RODO – rewolucyjne zmiany w ochronie danych osobowych

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych. Nowe rozporządzenie w tym zakresie zostało przyjęte przez Parlament Europejski oraz Radę Unii Europejskiej w kwietniu 2016 roku. Uaktualnione wytyczne dotyczą ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz ich przepływem. Celem przepisów RODO 2018 jest uzyskanie swobodnego przepływu danych osobowych pomiędzy państwami członkowskimi oraz ujednolicenie w tym względzie przepisów na terytorium całej Unii Europejskiej.

Od kiedy?

To unijne rozporządzenie o ochronie danych osobowych zacznie obowiązywać od 25 maja 2018 r. Od tego dnia przetwarzanie danych osobowych w firmach przejdzie prawdziwą rewolucję. Pojawią się nowe obowiązki, które dotkną zarówno agencje zatrudnienia jak i pracodawców.

Kogo dotyczy RODO?

Regulacje prawne RODO obejmują wszystkie kraje członkowskie Unii Europejskiej oraz poszerzają zakres stosowania przepisów RODO na przedsiębiorców z krajów unijnych działających poza granicami Unii Europejskiej. RODO dotyczy instytucji publicznych, korporacji, firmy z sektora MŚP oraz przedsiębiorstw jednoosobowych. Podsumowując – nowe przepisy i obowiązki obejmują w równym stopniu międzynarodowych gigantów oraz freelancerów.

Odpowiedzialność spoczywa na przedsiębiorcach?

Tak, ustawa rozszerza odpowiedzialność cywilną przedsiębiorców z tytułu ochrony danych, wprowadzając nowe i bardziej restrykcyjne sankcje za uchybienie obowiązkom ochrony danych osobowych. Rozporządzenie nie zawierało ich precyzyjnego, zamkniętego katalogu. Firmy zostały zmuszone, by wdrożyć odpowiednie środki zabezpieczające dane, ale nie dostały żadnych wytycznych, w jaki sposób ocenić, które ze środków zastosować. RODO zawiera jedynie lakoniczne stwierdzenie, że „uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku”.

Jakie zmiany?

Jedną z najważniejszych zmian jest zakaz udostępniania danych innemu podmiotowi, bez odpowiedniej podstawy prawnej. W praktyce oznacza to, że handel bazami danych może stać się bardzo niebezpieczny zarówno dla sprzedającego, jak i kupującego. Krótko mówiąc, jeśli osoby fizyczne nie wyrażą zgody na przekazanie, przechowywanie oraz przetwarzanie swoich danych w konkretnych celach, to podmiotom, które handlują danymi, grożą wysokie kary. Za łamanie lub brak stosowania przepisów RODO 2018 unijne przepisy mówią o karach rzędu 10 milionów, które w szczególnych przypadkach mogą wzrosnąć do 20 milionów Euro lub 4% rocznego obrotu firmy.

Należy pamiętać o tym, że dane osobowe można podzielić na tzw. dane osobowe zwykłe oraz dane osobowe zaliczające się do szczególnych kategorii danych osobowych tzw. dane wrażliwe. Zatem dane wrażliwe należą do kategorii danych objętych szczególną ochroną na gruncie RODO.

Do kategorii danych osobowych zwykłych zalicza się przede wszystkim: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy (art. 4 pkt. 1 RODO). Natomiast dane wrażliwe to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Dane wrażliwe jako szczególna kategoria danych osobowych, zostały określone w art. 9 ust. 1 RODO oraz w motywie 10 preambuły do RODO. Zasadą wyrażoną w RODO jest zakaz przetwarzania danych wrażliwych, jednakże zakaz ten nie ma zastosowania w szczególnych przypadkach, jeżeli zostaną spełnione odpowiednie warunki wyrażone w art. 9 ust. 2 RODO. Należy również zwrócić uwagę, że państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

