zależności od tego wdrożyć odpowiednie procedury. Istnieje jednak kilka zasad, które każdy administrator danych osobowych musi przestrzegać:
- Każda firma, przetwarzająca dane osobowe, musi udowodnić, że otrzymała zgodę na ich przetwarzanie, poprzez podpisanie stosownego oświadczenia, lub też zaznaczenie opcji w formularzu elektronicznym (domyślne zaznaczenie zgody nie jest dopuszczalne). Zakres przetwarzania tych danych dotyczy tylko tych działań, na które klient pierwotnie wyraził zgodę.
- Każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących, na każde żądanie (np. lista dat, rozmów telefonicznych, adresów IP - wszystko, co było gromadzone).
- Każda osoba fizyczna powinna mieć prawo do sprostowania danych osobowych jej dotyczących oraz prawo do „bycia zapomnianym”, wyjątek stanowią tutaj obowiązki rozliczeniowe - nie możemy skasować danych osobowych np. z rejestru faktur.
Jakie obowiązki obejmą przedsiębiorców po wejściu nowego prawa:
- Prowadzenie rejestru przetwarzania danych osobowych - obowiązek zgłaszania do RODO informacji o zbiorach danych osobowych, okreslający zakres przetwarzanych danych, a także informację o administratorze (ADI) i współadministratorze (IOD).
- Administrator zbierający dane osobowe będzie zobowiązany udzielić informacji na temat danych kontaktowych do IOD, a także określić, z czego wynika prośba o podanie danych (np. przepisy ustawowe, treść umowy lub warunek konieczny do jej zawarcia). Nowym obowiązkiem jest podanie informacji o użyciu profilowania, czyli algorytmów podejmujących decyzje w sposób zautomatyzowany.
- Konieczność powołania Inspektora Ochrony Danych Osobowych, informującego RODO o zakresie przetwarzanych danych, a także przeprowadzającego audyty w zakresie ich ochrony.
- Wprowadzenie rozwiązań umożliwiających udostępnienie danej osobie na żądanie wszelkich zgromadzonych informacji na jej temat, w ciągu miesiąca od żądania.
- Wdrożenie procedur umożliwiających realizację prawa do zapomnienia.
- Ochrona danych na etapie projektowania - zbieramy tylko te dane, które są niezbędne, już na etapie projektowania dbamy o możliwość realizacji nowych obowiązków ochrony danych.
- Opracowanie procedur i dokumentów związanych ze zgłaszaniem naruszeń w zakresie ochrony danych (konieczność zgłoszenia wycw ciągu 72 godzin), zgód na przetwarzanie danych, odpowiednich klauzuli podawanych użytkownikom podczas podpisywania umów, upoważnień dla pracowników do przetwarzania danych osobowych itd.
- Od każdego nowego kontrahenta, klienta czy pracownika, powinniśmy uzyskać zgodę na przetwarzanie danych osobowych. Na tym oświadczenu powinien być jasno określony cel przetwarzania tych danych i dane administratora.
- Konieczność rejestracji zgód na przetwarzanie i na profilowanie danych osobowych.
- Zabezpieczenie zbiorów danych osobowych poprzez: stosowanie oprogramowania zabezpieczającego, ograniczenie dostępu do danych za pomocą haseł i kont użytkowników z odpowiednio ustawionymi uprawnieniami. W przypadku dokumentów papierowych zamykanie ich w specjalnych pomieszczeniach lub szafach.
Pełny tekst rozporządzenia można znaleźć na stronie:
http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016R0679...