RODO jest adresowane do każdego przedsiębiorstwa, któremu udostępnione będą dane osobowe. Reforma jest oddaniem kontroli nad danymi obywatelom UE. Obywatel unijny ma mieć pewność, m.in. poprzez drakońskie kary, że jego dane będą chronione. RODO będzie stosowane we wszystkich krajach UE od 25 maja 2018 r. Tekst można znaleźć w Dzienniku Urzędowym Unii Europejskiej L z 2016 r. nr 119, str. 1.
RODO - nowe przepisy
W związku ze zbliżającym się dniem wejścia w życie RODO, wśród właścicieli małych i średnich firm pojawiają się liczne pytania oraz wątpliwości co do zakresu obowiązywania ich nowych przepisów. Przepisy RODO wprowadzają wiele zmian w podejściu do ochrony danych osobowych, m.in.: konieczność uwzględnienia ochrony danych osobowych już w fazie projektowania rozwiązań informatycznych, obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, obowiązek przeprowadzania analizy skutków działań przedsiębiorcy pod kątem ochrony danych osobowych, obowiązek zawiadamiania organu nadzoru o naruszeniu zasad ochrony danych osobowych.
Przepisy RODO będą obowiązywały wszystkich przedsiębiorców, którzy w ramach swojej działalności gospodarczej w jakikolwiek sposób przetwarzają (czyli również zapisują) dane osobowe (m.in. imię i nazwisko, NIP, adres e-mail itp.) osób fizycznych (np. swoich klientów), bez względu na to, czy zatrudniają pracowników, czy nie. Przykładowo przedsiębiorca prowadzący jednoosobowe biuro księgowe, w ramach którego rozlicza innych jednoosobowych przedsiębiorców, będzie zobligowany do zastosowania przepisów RODO, ponieważ biuro księgowe przetwarza dane osobowe swoich klientów (przedsiębiorców, których rozlicza), ale również dane osobowe kontrahentów swoich klientów (dane osobowe zawarte na fakturach klientów). Może to być działalność w jakiejkolwiek formie prawnej: spółka, jednoosobowa działalność gospodarcza czy nawet oddział w UE przedsiębiorcy mającego siedzibę poza Unią, przy czym bez znaczenia pozostaje narodowość osób, których dane osobowe są przetwarzane oraz fakt, gdzie znajdują się serwery.
Czynności podlegające RODO
Czynności podlegające RODO to przetwarzanie danych osobowych polegające na zbieraniu, przechowywaniu, usuwaniu, opracowywaniu i udostępnianiu danych. Administratorem danych jest X prowadzący jednoosobową działalność gospodarczą, spółka z o.o., a nie jej prezes zarządu czy dyrektor marketingu. Rejestr czynności nie musi być prowadzony przez przedsiębiorców zatrudniających mniej niż 250 osób, chyba że: przetwarzanie może naruszać prawa lub wolności osób, których dane dotyczą, obejmuje ono szczególne kategorie danych lub dane dotyczące wyroków skazujących, nie ma ono charakteru sporadycznego.
RODO nie narzuca żadnych konkretnych wytycznych odnośnie do procedur, które ma zastosować firma dla ochrony danych. Ochrona może być zapewniona poprzez różne środki, dobrane odpowiednio do profilu prowadzonej działalności. Zadaniem przedsiębiorcy będzie opracowanie całościowego modelu ochrony danych odpowiadającego sytuacji na rynku oraz profilowi ich działalności. Weryfikacja, czy zastosowano właściwe procedury i należycie zabezpieczono interes konsumenta, następuje w toku realizacji tych założeń. Zgodnie z wymogami RODO firmy będą musiały przekazywać klientom bardzo szczegółowe informacje o przetworzeniu ich danych osobowych i prosić o zgodę na ich wykorzystanie w kontekście konkretnego procesu biznesowego. Każda zgoda na przetwarzanie danych powinna charakteryzować się następującymi cechami:
-
dobrowolność,
-
konkretność,
-
świadomość,
-
jednoznaczność.
W świetle RODO zgoda może mieć formę nie tylko oświadczenia, lecz także wyraźnego działania potwierdzającego. Formy wyrażenia zgody to pisemne, elektroniczne lub ustne oświadczenie. Bardzo ważne jest to, iż wprost wskazano, że milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny być interpretowane jako zgoda. Osobie wyrażającej zgodę należy przekazać dane, tj. tożsamość administratora, jego dane kontaktowe i zamierzone cele przetwarzania, planowany okres ich przechowywania. Należy również poinformować o prawie do żądania od administratora dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych. Jeżeli przetwarzanie odbywa się na podstawie zgody - należy poinformować o prawie do cofnięcia zgody w dowolnym czasie oraz prawie wniesienia skargi do organu nadzorczego (te rozbudowane obowiązki informacyjne mają zostać wyłączone w stosunku do przedsiębiorców zatrudniających mniej niż 250 osób, przetwarzających dane osobowe niezbędne do wykorzystywania działalności gospodarczej, w szczególności w celu zawierania umów i prowadzenia rachunkowości). Dzięki temu zgoda nie ma charakteru abstrakcyjnego. Jak wynika z nowych przepisów, możliwe będzie odbieranie jednej zgody na przetwarzanie danych osobowych w kilku różnych celach. Obowiązki informacyjne w przypadku zgody na przetwarzanie danych osobowych przybierają postać tzw. klauzuli zgody na przetwarzanie danych. Nie jest ona wymagana np. gdy przetwarzanie danych jest niezbędne do wykonania umowy (wysyłkowa sprzedaż książek przez internet - przetwarzanie danych będzie zgodne z RODO jako niezbędne do wykonania umowy sprzedaży), gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np. prowadzenie ksiąg rachunkowych nie wymaga zgody) lub gdy przetwarzanie jest niezbędne do realizacji prawnie uzasadnionego interesu administratora danych lub osoby trzeciej (np. skierowanie do sądu pozwu o zapłatę przeciwko nieuczciwemu klientowi nie wymaga jego zgody na przetwarzanie danych).
