Rozporządzenie o Ochronie Danych Osobowych (RODO) – jak przygotować się na nadchodzące zmiany?
Już w maju 2018 roku każde przedsiębiorstwo i instytucja będzie musiało dostosować się do unijnego rozporządzenia General Data Protection Regulation (GDPR) w Polsce znanego jako Rozporządzenie o Ochronie Danych Osobowych (RODO). Nowe prawo diametralnie zmienia podejście do ochrony i przetwarzania danych osobowych. Z jednej strony zmiana jest konieczna, bo poprzednie prawo regulujące te zagadnienia pochodzi z 1995 roku i w żaden sposób nie przystaje do dzisiejszych czasów i bardzo dynamicznego rozwoju Internetu. Z drugiej strony jest to również rewolucja dla firm i instytucji, które przetwarzają dane osobowe i korzystają z nich. Na przygotowanie się do zmian został niecały rok, a to oznacza, że najwyższy czas podjąć starania, aby poznać nowe przepisy, zrozumieć je i wdrożyć w swojej firmie. Jak najlepiej przygotować się na nadchodzące zmiany? Warto w tym względzie skorzystać z pomocy fachowców.
Świadomość RODO – nie jest dobrze
Według raportu firmy Dell, które opublikowano w czerwcu 2017 roku, czyli na niecały rok do obowiązku stosowania się do nowych przepisów przepisów, ponad 80% przebadanych przedstawicieli polskich firm nie wie nic lub ma szczątkową wiedzę na temat nowego prawa dotyczącego ochrony danych osobowych. Zaledwie 3% przebadanych deklaruje, że ich firmy mają stosowny plan wprowadzenia RODO (GDPR). Dane są bardzo niepokojące – zwłaszcza dlatego, że nowa regulacja zakłada, że za nieprzestrzeganie przepisów grozić będą wysokie kary – maksymalnie 20 milionów euro lub 4% światowego obrotu z poprzedniego roku. Dla wielu przedsiębiorstw będzie to z pewnością motywacja do rozpoczęcia w pewnym punkcie przygotowań. Pytanie tylko, czy nie rozpoczną się one za późno i zostaną wdrożone z należytą starannością?
Jakie zmiany w przetwarzaniu danych osobowych wprowadza RODO (GDPR)
Rozporządzenie o Ochronie Danych Osobowych to obszerny dokument. Sama preambuła to aż 173 argumenty motywujące za wprowadzeniem nowego prawa. Przepisy zawierają się w 99 artykułach, które podzielono na XI rozdziałów. W dużym skrócie można jednak powiedzieć, że przepisy dają nowe uprawnienia organom kontrolnym – mogą one bezpośrednio nakładać wspomniane już wcześniej kary. Nowe prawa i przywileje nabywają również właściciele danych osobowych. Będą mogli przede wszystkim „zostać zapomnianymi”, czyli zażądać, aby ich dane osobowe zostały całkowicie wykasowane z rejestru. Poza tym zyskają prawo do wglądu w swoje dane, którymi dysponuje dany podmiot, a także zażyczyć sobie przeniesienia ich na rzecz innego.
To dopiero wierzchołek góry lodowej zmian, bo prawdziwa rewolucja czeka firmy i przedsiębiorstwa. Jednym z podstawowych kwestii to przeprowadzenie audytu wszystkich posiadanych danych osobowych oraz powołane lub wskazanie Inspektora Danych Osobowych, który w danej jednostce będzie odpowiedzialny za przestrzeganie procedur związanych z RODO.
Zmiany będą dotyczyły również odpowiedzialności związanej z ochroną danych osobowych. Po rozpoczęciu obowiązywania nowych przepisów pełną odpowiedzialność za to będzie ponosiła firma lub instytucja, która przetwarza dane, a nie ta, która jest ich dysponentem. Co więcej – w razie dostrzeżenia jakichkolwiek uchybień związanych z przetwarzaniem danych osobowych osoba lub instytucja, która je odkryje będzie zobowiązana do poinformowania odpowiednich organów. Brak takiego działania może nieść za sobą poważne konsekwencje. Duże zmiany czekają również wszystkie firmy, które zajmują się przetwarzaniem i analizą danych – nowe przepisy regulują również taką działalność. Chodzi przede wszystkim o to, że osoba, której dane będą analizowane będzie musiała być tego świadoma i wyrazić na to zgodę. W innym wypadku taka działalność będzie obarczona sankcjami.
Na koniec warto również wspomnieć o to, że GDPR jest prawem unijnym i będzie obowiązywać we wszystkich krajach członkowskich, ale stara się zabezpieczyć dane obywateli również poza granicami wspólnoty. Między innymi w ten sposób, że utrudnia (choć można powiedzieć również, że wprowadza dodatkowe zabezpieczenia) transferowanie danych poza granice Unii.
Jak przygotować się na RODO?
Wymienione wyżej zmiany to tylko założenia nowych przepisów. Aby móc z nich korzystać i się do nich dostosować trzeba poznać je w szczegółach. Jak zrobić to na niecały rok przed ich wejściem w życie? Wiele instytucji doradczych zauważyło taką potrzebę wśród firm oraz instytucji i zaczyna oferować dla nich pomoc. Przykładem może być propozycja Ernst&Young, czyli jednej z największych firm konsultingowych na świecie. Można o niej przeczytać tutaj: http://www.ey.com/pl/pl/services/tax/law/rodo-ochrona-danych-osobowych. Liczyć można między innymi na pomoc w opracowaniu programu zapewniającego zgodność z RODO, a także na ocenę ryzyka wynikającego z działalności danego przedsiębiorstwa lub instytucji. Na pomoc mogą też liczyć podmioty, które chcą transferować dane poza granice Unii Europejskiej – jak już było wspomniane, po 25 maja 2018 roku będzie to obwarowane licznymi restrykcjami. Oczekiwać pomocy mogą również firmy, które będą chciały doraźnie doprecyzować pewne kwestie lub uzyskać wsparcie merytoryczne.
Przetwarzanie danych osobowych na nowo – zmiany uciążliwe, ale konieczne
Nikt nie ma wątpliwości, że wprowadzenie nowych przepisów było koniecznością. Poprzednie – z połowy lat 90. – w żaden sposób nie przystawały do współczesnych czasów, nieodpowiednio zabezpieczały obywateli i nie dawały jasnych wytycznych dotyczących tego, kto odpowiada za przechowywanie i przetwarzanie danych osobowych. Konieczność zmian nie oznacza jednak, że są one łatwe w implementacji. To duże wyzwanie dla firm i instytucji, ale również okazja na zyskanie przewagi – te podmioty, które lepiej przygotują się na nadchodzące zmiany mogą dzięki temu być o krok przed konkurencją.