Pytanie z dnia 27 marca 2018
Pytanie: Ustawa RODO. Kogo ustawa RODO będzie dotyczyć i jakie należy przedsięwziąć kroki aby spełnić jej wymogi.
Od dnia 25 maja 2018 r. we wszystkich krajach członkowskich Unii Europejskiej wejdą w życie przepisy tzw. RODO czyli Rozporządzenie o Ochronie Danych Osobowych (Rozporządzenie Parlamentu Europejskiego i Rady UE (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej Rozporządzenie lub RODO).
Powyższe Rozporządzenie wprowadza zmiany w zakresie obowiązków ochrony danych osobowych zarówno w instytucjach publicznych jak i przedsiębiorstwach prywatnych. Po wejściu w życie ww. Rozporządzenia przedsiębiorcy będą zobowiązani do wprowadzenia systemu cyberbezpieczeństwa czyli do wdrożenia odpowiednich rozwiązań IT celem zapewnienia skutecznej ochrony danych osobowych.
Zgodnie z art. 2 Rozporządzenia ma ono zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
Rozporządzenie RODO będzie dotyczyć tak naprawdę wszystkich firm, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Mogą to być zarówno duże korporacje jak i niewielkie przedsiębiorstwa. Zgodnie z art. 5 rozporządzenia zasady dotyczące przetwarzania danych osobowych zostały określone następująco. Dane osobowe muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
Wskazać należy, że wdrożenie nowych regulacji przez przedsiębiorców będzie wymagało kreatywności. Same przepisy niestety nie tłumaczą punkt po punkcie, co należy zrobić. Dlatego też metody zabezpieczania i przetwarzania danych osobowych każdy przedsiębiorca będzie musiał wybrać i dostosować indywidualnie do charakteru swojego przedsiębiorstwa.
Pamiętaj, że przed 25 maja 2018 r. musisz dokonać weryfikacji i ustalić zakres podmiotowy i rzeczowy danych osobowych, które chcesz przetwarzać w zakresie nowej ustawy i rozporządzenia. Pamiętaj, że przetwarzanie to operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Wobec powyższego każdy przedsiębiorca powinien przede wszystkim pamiętać o dokonaniu podziału osób, których dane osobowe przetwarza na odpowiednie grupy i w związku z tym stworzyć bazy danych z podziałem ze względu na zakres i termin ich przetwarzania. Klientom/kontrahentom przysługuje bowiem prawo żądania od administratora danych trwałego usunięcia danych z systemu np. gdy dane nie są już potrzebne do celu przetwarzania jak np. przy umowie gwarancji, która obowiązuje przez określony czas np. roku czy dwóch lat
Ponadto przedsiębiorca powinien zweryfikować czy zbiory danych osobowych czyli katalogi klientów/kontrahentów są właściwie zabezpieczone właściwymi programami. W szczególności zwrócić należy uwagę na to jakie dane są obecnie przetwarzane. Jeżeli są to dane wrażliwe np. przy prowadzeniu apteki, czy gabinetu lekarskiego, niezbędne jest powołanie odrębnego inspektora ochrony danych osobowych w miejsce obecnego administratora bezpieczeństwa informacji.
RODO wymienia przykładowe środki w zakresie zapewnienia bezpieczeństwa przetwarzania danych osobowych, zgodnie z art. 32 Rozporządzenia są to:
- pseudonimizacja i szyfrowanie danych osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Pamiętaj, że o tym jakie konkretnie rozwiązania powinny zostać wprowadzone dot. zabezpieczeń powinny zadecydować szczegółowe analizy RODO, których ustalenia i wnioski będą różne dla każdego przedsiębiorcy.
Pamiętaj ponadto, że jeżeli nie wprowadziłeś już zmodyfikowanego dostosowanego regulaminu do nowych regulacji, to należy go dostosować lub przygotować nowy. Koniczne jest również sprawdzenie do kogo trafiają dane klientów i dokonanie analizy zawartych umów pod kątem zgodności z RODO, na mocy których następuje powierzenie przetwarzania danych osobowych. Może okazać się, że konieczna będzie całkowita zmiana lub aneksowanie dokumentów tak, aby były one zgodne z Rozporządzeniem.
Ważną również kwestią jest to aby przeszkolić pracowników, którzy będą mieć dostęp do zbioru danych osobowych, mogli je przetwarzać lub będą mieć kontakt z klientami. Pracownicy powinni również zostać przeszkoleni pod względem udzielania informacji klientom w zakresie pozyskiwania, przetwarzania i zabezpieczenia ich danych osobowych w Twojej firmie.
