Przedsiębiorcom pozostało niespełna pół roku, by przygotować się do wdrożenia Ogólnego Rozporządzenia o Ochronie Danych – RODO. To bardzo ważna zmiana w przepisach, niosąca z sobą wiele korzyści dla społeczeństwa i firm, ale również stanowiąca istotne ryzyko biznesowe. Co trzeba wiedzieć o RODO?

Już 25 maja 2018 r. zacznie obowiązywać w Polsce Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.

Z uwagi na rozległy zakres wdrażanych przepisów, czas jaki pozostał na dostosowanie się do nowych regulacji, należy uznać za bardzo krótki. RODO ma dotyczyć wszystkich podmiotów (bez względu na skalę), które w związku z prowadzoną działalnością przetwarzają dane osobowe, w tym, co ważne, jednostki administracji publicznej.

Warto też dodać, że RODO ma na celu ujednolicenie na terenie całej UE przepisów określających zasady ochrony i przetwarzania danych osobowych, co w rezultacie ma m.in. ułatwić firmom prowadzenie działalności na wielu rynkach.

Potencjalne korzyści to jedna strona medalu. W przepisach bowiem przewidziano bardzo dotkliwe kary pieniężne za niedostosowanie się do RODO – w zależności od artykułu, do którego nie dostosuje się podmiot, mają one wynosić do 10 mln euro lub 2% rocznego (światowego) obrotu przedsiębiorstwa oraz do 20 mln euro lub 4% rocznego obrotu.

Co nowego wprowadza RODO?

Należy podkreślić, że RODO nie uchyla obecnie obowiązującej ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2015 r. poz. 2135, ze zm.). Rozporządzenie z pewnością uchyli niektóre zapisy tej ustawy lub spowoduje ich zmianę, natomiast sama ustawa będzie funkcjonować jako uzupełnienie regulacji RODO.

Poniżej, w wielkim skrócie wymieniamy najważniejsze, wybrane zmiany związane z RODO, o których powinien wiedzieć każdy podmiot przetwarzający dane osobowe:

1. Inspektor Danych Osobowych (IDO) – firmy przetwarzające dane osobowe, a w szczególności dane wrażliwe, i takie, których naruszenie może stanowić zagrożenie dla wolności osób fizycznych, będą zobowiązane powołać w organizacji funkcję Inspektora Danych Osobowych. Obowiązkiem IDO będzie nadzór nad polityką bezpieczeństwa danych w firmie oraz każdorazowe zgłaszanie do urzędu nadzorczego przypadków naruszeń danych.
2. Osobista odpowiedzialność przetwarzającego dane za każde naruszenie przepisów spocznie na kierownictwie podmiotu (dotyczy to zarówno przedsiębiorstw, jak i jednostek administracji). Co istotne, RODO wprowadza odpowiedzialność bezpośrednią dyrektora podmiotu, bez względu na to, czy i w jaki sposób w organizacji funkcjonuje IDO.
3. Konieczność rewizji danych osobowych, modelu ich przetwarzania i klauzul. W praktyce dostosowanie funkcjonujących w firmie procesów biznesowych do RODO oznacza przeprowadzenie audytu w zakresie sposobu przetwarzania danych, ich ochrony i udostępniania – po to, by skutecznie wdrożyć politykę i procedury bezpieczeństwa oraz by działać zgodnie z Rozporządzeniem. Ani RODO, ani nowelizowana ustawa o ochronie danych osobowych nie wprowadzają jednak precyzyjnych wytycznych, w jaki sposób organizacje mają zapewnić bezpieczeństwo danych. Odpowiedzialność za ten obszar w pełni spoczywa na kierownictwie podmiotów.
4. Obligatoryjny rejestr naruszeń i powiadamianie organów do 72 godzin – w ramach RODO podmioty przetwarzające dane będą zobowiązane prowadzić dokumentację wszystkich przypadków naruszeń ochrony danych osobowych z uwzględnieniem okoliczności, w jakich do nich doszło, skutków i działań zaradczych podjętych w wykazanych przypadkach. Dodatkowo, IDO będą zobowiązani informować stosowny organ nadzorczy o każdym przypadku naruszenia ochrony danych w terminie nie późniejszym niż 72 godziny od zdarzenia.
5. Prawo do bycia zapomnianym i inne prawa obywateli – RODO w znacznym stopniu poszerza uprawnienia obywateli, których dane są przetwarzane. Pierwszym z nich jest prawo do bycia zapomnianym, które polega na trwałym usunięciu danych osobowych wnoszącego ze wszystkich nośników. Dotyczy to danych pod wszelką postacią – cyfrowych i papierowych oraz wszystkich nośników wykorzystywanych w organizacji (w tym przenośnych pamięci, notatek itp.). Drugim uprawnieniem jest poszerzone prawo wglądu do przetwarzanych danych, w tym prawo do uzyskania kopii danych. Trzecim prawem jest możliwość żądania przeniesienia przetwarzanych danych do innego podmiotu. Czwartym – możliwość dochodzenia przed sądem odszkodowań za szkody spowodowane niewłaściwym przetwarzaniem danych.

Szeroki zakres RODO w połączeniu z ryzykiem odpowiedzialności powoduje bezwzględną konieczność szkoleń zarówno dla szefów firm i jednostek administracji państwowej. Szkolenia to jednak nie wszystko. Pozostało bardzo niewiele czasu na to, by skutecznie przygotować organizację, w której przetwarzane są dane osobowe, do nowych przepisów. Przygotowania takie obejmują bowiem przynajmniej audyt procesów i procedur, modernizację infrastruktury informatycznej, rekrutację, szkolenia pracowników, opracowanie zgodnej z przepisami polityki bezpieczeństwa.