Co to jest RODO - jak się przygotować do jego wprowadzenia?

25 maja 2016 roku zostało przyjęte rozporządzenie dotyczące przetwarzania danych osobowych — RODO. Firmy, które działają na terenie Unii Europejskiej mają czas na wdrożenie zmian do dnia 25 maja 2018 roku, czyli w momencie, kiedy rozporządzenie zacznie obowiązywać. Co warto wiedzieć o nowych, wprowadzonych przez RODO zasadach przetwarzania danych osobowych i jak firmy, które takie informacje przetwarzają, powinny się przygotować?

Co to jest RODO - jak się przygotować do jego wprowadzenia?

Rafał Stępniewski

10 października 2017

 

 

RODO — o czym warto wiedzieć?

Przed wejściem w życie RODO w trakcie nowelizacji jest osobna ustawa o ochronie danych osobowych, która ma regulować kwestie, jakich rozporządzenie unijne nie obejmuje — stanowić ma ona swego rodzaju uzupełnienie RODO.

Samo RODO natomiast — co ważne dla przedsiębiorców — nie jest na tyle szczegółowe, by zawierało w sobie dokładne wymagania techniczne, związane z przetwarzaniem danych osobowych. Oznacza to, że interpretacja zawartych w rozporządzeniu zapisów może być dosyć elastyczna, jednak z drugiej strony brak konkretnych wytycznych może stanowić problem w ich wdrażaniu, co może rodzić niepewność na temat tego, czy działamy w zgodzie z przepisami.

Najważniejsze jednak pytanie brzmi — co nowego wprowadza RODO odnośnie przetwarzania danych osobowych? Oto lista najbardziej istotnych zmian:

 

Prowadzenie rejestru naruszeń oraz czynności przetwarzania

Rozporządzenie unijne wymaga od przedsiębiorców prowadzenie tak zwanego rejestru naruszeń, a więc zapisywania wszystkich incydentów, w których zostało naruszone bezpieczeństwo przetwarzanych danych osobowych.

Firmy będą też mieć obowiązek w takim przypadku dokonanie swoistego “samodonosu” poprzez zgłoszenie takich incydentów do GIODO w ciągu 72 godzin oraz poinformowanie o naruszeniu osób, których to zdarzenie dotyczyło.

Poza tym przedsiębiorcy będą miały również obowiązek prowadzenia tak zwanego “rejestru czynności przetwarzania” zawierający między innymi informacje o tym w jakim celu gromadzone oraz przetwarzane są dane osobowe, komu są one przekazywane oraz to, jakie są stosowane środki bezpieczeństwa, gwarantujące poufność tych danych.

 

Wdrożenie procedury “privacy by design”

Kolejną ważną zmianą jest procesu o nazwie “privacy by design”. Polega ona na tym, by w nowym procesie uwzględnić bezpieczeństwo przetwarzania danych osobowych, a zatem wbudować w nowy projekt ochronę prywatności — przeanalizować ryzyko, jakie niesie nowy projekt z punktu widzenia ochrony danych osobowych.

Przy okazji warto wspomnieć też o procedurze “privacy by default”, zgodnie z którą administrator będzie zobowiązany wdrożyć takie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Dotyczyć to będzie ilości zbieranych danych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.

 

Większe prawa osób, których dane osobowe są przetwarzane

Oznacza to, że osoby takie mają zarówno większe prawa odnośnie wglądu w dane, które są przetwarzane, ale także zyskują tak zwane “prawo do bycia zapomnianym”, czyli możliwości całkowitego usunięcia wszystkich informacji o nich, które firma przetwarza.

Pojawia się tutaj pewien problem, a mianowicie kwestia kopii zapasowych, które sporządzane są w przedsiębiorstwach. W sytuacji kiedy dana osoba zarządza usunięcia swoich danych ze wszystkich systemów informatycznych, czynność ta może być bardzo czasochłonna, a także kosztowna i w większości przypadków niemożliwa w praktyce do zrealizowania.

 

Wyznaczenie współadministratora danych osobowych

Współadministratorami jest, co najmniej dwóch administratorów, którzy wspólnie ustalają cele i sposoby przetwarzania. Takiego podziału obowiązków, dokonać mogą podmioty z tej samej grupy kapitałowej

 

Inspektor Ochrony Danych Osobowych

Obecnie w przedsiębiorstwach wyznaczani są zarówno Administratorzy Danych Osobowych (ADO) jak i Administratorzy Bezpieczeństwa Informacji (ABI) — w tej kwestii RODO również wprowadzi pewne zmiany. ABI zostanie zastąpiony funkcją Inspektora Ochrony Danych Osobowych, jednak prócz przejęcia obowiązków, Inspektor zyska także nowe uprawnienia, np. większe możliwości egzekwowania obowiązków związanych z przetwarzaniem danych osobowych w firmie.

 

Kary

Dzięki RODO nowe uprawnienia zyskuje także GIODO, a to o którym warto wspomnieć, to możliwość nakładania kar — w przypadku kiedy wykryte zostaną naruszenia związane z bezpieczeństwem przetwarzania danych osobowych. Kary będą mogły być nadawane w trybie administracyjnymi i mogą być bardzo dotkliwe (sięgające nawet kilku milionów euro).

Zmian jest sporo, a czasu na ich zastosowanie nie pozostało wiele — przypomnijmy, że RODO wchodzi w życie już 25 maja 2018 roku! Jak poprawnie wdrożyć nowe unijne rozporządzenie w swojej firmie, aby uniknąć wysokich kar? Dowiesz się tego z darmowego poradnika, który możesz pobrać w tym miejscu!

 

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!