RODO – 10 najważniejszych zmian

Ogólne rozporządzenie o ochronie danych osobowych  to duże wyzwanie dla firm i instytucji

Wchodzące w życie w maju 2018 roku regulacje obejmą tematykę ochrony danych osobowych, procedur ich przetwarzania oraz praw obywateli do zarządzania nimi. Powszechnie mówi się o prawnej rewolucji, na którą przygotować muszą się polscy przedsiębiorcy.

Poniżej prezentujemy 10 najważniejszych zmian spowodowanych wprowadzeniem RODO:

1. Prawo do bycia zapomnianym

Prawo obywatela w zakresie kontroli nad jego danymi osobowymi zostaje wzmocnione, poprzez oddanie do jego dyspozycji nowych regulacji pozwalających wymusić usunięcie (zapomnienie) informacji o nim z archiwów/systemów danego podmiotu. O ile podobny mechanizm funkcjonuje już dziś – jego zastosowanie w praktyce nie zawsze przynosiło pożądany efekt lub powoduje jakąkolwiek reakcję ze strony administratora danych.

Dodatkowo obywatel będzie mógł zażądać od operatora przeniesienia swoich danych osobowych lub uzyskania bezpośredniej możliwości wglądu, jak i modyfikacji gromadzonych danych. Konsumentów natomiast niewątpliwie ucieszy możliwość wyrażenia całkowitego sprzeciwu wykorzystywania ich danych do celów marketingowych i działań z zakresu sprzedaży bezpośredniej.

2. Zgodna na przetwarzanie danych

Akceptacja przez obywatela warunków i wyrażenie zgody na przetwarzanie jego danych ma mieć formę odrębną (nie stanowić części innych umów/regulaminów) oraz być sformułowana w sposób prosty, czytelny i zrozumiały.

Zgoda będzie wyrażana dla konkretnego podmiotu, co oznacza ukrócenie procederu wymiany i handlu bazami danych pomiędzy firmami bez jakiejkolwiek kontroli obywatela nad tym kto i w jakim celu gromadzi o nim informacje. Przetwarzanie danych bez spełnienia tego warunku będzie się wiązać z odpowiedzialnością karną.

3. Zgoda na profilowanie

Profilowanie jest procesem polegającym na automatycznym analizowaniu zachowań użytkownika, jego cech fizycznych i zdrowotnych itp. w celu optymalnego dopasowania do niego konkretnych rozwiązań i produktów. Najpowszechniejszym przejawem profilowania są reklamy internetowe, które gromadząc dane o odwiedzanych przez użytkownika witrynach tworzą profil jego zainteresowań i proponują w rezultacie konkretne, rzeczywiste produkty i usługi – co zwiększa skuteczność sprzedaży.

Po wejściu w życie RODO użytkownik będzie musiał wyrazić zgodę przed rozpoczęciem przez operatora procesu gromadzenia i analizy danych, co może uderzyć w sektor rynku zajmujący się analityką tzw. “Big Data”.

4. Inspektor Ochrony Danych Osobowych

Część podmiotów będzie musiała powołać do życia nowe stanowisko w postaci IODO.

Do jego zadań będzie należeć monitoring oraz kontrola sposobu i procesu przetwarzania danych w swoim podmiocie, jak również i dbanie o ich bezpieczeństwo. Inspektor będzie bezpośrednio odpowiedzialny za wykryte naruszenia w ramach procesu kontroli, jak również zobowiązany do szkolenia personelu oraz stałej pracy nad poprawą bezpieczeństwa zarządzanych przez niego informacji.

Wśród grupy zobowiązanych do jego powołania zalicza się:

  • podmioty publiczne (z wyjątkiem sądów),
  • główna działalność podmiotu polega na monitorowaniu osób na dużą skalę,
  • główna działalność podmiotu polega na przetwarzaniu danych osobowych na dżą skalę.

