25 maja 2018 wejdzie w życie nowe Rozporządzenie Parlamentu Europejskiego dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Wynikające z niego obowiązki będą miały ogromny wpływ na to, w jaki sposób będą procesowane i przetwarzane dane osobowe, tym samym oddziałując na wszystkie podmioty, które gromadzą i przetwarzają tego typu informacje.
Nowe rozporządzenie (RODO) ujednolica przepisy dotyczące danych osobowych we wszystkich krajach członkowskich. Obecnie obowiązująca dyrektywa powstała w połowie lat 90-tych, gdy wiele zjawisk i technologii istotnych dla ochrony danych osobowych jeszcze nie było znane. Ponadto każdy kraj UE wdrażał dyrektywę na swój własny sposób i pomimo zbliżonych rozwiązań ustawowych, dla firm prowadzących działalność w kilku państwach istniejące różnice, były przyczyną zwiększonych kosztów funkcjonowania. Planowane regulacje likwidują ten problem, jednocześnie nakładają na przedsiębiorstwa szereg obowiązków, wymuszając wdrożenie rozwiązań IT dostosowujących procesy gromadzenia i przetwarzania danych do nowych wymogów prawnych.
Jedną ze zmian wprowadzanych przez RODO jest zastąpienie administratora bezpieczeństwa informacji inspektorem ochrony danych oraz wprowadzenie obowiązku jego powołania w przypadkach gdy:
– przetwarzanie danych dokonywane jest przez podmiot administracji publicznej,
– główna działalność administratora danych lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter i zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą,
– główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (należą do nich m.in. dane o stanie zdrowia, dane genetyczne, dane biometryczne, poglądy polityczne, przekonania religijne).
Nowością jest obowiązek powołania inspektora również przez podmioty przetwarzające dane, jeśli chcą realizować zlecenia wymagające przetwarzania np. danych wrażliwych na dużą skalę. Ponadto firmy prowadzące tego typu usługi są zobowiązane do prowadzenia rejestru wszelkich kategorii czynności przetwarzania, dokonywanych w imieniu administratora danych.
Kolejną wprowadzoną nowością jest obowiązek dokonania uprzedniej oceny skutków przetwarzania danych osobowych, w sytuacji gdy charakter i zakres przetwarzania może powodować wysokie ryzyko naruszenia praw osób fizycznych. W praktyce oznacza to konieczność dokonania takiej oceny choćby przy wdrożeniach nowych technologii, czy projektowaniu nowych usług.
Nowe rozporządzenie mówi również o uwzględnianiu ochrony danych już na etapie projektowania, ponadto ma być ona domyślnie aktywna. Wiąże się to m.in. z ostrożniejszym podejściem do projektowania nowych produktów, w szczególności dotyczy to technologii IT. Za naruszenie obowiązku uwzględnienia ochrony danych osobowych w fazie projektowania i ustanowienia mechanizmów ochrony domyślnej rozporządzenie wprowadza administracyjną karę pieniężną w wysokości do 2% całkowitego rocznego obrotu przedsiębiorstwa, lub do 10 mln EUR w przypadku organów administracji.
Nowe przepisy dają konsumentom szereg uprawnień, jednocześnie stanowiąc duże wyzwanie dla firm. Już teraz warto dokonać audytu infrastruktury IT i sprawdzić czy systemy zapewniają odpowiednie bezpieczeństwo dla procesów przetwarzania danych osobowych i czy wszelkie dokumenty, formularze i aplikacje zawierają wymagane przepisami zapisy i klauzule.
Autor: Marcin Żmuda Trzebiatowski