Uwaga! Wymagana jest zgoda w przypadku przesyłania informacji handlowej za pomocą środków komunikacji elektronicznej (reklam) czy też wykorzystania telekomunikacyjnych urządzeń końcowych w celu marketingu bezpośredniego (np. SMS o treści reklamowej). Profilowanie zawsze wymaga poinformowania o tym osób, których ten proces dotyczy, np. osób wybranych automatycznie poprzez aktywność na danej stronie internetowej. |
Jednym z największych wyzwań będzie tzw. prawo do bycia zapomnianym, które oznacza, że dane osób, które sobie tego zażyczą, przy spełnieniu jednej z przesłanek (m.in. dane osobowe nie są już niezbędne do celów, w których zostały zebrane, zgłoszenia sprzeciwu, cofnięcia zgody, naruszenia prawa) muszą zostać w całości usunięte z systemów administratora. Dotyczy to także kopii, linków, odniesień i dokumentacji papierowej, na przykład wydruków czy skanów dokumentów. Jeżeli wcześniej te dane zostały udostępnione albo trafiły do internetu, administrator musi się upewnić, że wszystkie ich kopie i linki zostały skasowane i usunięte, nawet jeżeli są już w posiadaniu innych podmiotów. RODO zapewnia również prawo do przenoszenia danych. Może ono być wykonane tylko w przypadku gdy: przetwarzanie danych odbywa się na podstawie zgody lub w celu wykonania umowy oraz gdy odbywa się to w sposób zautomatyzowany, nie obejmuje tradycyjnych, papierowych zbiorów danych.
Ważne! W działalności większości przedsiębiorców dochodzi do powierzenia przetwarzania danych osobowych (np. korzystanie z usług biura księgowego, korzystanie z usług serwisu zapewniającego usługi poczty elektronicznej). Podmiot przetwarzający dane osobowe na zlecenie powinien zawrzeć z administratorem danych odpowiednią umowę powierzenia (w formie pisemnej lub elektronicznej), w której określone zostaną zasady przetwarzania danych. Należy wybrać podmiot posiadający certyfikat. Certyfikaty wydawane będą w celu zaświadczenia o zgodności przetwarzania danych przez certyfikowany podmiot. |
W każdym przedsiębiorstwie należy ustalić zasady bezpieczeństwa:
BEZPIECZEŃSTWO OSOBOWO-ORGANIZACYJNE
-
ustalenie procedur bezpieczeństwa w firmie i ich przestrzeganie,
-
obowiązek prowadzenia rejestru czynności przetwarzania danych,
-
właściwe przeszkolenie pracowników,
-
system kontroli wewnętrznej, raportowanie wycieków danych.
BEZPIECZEŃSTWO INFORMATYCZNE
-
bezpieczeństwo i nadzór systemów informatycznych w firmie oraz kontrola dostępu do newralgicznych danych,
-
monitoring zabezpieczeń.
BEZPIECZEŃSTWO FIZYCZNE
-
zabezpieczenie pomieszczeń,
-
zabezpieczenie dokumentacji papierowej,
-
kontrola dostępu do pomieszczeń.
Sama już ocena, czy dobrano je właściwie, należy do pracownika urzędu ochrony danych. Z pewnością zalecane jest odpowiednie przeszkolenie pracowników i ich wyczulenie, aby ostrożnie obchodzili się z danymi, jakie otrzymują czy udostępniają. Dla wielu firm rozwiązaniem może być migracja danych do chmury. W przypadku naruszenia danych osobowych, na przykład w wyniku ataku hakerskiego, firma będzie musiała niezwłocznie zgłosić ten fakt do generalnego inspektora ochrony danych osobowych, w sytuacji przypadkowego lub niezgodnego z prawem zniszczenia lub utracenia, zmodyfikowania danych osobowych, nieuprawnionego ujawnienia, nieuprawnionego dostępu do danych osobowych przesłanych, przechowywanych, przetwarzanych zachodzi obowiązek zgłaszania naruszeń ochrony danych. Będą na to tylko 72 godziny. Ten nowy obowiązek wymaga nie tylko identyfikowania zaistniałego naruszenia, lecz także przygotowania procedur reagowania na incydenty ochrony danych (obowiązki zgłaszania incydentów mają zostać wyłączone w stosunku do przedsiębiorców zatrudniających mniej niż 250 osób, przetwarzających dane osobowe niezbędne do wykorzystywania działalności gospodarczej, w szczególności w celu zawierania umów i prowadzenia rachunkowości).
Warto to zrobić, gdyż należy pamiętać, że za niedostosowanie się przez przedsiębiorstwo do ustawowych wskazań przewidziane są dolegliwe sankcje - do 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa. Będą one nakładane proporcjonalnie, w zależności od skali naruszenia przepisów.
RODO ma być neutralne technologicznie, elastyczne i dawać przedsiębiorcom większą swobodę działania, dlatego zawiera jedynie ogólne unormowania. Trzeba się do tej zmiany podejścia w ochronie danych osobowych przyzwyczaić i właściwie zorganizować procesy przetwarzania w swojej, nawet małej firmie.Renata Sobolewska