5. Obowiązek notyfikacyjny

Czyli 72 godziny na zgłoszenie naruszeń. Jeśli administrator danych w skutek prowadzonych działań wykryje naruszenia prawa lub stwierdzi luki mogące skutkować wyciekiem danych – musi on poinformować w ciągu 72 godzin właściwy jemu organ nadzorczy. Zapis ten ma istotne znaczenie w przypadku włamań do systemów teleinformatycznych i kradzieży olbrzymiej ilości, wrażliwych danych klientów – co stanowi realne zagrożenie i naruszenie ich praw.

W pewnych przypadkach administrator danych będzie musiał również poinformować użytkowników indywidualne o zaistniałym zdarzeniu.

6. Dokumentacja

RODO nakłada na operatorów danych osobowych dodatkowe obowiązki dokumentowania sposobu ich przetwarzanie.  Wśród nich muszą znaleźć się informacje o wyrażonych zgodach, powodach i celach gromadzenia, prowadzonych działaniach rozwojowych oraz wszelkich incydentach i naruszeniach w sferze bezpieczeństwa danych osobowych.

W praktyce ma to zapewnić pełną transparentność procesu przetwarzania.

7. Odpowiedzialność

Mówiąc o kwestiach bezpieczeństwa i obowiązkach prawnych, trudno pominąć temat kar za ich naruszenia. RODO wprowadza bezpośrednią odpowiedzialność przetwarzającego dane – a więc podmiotu wykonującego realne operacje (nawet na zlecenie osób/firm trzecich). Oznacza to, że dostawcy usług i systemów w chmurze ponosić będą dodatkowe ryzyko, choć jednocześnie można przewidywać, że część mneijszych podmiotów tym chętniej skorzysta z ich rozwiązań transferując tym samy (choć częściowo) ryzyko operacyjne na takiego operatora.

Za naruszenie prawa przewidziano kary finansowe sięgające od 2% do 4% całkowitego rocznego obrotu za poprzedni rok obrachunkowy.

8. Procedura oceny oddziaływania

Analiza tego typu będzie wykonywana obowiązkowo przed przeprowadzeniem dużych operacji na danych osobowych. W jej skład wejdzie proces audytu oraz konsultacji z organami ochrony danych.

Jej celem jest sprawdzenie, czy w konkretnym – indywidualnym przypadku, przetwarzanie danych odbędzie się w sposób bezpieczny. Jeśli analiza ryzyka wykaże luki i zagrożenia – będzie stanowić podstawę do wdrożenia programu naprawczego.Organ państwowy odpowiedzialny za ochronę danych osobowych będzie również mógł wystosowywać swoje własne zalecenia dla indywidualnych podmiotów i operatorów.

9. Transfer danych osobowych

Regulacja porusza również kwestię transferu danych osobowych poza granicę Unii Europejskiej. Istotą problemu jest zapewnienie wysokiego poziomu ich ochrony przy przeniesieniu danych do kraju, który nie posiada tak restrykcyjnego prawa chroniącego informacje o obywatelu.

Ma to również na celu uniknięcie sytuacji, gdy dane są przenoszone do swoistych “rajów” pozwalających na ich nieregulowane przetwarzanie. W zależności od indywidualnego przypadku, operator może być zmuszony do uzyskania zgodny na transfer danych od osoby, której on dotyczy. W skrajnych przypadkach zgodę na przeprowadzenie operacji transferu będzie musiał wydać GIODO.

10. Ułatwienia

RODO to nie tylko nowe obowiązki, lecz również pewne ułatwienia względem gromadzenia danych osobowych. Najistotniejszym elementem jest zniesienie obowiązkowego zgłaszania zbiorów danych osobowych oraz ich aktualizowania.

Od strony technicznej znikną również odgórne wymagania techniczne względem zabezpieczeń – dając operatorom pełną dowolność w opracowywaniu i wdrażaniu rozwiązań najlepiej dopasowanych do ich profilu działalności oraz typu bazy danych.

Equinum Broker