Opinie ekspertów

RODO już obowiązuje. Co oznacza tajemniczy skrót?

Od 25 maja obowiązuje RODO, czyli unijne rozporządzenie o ochronie danych osobowych, które ujednolica zasady przetwarzania danych osobowych na terenie całej UE. Teraz każda osoba fizyczna, której dane są przetwarzane, może wystąpić o dostęp do nich, sprostować nieprawidłowe lub uzupełnić niekompletne dane, żądać ograniczenia ich przetwarzania lub przeniesienia do innego administratora, a nawet skorzystać z „prawa do bycia zapomnianym”.

RODO – co to jest?

Ogólne Rozporządzenie o Ochronie Danych Osobowych (ang. General Data Protection Regulation) z kwietnia 2016 r. wprowadza istotne zmiany w podejściu do ochrony danych osobowych stosowanym dotychczas przez europejskie przedsiębiorstwa, promując nowe, odpowiedzialnościowe podejście do ochrony prywatności. Od 25 maja każdy podmiot przetwarzający dane osobowe będzie miał obowiązek aktywnie zabiegać o ich ochronę na każdym etapie przetwarzania – w tym już na etapie projektowania nowych procesów czy systemów. W praktyce oznacza to m.in. opracowanie i prowadzenie dokumentacji przetwarzania danych, stałe monitorowanie naruszeń (takich jak wyciek danych), a także informowanie o naruszeniach organów nadzoru oraz – w określonych sytuacjach – osób, których one dotyczą.

Dla osób, których dane są przetwarzane: RODO to zwiększona kontrola nad swoimi danymi

RODO wprowadza też nowy, szerszy katalog praw dla wszystkich osób fizycznych, których dane są przetwarzane (nie tylko dla konsumentów, ale też dla osób fizycznych prowadzących działalność gospodarczą). W szczególności chodzi o prawo dostępu do danych, sprostowania nieprawidłowych lub uzupełnienia niekompletnych danych, przenoszenia danych do innego administratora wskazanego przez osobę występującą z takim żądaniem, a także prawo do „bycia zapomnianym”. Od maja każdy podmiot, który chce przetwarzać nasze dane, musi najpierw zapewnić posiadanie podstawy prawnej. W przypadku braku innej, wyraźnie zapyta nas o zgodę, a spełniając obowiązek informacyjny m.in. wskaże organizacje, które będą miały do nich dostęp. Określi także zakres i cel przetwarzania – a wszystko to w prosty, czytelny sposób. Ważną zmianą jest też obowiązek notyfikacyjny do organu nadzoru, który zakłada, że o naruszeniu bezpieczeństwa danych administrator powiadomi ten organ bez zbędnej zwłoki, czyli – w miarę możliwości – nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia. W przypadku wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej na skutek zidentyfikowanego naruszenia ochrony danych, RODO nakłada również obowiązek zawiadomienia bez zbędnej zwłoki osoby, której dane dotyczą.

Idąc z duchem czasu, RODO wprowadza do obrotu prawnego nowe definicje danych osobowych, takie jak dane genetyczne i dane biometryczne, które umożliwiają jednoznaczną identyfikację osoby. To może być chociażby wizerunek twarzy, próbka głosu, dane daktyloskopijne z odciska palca czy skan siatkówki oka. Takie dane są stosowane przez różne systemy zabezpieczeń, w tym te chroniące dostęp do naszych pieniędzy w bankach.

Dla przedsiębiorcy: RODO to odpowiedzialność

RODO nie narzuca jednego sposobu zabezpieczeń, stosowanych środków technicznych i organizacyjnych, narzędzi i technologii dla zapewnienia ochrony przetwarzanych danych. Wymaga, by administratorzy danych sami analizowali poziom ryzyka i na tej podstawie dobierali odpowiednie środki – przy wsparciu wyznaczonego Inspektora Ochrony Danych. Nowe podejście do ochrony danych osobowych przejawia się również poprzez przewidzianą w RODO tzw. rozliczalność, czyli zdolność do wykazania przez Administratora danych, w szczególności na żądanie organu nadzorczego, że przestrzega zapisów rozporządzenia – poprzez przedstawienie odpowiedniej dokumentacji albo wykazanie powyższego w inny możliwy sposób. To zmusza do bieżącego i stałego nadzorowania procesów przetwarzania danych w organizacji.

Istotną zmianą w stosunku do dotychczasowych regulacji, przynajmniej tych obowiązujących w Polsce, są też kary. Do tej pory niezgodność z przepisami ochrony danych nie była w naszych kraju sankcjonowana wysokimi karami finansowymi. W dotychczasowym porządku prawnym główny nacisk położony był na odpowiedzialność karną, a nie finansową. RODO od tego rozwiązania odchodzi. Od maja niedopełnienie obowiązków w zakresie ochrony danych osobowych skutkuje możliwością nałożeniem kary finansowej w wysokości do 10 lub 20 mln euro, bądź do 2% lub 4% rocznego obrotu na przedsiębiorstwa prywatne. Przy podmiotach publicznych maksymalna kara to 100 tys. zł.

Dla mnie osobiście RODO to szansa dla administratora danych do uporządkowania obszaru ochrony danych w swojej organizacji.