Rozporządzenie o Ochronie Danych Osobowych

Co prawda dopiero w dniu 25 maja 2018 r. we wszystkich krajach członkowskich Unii Europejskiej wejdą w życie przepisy tzw. RODO czyli Rozporządzenie o Ochronie Danych Osobowych 

Rozporządzenie Parlamentu Europejskiego i Rady UE (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Jednak jest to niewiele czasu na właściwe przygotowanie się, wprowadzenie obligatoryjnych systemów ochrony planu pracy i przygotowanie kosztów.

Rozporządzenie wprowadza zmiany w zakresie obowiązków ochrony danych osobowych zarówno w instytucjach publicznych jak i przedsiębiorstwach prywatnych.

Po wejściu w życie rozporządzenia przedsiębiorcy zobowiązani będą do wprowadzenia systemu cyberbezpieczeństwa- czyli wdrożenia odpowiednich rozwiązań IT celem zapewnienia skutecznej ochrony danych osobowych.

Wprowadzane Rozporządzenie ma na celu głównie zapewnić dostateczną ochronę danych osobowych. Ma także wzmocnić i doprecyzować prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu, jak również zapewnić równorzędne uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych w UE oraz równorzędne kary za naruszenia tych przepisów we wszystkich państwach członkowskich UE.

Rozporządzenie przyznaje nowe uprawnienia także GIODO w tym możliwość nakładania kar za naruszenia przepisów, które będą mogły stanowić nawet 20 000 000 euro lub 4% całkowitego rocznego globalnego (łącznego) obrotu karanego przedsiębiorcy z roku obrotowego, który poprzedza naruszenie.

Przede wszystkim rozporządzenie nakładać będzie na przedsiębiorców nowe obowiązki i to kosztowne związane z ochroną danych osobowych m.in.:

• dla zachowania zgodności z tym rozporządzeniem, administrator lub podmiot przetwarzający zobowiązani będą prowadzić rejestry czynności przetwarzania, za które będą odpowiedzialni.
• każdy administrator i każdy podmiot przetwarzający będzie miał obowiązek współpracować z organem nadzorczym i na jego żądanie udostępniać mu te rejestry w celu monitorowania tych operacji przetwarzania.
• w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z tym rozporządzeniem administrator lub podmiot przetwarzający zobowiązani będą do oszacowania ryzyka właściwego dla przetwarzania (w sposób udokumentowany) bądź jeżeli to oszacowanie wykaże potrzebę będą musieli wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko.
• podejmowane środki będą musiały zapewniać odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać aktualny (bieżący) stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie.
• oceniając ryzyko w zakresie bezpieczeństwa danych, będzie należało brać pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

Każdy przedsiębiorca zobowiązany będzie przed wejściem w życie Rozporządzenia upewnić się, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, tak by od razu móc stwierdzać naruszenia ochrony danych osobowych i szybko informować organ nadzorczy i osobę, której dane dotyczą. Po wejściu w życie rozporządzenia administrator danych osobowych będzie posiadał jedynie zgodnie z wymogiem rozporządzenia 72 godziny od chwili w której poweźmie informację o wycieku danych osobowych by zgłosić to odpowiednim organom nadzorczym. Ponadto informacja będzie także musiała uwzględniać określenie liczy oraz rodzaju ujawnionych danych, a to oznacza wysoki poziom monitoringu.

Dodatkowo przedsiębiorcy celem zwiększenia przejrzystości i poprawy przestrzegania Rozporządzenia, mają być zachęcani do ustanowienia mechanizmów certyfikacji oraz do wprowadzenia znaków jakości i oznaczeń w dziedzinie ochrony danych, pozwalając w ten sposób osobom, których dane dotyczą, szybko ocenić stopień ochrony danych, której podlegają stosowne produkty i usługi.

Rozporządzenie wprowadza także szereg zmian oraz rozszerza zakres obowiązków administratorów oraz podmiotów przetwarzających dane m.in. o rozszerzenie formuły zgody na przetwarzanie danych, rozszerzenie zakresu obowiązku informacyjnego, rejestru czynności przetwarzania, zmienienia definicji danych wrażliwych, uwzględnienie najnowszych osiągnięć technicznych oraz kosztów wdrożenia odpowiednich kosztów i procedur technicznych, oraz organizacyjnych w taki sposób aby przetwarzanie gwarantowało ochronę praw osoby, której dane są przetwarzane.

To wszystko powoduje, że tak naprawdę zostało niewiele czasu na dokonanie zmian w oprogramowaniach, regulaminach wewnętrznych, regulaminach bądź ogólnych warunkach sprzedaży lub świadczeniu usług o pracę, umów z kontrahentami na poszukiwanie pracowników i zmianę warunków sposobów dokonywania czynności i odpowiedzialności, a wreszcie dokonanie audytu i oszacowania ryzyka oraz wprowadzenia rejestrów.