Czy jesteś gotowy na nowe przepisy o ochronie danych osobowych, czyli wszystko o RODO (GDPR)
W kwietniu 2016 roku Parlament Europejski uchwalił nowe Rozporządzenie o Ochronie Danych Osobowych. W skrócie nazywa się je RODO lub GDPR (z ang. General Data Protection Regulation). Nowe prawo ma zastąpić dokument wcześniejszy – z 1995 roku – który, głównie ze względu na dynamiczny rozwój Internetu, dziś jest już prawem anachronicznym i nie zapewniającym obywatelom należytej ochronnych ich danych. RODO nakłada na dysponentów danymi osobowymi nowe obowiązki, a właścicielom – daje prawa i przywileje, których wcześniejsze regulacje nie uwzględniały.
Ważnym aspektem jest również ujednolicenie przepisów we wszystkich krajach unijnych, co ma ułatwić i uprościć procedury, które do tej pory trzeba było dostosowywać do prawa w poszczególnych państwach. RODO daje również większe uprawnienia urzędom, które walczą z nadużyciami w wykorzystaniu danych osobowych. Pozwalają im między innymi nakładać wysokie kary na firmy i instytucje, które łamią prawo w zakresie ochrony danych osobowych – maksymalnie do 20 mln euro lub 4% całkowitego rocznego obrotu światowego. Na dostosowanie się do RODO przedsiębiorstwa i instytucje mają czas do maja 2018 roku. Jeśli więc firma nie zaczęła jeszcze tego robić, wybrzmiewa właśnie ostatni dzwonek na rozpoczęcie przygotowań.
Przetwarzanie danych osobowych – dlaczego zmieniono prawo?
W grudniu 1995 roku na świecie było około 16 milionów internautów, którzy stanowią zaledwie 0,4% całej populacji. O Google nikt jeszcze nie słyszał, bo ta wyszukiwarka powstała dopiero 3 lata później. Użytkownicy Internetu do znajdowania informacji używali natomiast wyszukiwarki AltaVista, z której korzystali z przeglądarki Netscape lub nowości – pierwszej wersji Internet Explorera od Microsoftu. Również w 1995 roku Unia Europejska rozszerzyła się o trzy nowe kraje – Austrię, Finlandię oraz Szwecję (co w sumie dało 15 państw), a całkowita liczba mieszkańców wspólnoty wynosiła prawie 373 mln osób. Dziś liczy 28 krajów, a liczba ludności przekracza 511 mln.
Warto przytoczyć te historyczne informacje, aby uświadomić sobie w jakich okolicznościach tworzone było poprzednie prawo dotyczące przetwarzania danych osobowych i jak wiele zmieniło się od tamtego czasu. Według danych z 2014 roku aż 81% gospodarstw domowych w UE deklaruje posiadanie dostępu do Internetu, a na świecie korzystanie z niego około 3,5 miliarda osób. Całkowicie zmieniły się również możliwości prowadzenia firm – do Unii weszły nowe państwa, otwarto granice, ludzie mogli bez przeszkód migrować i podejmować pracę za granicą. Wszystko to sprawiło, że uchwalenie GDPR stało się koniecznością, bo dane osobowe obywateli Unii Europejskiej, które dla wielu firm i instytucji są bezcenne, nie były należycie chronione – głównie przez to, że prawo nie przystawało do współczesnych okoliczności.
Co RODO zmienia w ochronie danych osobowych?
RODO (GDPR) całkowicie zmienia podejście do kwestii danych osobowych. Przede wszystkim, co już było wspomniane, daje o wiele szersze uprawnienia organom kontrolnym, które będą mogły w szerszym zakresie kontrolować ochronę danych osobowych i samodzielnie nakładać kary.
