Co się zmienia?
Przede wszystkim zmienia się podejście europejskiego ustawodawcy do ochrony danych osobowych. Wybierając formę rozporządzenia, tj. aktu prawnego bezpośrednio stosowalnego, ustawodawca unijny narzuca wszystkim krajom członkowskim jednolite standardy ochrony i bezpieczeństwa danych, wymuszając równocześnie ich skuteczną kontrolę. RODO przyznaje krajowym organom nadzorczym kompetencje kontrolno-sankcyjne w wymiarze znanym dotychczas wyłącznie z działalności Prezesa UOKiKu, czy Prezes URE. W ramach postępowań kontrolnych, przedstawiciele organów nadzorczych będą uprawnieni m.in. do wstępu do lokali przedsiębiorcy, wglądu w dokumentację, dostępu do systemów informatycznych, komputerów, nośników informacji, żądania wykonania kopii dokumentacji (na koszt przedsiębiorcy), przesłuchiwania pracowników i współpracowników przedsiębiorcy, czy żądania wyjaśnień od samego przedsiębiorcy. W przypadku stwierdzenia naruszenia ochrony danych osobowych, organy nadzorcze będą musiały obligatoryjnie nałożyć karę finansową na przedsiębiorcę, która może wynieść nawet do 20 mln euro lub 4% światowego obrotu przedsiębiorstwa z roku poprzedzającego stwierdzenie naruszenia, przy czym decydująca jest wartość wyższa. Wysokość nałożonej kary będzie zależeć przede wszystkim od przyczyny i charakteru naruszenia oraz od rodzaju zastosowanych w przedsiębiorstwie środków ochrony i bezpieczeństwa.
Jakie działania podjąć?
Dostosowanie działalności przedsiębiorcy do przepisów RODO wymaga w pierwszej kolejności weryfikacji ryzyka naruszenia bezpieczeństwa przetwarzanych danych osobowych. Kolejnym krokiem jest skonfrontowanie tak oszacowanego ryzyka z istniejącym w firmie systemem zabezpieczeń. Naczelną zasadą RODO jest bowiem zasada rozliczalności, przerzucająca na przedsiębiorcę odpowiedzialność za wdrożenie zabezpieczeń adekwatnych do zagrożeń dla danych osobowych występujących w danym przedsiębiorstwie. Inny system zabezpieczeń danych osobowych będzie wprowadzał przedsiębiorca prowadzący sklep internetowy, inny prowadzący firmę transportową, a jeszcze inny zakład kosmetyczny. Każdy z tych przedsiębiorców przetwarza różne kategorie danych osobowych, na różnej podstawie i w różnym celu. Różne będą także systemu zabezpieczeń.
Wspólna dla wszystkich przedsiębiorców będzie jednak konieczność wdrożenia nowych polityk i procedur bezpieczeństwa. Znacznemu rozszerzeniu uległ zakres obowiązku informacyjnego – przedsiębiorcy będą musieli informować nie tylko o swojej tożsamości, czy celu przetwarzania danych, ale także o podstawie prawnej tego przetwarzania, kategoriach danych, okresie retencji danych (ustalenie terminu, do którego dane będą przetwarzane)oraz o wszystkich uprawnieniach osoby, której dane dotyczą, w tym o prawie do wniesienia skargi do organu nadzorczego, czy o prawie do bycia zapomnianym. Dotychczasowe formularze zgody, czy formularze informacyjne będą musiały zostać zaktualizowane. Przedsiębiorcy będą musieli przygotować także odpowiednie procedury krytyczne, szczegółowo regulujące postępowanie pracowników oraz osób zarządzających w przypadku naruszenia bezpieczeństwa danych. Procedura wstępna, zakończona zawiadomieniem organu nadzorczego o naruszeniu bezpieczeństwa danych, może trwać nie dłużej niż 72 godziny. Konieczne będzie także przygotowanie procedury przyjmowania wniosków i ich realizacji. Przedsiębiorcy muszą utworzyć specjalny „kanał kontaktowy” (dedykowana skrzynka e-mail, dedykowany numer telefonu), przez który osoby, których dane dotyczą będą mogły zgłaszać żądania realizacji ich uprawnień, m.in. do trwałego usunięcia danych, ich modyfikacji, czy przekazania w całości lub w części innemu administratorowi. Przedsiębiorcy muszą się przygotować na sprawną realizację żądań – co do zasady, realizacja uprawnienia osoby, której dane dotyczą nie może przekraczać 30 dni.
Podsumowując, przed przedsiębiorcami pracowite miesiące. Wdrożenie nowych, nieznanych dotychczas rozwiązań, bez możliwości podparcia się już istniejącymi wzorcami, czy wypracowanymi praktykami zawsze rodzi trudności i obciążone jest pewnym ryzykiem. Konieczna jest zatem kreatywność w przewidywaniu potencjalnych zagrożeń, połączona z odpowiednim dobrem środków zaradczych i ewentualnie naprawczych. Ostatecznie dane osobowe są wartością, która nie powinna być deprecjonowana wraz z rozwojem nowoczesnych technologii.
Zapraszamy do współpracy!
Jak działamy ? [1]