10 kluczowych obowiązków RODO 2018

1. Zapewnienie danym osobowym (w formie dokumentacji elektronicznej i papierowej) maksymalnie wysokiego poziomu bezpieczeństwa, w tym:
   • weryfikacji każdego procesu, w którym pojawiają się dane osobowe oraz ustalenia podstawy ich przetwarzania;
   • wdrożenia zasady Privacy by Default, czyli wcielenie takich środków technicznych i organizacyjnych, które pozwolą na domyślne przetwarzanie tylko tych danych, które są niezbędne do określonego procesu.
2. Stworzenie wewnętrznej polityki ochrony danych osobowych, w tym, m.in.
   • opisu procedur przetwarzania danych osobowych;
   • opisu procedur przechowywania danych osobowych;
   • opisu – specyfikacji systemów ochrony danych;
   • opracowania klauzul informacyjnych dla osób, których dane są pozyskiwane.
   • Przedsiębiorstwa będą musiały również zweryfikować i ustalić maksymalny czas na przechowywanie poszczególnych rodzajów danych osobowych, ponieważ wg wytycznych RODO 2018 nie mogą one pozostawać w posiadaniu firmy dłużej niż jest to niezbędne dla realizacji konkretnego celu.
3. Wyznaczenie Inspektora Ochrony Danych (IOD).
   • RODO tworzy nową funkcję, odpowiedzialną za bezpieczeństwo danych osobowych, ale również za raportowanie naruszeń do organu nadzoru. Część zadań realizowanych przez IODO ulegnie zmianie w porównaniu do tych wykonywanych obecnie przez Administratora Bezpieczeństwa Informacji (ABI), przy czym IODO nadal będzie przede wszystkim wspierać administratorów i podmioty przetwarzające w wykonywaniu przez nich obowiązków.
4. Tworzenie umów z klauzulą zabezpieczającą dane szczególnie chronione (tzw. dane wrażliwe) w sytuacji ich przekazania osobom trzecim (w tym firmom, kontrahentom i instytucjom).
5. Pozyskiwanie wyraźnej zgody na przetwarzanie danych osobowych, w tym:
   • uzyskanie zgody na wykorzystanie danych w kontekście konkretnego procesu biznesowego, przekazywanie klientom szczegółowych informacji o przetworzeniu ich danych osobowych, umożliwienie wglądu w historię zmiany danych, informowanie o celu zbierania danych.
   • Jednocześnie należy pamiętać, że dane osobowe mogą być pozyskiwane tylko w konkretnych i prawnie uzasadnionych celach. Oznacza to, że nie można ich dalej przetwarzać w sposób, który byłby niezgodny z tymi celami. Należy udokumentować udzielenie zgody (czyli przechowywać informacje o tym, kto wyraził zgodę, kiedy to zrobił, w jakim zakresie oraz jakie informacje zostały mu przekazane przy okazji odbierania zgody).
6. Prawo do „bycia zapomnianym”, czyli bezwzględnego usunięcia danych osobowych na wyraźne życzenie osoby fizycznej lub prawnej.
7. Rozszerzenie definicji pojęcia danych osobowych, tak aby uwzględniała ona możliwości rozwoju technologicznego i pojawienie się nowych form identyfikacji, takich jak dane genetyczne czy biomedyczne.
8. Poszerzenie zakresu stosowania przepisów Rozporządzenia na przedsiębiorców działających poza granicami Unii Europejskiej.
9. Zgłaszanie naruszeń (organowi nadzorczemu, administratorowi danych) i powiadamiania podmiotu danych w ciągu 72 godzin od incydentu naruszającego bezpieczeństwo danych osobowych.
10. Prawo dostępu do danych, poprawiania ich, uzupełniania i przenoszenia między systemami.

Informacje dodatkowe

• RODO 2018 nie precyzuje zasad dot. przechowywania dokumentacji papierowej. Nie mniej przepisy mówią o maksymalnym zabezpieczeniu dokumentów oraz ich segregacji pod względem kategorii. W tym kontekście najlepiej w małych i dużych firmach sprawdzają się metalowe szafy na zamek.
• Wraz z wdrożeniem RODO zostanie również rozszerzone prawo sprzeciwu wobec przetwarzania danych, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych.

Niniejsze podsumowanie ma charakter ogólny. Stan prawny aktualny na dzień publikacji artykułu. W przypadku zainteresowania poszczególnymi zagadnieniami prosimy o kontakt.