Kolejna bardzo istotna zmiana to bezpośrednia odpowiedzialność przetwarzającego dane, a nie tylko ich dysponenta. Jeśli firma będzie wykonywać zlecenie na rzecz innego przedsiębiorstwa, które udostępni tej pierwszej dane osobowe, to właśnie ta firma będzie za nie odpowiedzialna i poniesie konsekwencje w razie jakichkolwiek uchybień. Administratorzy danych będą również zobowiązani do poinformowania odpowiednich organów o wszelkich uchybieniach związanych z ochroną danych osobowych. Brak takiego zawiadomienia może spowodować nałożenie kary finansowej.
Większe firmy będą również zobowiązane do inwentaryzacji wszystkich posiadanych danych osobowych, a także do wskazania Inspektora Danych Osobowych, który w danym przedsiębiorstwie będzie odpowiadał za odpowiednią ochronę tych danych. Firmy będą musiały również pamiętać, że transferowanie danych bez odpowiedniej ochrony poza teren Unii Europejskiej zagrożone będzie bardzo wysokimi karami. Ma to zapewnić jeszcze większą ochronę nawet, gdy dane będą przetwarzane poza wspólnotą.
Na duże zmiany muszą się przygotować przedsiębiorstwa, które zajmują się profilowaniem i analityką. RODO zakłada, że użytkownik Internetu lub smartfona, bo to ich głównie dotyczą te procesy, ma być świadomy, że jego dane są analizowane i musi wyrazić na to zgodę. Ogólnie rzecz ujmując, obywatel będzie miał więcej praw i przywilejów związanych z dysponowaniem swoimi danymi. Przede wszystkim nabędzie prawo do „bycia zapomnianym”, czyli usunięcia wszystkich swoich danych z baz informacji. Będzie mógł również ubiegać się o przeniesienie swoich danych z jednego podmiotu na drugi. Zyska również możliwość wglądu w dane, którymi dana firma lub instytucja dysponuje.
Jak przygotować się na RODO?
Przedstawione powyżej zmiany to tylko założenia, które w szczegółach definiuje unijne Rozporządzenie o Ochronie Danych Osobowych. Dokument jest złożony i obszerny. Sama preambuła do niego zawiera aż 173 motywy uchwalenia tego prawa, a na treść składa się XI rozdziałów i 99 artykułów. Jak przygotować swoją firmę lub instytucję do praktycznego stosowania nowego rozporządzenia? Zwłaszcza biorąc pod uwagę, jak mało czasu zostało do maja 2018, kiedy to wszyscy będą musieli stosować się do nowych przepisów? Z pewnością trzeba będzie zdać się na ekspertów. Ernst&Young, jedna z największych firm konsultingowych na świecie już oferuje przedsiębiorstwom i instytucjom pomoc w zakresie wprowadzania nowego prawa w codziennej praktyce, a także audyt danych, którymi się rozporządza. Można o tym przeczytać pod tym linkiem - http://www.ey.com/pl/pl/services/tax/law/rodo-ochrona-danych-osobowych. Wszystko wskazuje na to, że taka pomoc okaże się nieoceniona, bo złożoność nowych przepisów, a także niewielka ilość czasu w duży stopniu utrudnia samodzielne ich poznanie i stosowanie w praktyce.
Gotowi na RODO?
Dane dotyczące świadomości RODO w Polsce nie napawają optymizmem. Według badań firmy Dell, które opublikowano w czerwcu 2017 roku aż 80% przedstawicieli różnych firm ma co najwyżej szczątkową wiedzę na temat nowelizacji przepisów na temat ochrony danych osobowych. Zaledwie 3% osób biorących udział w badania zadeklarowało, że ich przedsiębiorstwa mają plan wdrożenia RODO. Obowiązek stosowania się do nowelizacji prawa zacznie obowiązywać za mniej niż rok. Dla wielu firm i instytucji to ostatni dzwonek na to, aby przygotować się do zmian. Proces ten powinny one z jednej strony potraktować jak sposób na uniknięcie poważnych konsekwencji, a z drugiej – również jako możliwość zdobycia przewagi na rynku dzięki lepszemu dostosowaniu się do nowych okoliczności.