Jeżeli do tej pory nie zarejestrowałeś swojej bazy danych to zrób to jak najszybciej i uzyskaj certyfikację. W nowej ustawie o ochronie danych osobowych dostosowanej do ww. Rozporządzenia uregulowana jest akredytacja podmiotów certyfikowanych oraz warunki i tryb udzielania certyfikacji. Podmiotem certyfikowanym jest podmiot, który ubiega się o uprawnienie do certyfikacji w zakresie ochrony danych osobowych czyli spełnienia określonych wymagań dot. ochrony ww. danych. Należy również sprawdzić czy programy, którymi posługują się przedsiębiorcy są certyfikowane oraz czy firmy, z którymi współpracują mają uzyskane certyfikacje. Rejestracji zbiorów danych osobowych można dokonać na stronie https://www.biznes.gov.pl., natomiast informację jak wypełnić wniosek o rejestrację znajdziesz na stronie https://mikroporady.pl.
Pamiętaj, że klienci/kontrahenci powinni być świadomi tego, w jakim celu są przetwarzane i pozyskiwane jego dane osobowe, ponieważ muszą mieć możliwość nie wyrażenia na to zgody. Dlatego też należy przebudować formularze o odpowiednie treści odnoszące się do wyrażania zgody na różne czynności m.in. na takie działania marketingowe jak np. otrzymywanie newsletterów. Pamiętaj również o przygotowaniu specjalnego wystąpienia do klientów których dane posiadasz z prośbą o zgodę na przetwarzanie na nowych warunkach i uzyskaj ich zgody. Masz na to czas do 25 maja 2018 r.!
Zwrócić uwagę należy, że w nowej ustawie ochronie danych osobowych zostały również określone sankcje, kary, kontrole postępowania, nadzór, odpowiedzialność cywilna i postępowanie przed sądem. W przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu może zobowiązać przedsiębiorcę do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres przetwarzania. Jeżeli zostaną naruszone przepisy Rozporządzenia dot. naruszenia w wyniku przetwarzania danych osobowych lub poniesienia szkody majątkowej lub niemajątkowej w wyniku naruszenia Rozporządzenia będą miały zastosowanie przepisy Kodeksu cywilnego, a właściwy do rozpoznawania sporów będzie sąd okręgowy. Ponadto Prezes Urzędu będzie przeprowadzał kontrolę przestrzegania przepisów o ochronie danych osobowych, a w przypadku ich naruszenia i stwierdzenia, że doszło do naruszeń Prezes Urzędu będzie wszczynał postępowanie wobec przedsiębiorcy. Należy wówczas brać pod uwagę, że jeżeli dane osobowe będę przetwarzane pomimo braku uprawnień albo w przypadku ich niedopuszczalności, to przedsiębiorca będzie podlegał karze grzywny, karze ograniczenia wolności albo nawet pozbawienia wolności do lat dwóch.
Podkreślić należy, że w nowej ustawie o ochronie danych osobowych w miejsce Generalnego Inspektora Ochrony Danych Osobowych ma zostać powołany Prezes Urzędu Ochrony Danych Osobowych o szerokich kompetencjach takich jak np. przeprowadzanie niezapowiedzianych kontroli naruszenia zasad ochrony danych osobowych, przeprowadzanie kontroli planowanych czy możliwość korzystania z pomocy funkcjonariuszy innych organów kontroli państwowej lub Policji w toku przeprowadzanej kontroli. Ponadto pracownicy Biura Generalnego Inspektora Ochrony Danych Osobowych mają stać się pracownikami Urzędu Ochrony Danych Osobowych. Wskazać również należy, że ww. urząd będzie pomagał przedsiębiorcom odnaleźć kierunek, w jakim mają wprowadzać nowe rozwiązania dotyczące ochrony danych osobowych. Dlatego warto udać się do urzędu aby uzyskać szczegółowe informacje, co do tego jak zastosować się do nowo obowiązujących zmian. Między innymi na stronie Biuletynu Informacji Publicznej będą udostępnione takie informacje jak:
- standardowe klauzule umowne, o których mowa wart. 28 ust. 8 Rozporządzenia,
- zatwierdzone kodeksy postępowania, o których mowa wart. 40 Rozporządzenia, a także zmiany tych kodeksów;
- przyjęte standardowe klauzule ochrony danych, o których mowa wart. 46 ust. 2 lit d Rozporządzenia,
- rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.
Podstawa prawna:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Stan prawny na dzień: 27 marca 2018 r.