Opinie ekspertów

Reforma ochrony danych osobowych stała się faktem i można zacząć odliczanie do 25 maja 2018 r., bowiem do tego dnia każda spółka musi być compliance z nowymi regulacjami.

Krótko o RODO

14 kwietnia 2016 r. Parlament Europejski przyjął rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, czyli ogólne rozporządzeniem o ochronie danych osobowych, a potocznie nazywane RODO. Prace nad tym aktem prawnym trwały ponad 4 lata i dzisiaj możemy już mówić o reformie ochrony danych osobowych. RODO zostało opublikowane 4 maja 2016 r. i wchodzi w życie 20 dni po publikacji, co jednak nie znaczy, że będzie ono od razu bezpośrednio stosowane, ponieważ omawiany akt prawny przewiduje dwuletni okres dostosowawczy do nowych regulacji. Założeniem ogólnego rozporządzenia ochrony danych osobowych jest podniesienie poziomu ochrony, ujednolicenie zasad przetwarzania danych osobowych w Unii Europejskiej, a przede wszystkim wzrost znaczenia ochrony danych osobowych osób fizycznych w dobie intensywnego rozwoju nowych technologii. RODO jest obszernym aktem prawnym i mogłabym o zmianach sporo napisać, ale przecież nie o to chodzi, aby przejść przez poszczególne artykuły, toteż skoncentruję się na naprawdę ważkich zagadnieniach.

Istotne kwestie

RODO między innymi:

• przykłada dużą wagę do domyślnej ochrony danych osobowych (privacy by default), projektowania procesów przetwarzania danych osobowych (privacy by design), zarządzania ryzykiem naruszenia prywatności  i oceny skutków naruszenia prywatności (privacy impact assessment),
• zapewnia osobom, których dane są przetwarzane prawo większej kontroli poprzez m.in. rozszerzenie obowiązków informacyjnych,
• ogranicza możliwości przetwarzania danych o stanie zdrowia,
• dość restrykcyjnie reguluje warunki wyrażenia zgody na przetwarzanie danych osobowych,
• zabrania automatycznego profilowania (np. w celu wyświetlenia właściwej reklamy na stronie www użytkownika),
• zobowiązuje podmioty przetwarzające dane do zgłaszania naruszeń ochrony danych osobowych do organu nadzoru i do podmiotów danych, czyli osób, których dane naruszenie dotyczyło,
• przewiduje możliwość nakładania wysokich administracyjnych kar pieniężnych (do 20 mln EURO czy nawet w wysokości 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego).

Zmiany

Nie da się ukryć, że rozporządzenie o ochronie danych osobowych zmodyfikuje nasze podejście do systemu ochrony danych osobowych, choć procesy ochrony danych osobowych są już dość mocno zakorzenione i wkomponowane w naszą kulturę organizacyjną. Trzeba liczyć się z budowaniem nowej jakości ochrony danych osobowych w procesach biznesowych, w szczególności na etapie opracowywania i wprowadzania nowych produktów, usług czy technologii. Do tej pory obowiązujące regulacje wskazywały co i jak mamy robić, aby były spełnione przesłanki ochrony danych osobowych, teraz postawiony jest przed nami cel, który musimy zrealizować, ale nikt nam nie powie precyzyjnie jak go osiągnąć. Czeka nas lifting dokumentacji, modyfikacja procesów, może też zmiana systemów informatycznych.

Rewolucja czy ewolucja?

Idą zmiany, ale czy to będzie dla nas rewolucja? Instytucje finansowe od dawna zajmują się kwestią ochrony danych osobowych, opiniują pod tym kątem dokumentację produktową, realizują obowiązki informacyjne, konsultują umowy, a dzięki Solvency II uczą się analizy ryzyka i dlatego właśnie powiedziałabym, że przed nami ewolucja w ochronie danych osobowych, po prostu wyższy level. Całą branżę ubezpieczeniową czeka bardzo dużo pracy. Warto wspomnieć, że GIODO i PIU podpisali porozumienie o wspólnym działaniu na rzecz podnoszenia poziomu ochrony danych osobowych, zgodnie z którym PIU podejmie inicjatywę w celu stworzenia kodeksu postępowania w zakresie ochrony danych osobowych w działalności ubezpieczeniowej i reasekuracyjnej co może stanowić dla nas ułatwienie przy wdrażaniu RODO.

Monika Matuszewska
Departament Bezpieczeństwa