digital composite of laptop with hacking graphic

RODO – czy to kataklizm dla firm wobec ochrony danych osobowych?

Zwiększenie działalności zarówno konsumentów, jak i firm w szeroko pojętym świecie cyfrowym doprowadziło do potrzeby wzmocnienia ochrony danych osobowych osób fizycznych w przestrzeni IT. Dzieje się tak z uwagi na zwielokrotnienie ryzyka cybernetycznych przestępstw i nieuzasadnionych prawnie działań dotyczących przetwarzania danych osobowych bez zgody i wiedzy osób, których te dane dotyczą.

Wymogi dotyczące cyberbezpieczeństwa nakłada na firmy rozporządzenie o ochronie danych osobowych (RODO), które wejdzie w życiu już 25 maja 2018 r. Tymczasem z badań nad rynkiem wynika, że nadal ok. 90 proc. firm nie jest przygotowana na nowe regulacje, a 20 proc. z nich nie rozpoczęła nawet żadnych prac w tej materii.

Czy tak szumnie zapowiadane zmiany spowodują gwałtowne tąpnięcie w zakresie ochrony danych osobowych?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (ogólne rozporządzenie o ochronie danych) przede wszystkim nakłada na członków UE ujednolicenie prawa dotyczącego ochrony danych osobowych we wszystkich poszczególnych państwach. Nie będziemy mieli już zatem sytuacji, że regulacje wewnętrzne w Polsce oraz w innych krajach (np. we Francji czy też w Niemczech) będą znacząco różniły się od siebie. Wynika to bowiem z faktu, iż przestrzeń wirtualna nie jest wprost zależna od terytorium danego państwa, lecz rozciąga się na cały niemal świat. Wobec tego faktu zrozumiałym jest posunięcie Parlamentu Europejskiego oraz Rady, aby przeciwdziałać tym znaczącym różnicom w zakresie prawnej ochrony danych osobowych. Najważniejszym bowiem podmiotem tego prawa ma przecież być człowiek – jednostka i jego prawo do ochrony informacji o jego danych osobowych, w tym danych wrażliwych czy też ochrony jego wizerunku.

Znowelizowanie zasad zawartych w dyrektywie z 1995 r. dotychczas obowiązującej na ternie UE służyć ma, jak podaje GIODO „ujednoliceniu przepisów w zakresie ochrony danych osobowych na terenie UE, uatrakcyjnieniu rynku UE względem państw trzecich, usprawnieniu wymiany informacji i procedur wewnątrzwspólnotowych oraz wyznaczeniu standardów bezpieczeństwa adekwatnych do wyzwań XXI wieku”.

Nowe rozporządzenie nie narzuca przedsiębiorcom ściśle określonych wymogów, jakie należałoby zastosować w celu zapewnienia bezpieczeństwa danych osobowych przetwarzanych przez te firmy. Pozostawia bowiem ono wybór przedsiębiorcom w zastosowaniu przez nich odpowiednich logistycznych oraz technologicznych mechanizmów, które mają służyć bezpieczeństwu przetwarzania danych osobowych. To przedsiębiorca będzie zobligowany do wykazania, iż dołożył wszelkich starań w celu zabezpieczenia danych.

Na administratorze danych osobowych będzie spoczywał obowiązek zdolności do ciągłego zapewnienia poufności, dostępności i odporności systemów i usług przetwarzania danych osobowych, a także regularnych testów, pomiarów oraz oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.

Rozporządzenie wprowadza nowe przepisy, w szczególności:

  • prawo do bycia zapomnianym – instytucja ta będzie służyła umożliwieniu osobom fizycznym korzystania przez nich z prawa do usunięcia ich danych osobowych, szczególnie gdy przetwarzanie ich danych odbywa się bez podstawy prawnej lub jest sprzeczne z wolą osoby, której danych to przetwarzanie dotyczy;
  • prawo do wycofania zgody na przetwarzanie danych osobowych w dowolnym momencie, a wycofanie zgody przez osobę fizyczną nie będzie wpływać na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem;
  • nakaz informowania o naruszeniu danych osobowych – poprzez poinformowanie organu nadzorującego ochronę danych osobowych, a także osoby, której przetwarzanie danych dotyczy, o naruszeniu prawa w tym zakresie;
  • zwiększenie zakresu informacji o przetwarzaniu danych osobowych – poszerzenie możliwości uzyskania łatwiejszego dostępu przez osoby fizyczne do ich danych osobowych, których dane przetwarzane są przez inne podmioty;
  • prawo do informacji o przetwarzaniu danych osobowych, które winno być sformułowane w jasny i zrozumiały sposób;
  • obowiązek adaptacji nowych regulacji przy tworzeniu różnych form zabezpieczeń w czasie projektowania narzędzi internetowych, jak strony internetowe, portale społecznościowe, itp.;
  • szczególna ochrona praw dzieci – poprzez wprowadzenie rozwiązań umożliwiających wyrażenie zgody przez ich rodziców lub opiekunów prawnych na wykorzystywanie danych osobowych dzieci do celów marketingowych lub do tworzenia przez nie profili społecznościowych. Zgoda ta winna być uzyskana przez administratora, uwzględniając dostępną technologię, podejmując rozsądne starania, by zweryfikować, czy faktycznie osoba sprawująca władzę rodzicielską lub opiekę prawną nad dzieckiem wyraziła tę zgodę. Próg wieku dziecka, wobec którego administrator będzie musiał uzyskać zgodę jej opiekuna prawnego lub rodzica, to 16 lat, jednakże państwa członkowskie będą mogły obniżyć pozyskanie takowej zgody względem dzieci, które nie ukończyły 13. roku życia;
  • możliwość nałożenia kar pieniężnych w wysokości do 20 mln euro lub 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – w celach egzekucji przestrzegania przepisów prawa o ochronie danych osobowych;
  • stosowanie prawa unijnego przez firmy spoza terenu UE, jeżeli będą one świadczyły usługi lub dokonywały innych czynności prawnych na terenie UE (związanych z przetwarzaniem danych osobowych);
  • powołanie Inspektora Ochrony Danych posiadającego kwalifikacje zawodowe i wiedzę z zakresu ochrony danych osobowych, który sprawować będzie pieczę nad przetwarzaniem danych w przedsiębiorstwie w sposób zgodny z rozporządzeniem. Osoba taka stanowić będzie bardzo ważny element w procesie zapewniania standardów przetwarzania danych z wymogami ogólnego rozporządzenia.

Wyżej wspomniane zmiany to tylko niektóre zasady, jakie mają zostać wprowadzone do obiegu prawnego 25 maja 2018 r. w każdym państwie członkowskim UE.

Czy należy się obawiać tych zmian? Jeżeli przedsiębiorcy nie poczynią żadnych kroków w celu zapewnienia odpowiedniego bezpieczeństwa dla przetwarzanych przez nich danych osobowych, dostosowując funkcjonowanie swoich firm do ww. rozporządzenia, może czekać ich niemiła niespodzianka w postaci kontroli i wysokich kar pieniężnych.

Warto wobec tego przez najbliższe kilka miesięcy zaczerpnąć porady specjalistów w zakresie ochrony danych osobowych, by zapewnić prawidłowe funkcjonowanie nowych mechanizmów prawnych unijnych przepisów oraz prawa wewnętrznego w przedsiębiorstwie i aby przetwarzanie danych osobowych nie stanowiło źródła poważnych problemów.

Rafał Kufieta

Kancelaria Prawna Rafał Kufieta

Zapisz się do naszego newslettera

Rozwiązałeś swój problem?

Podpowiemy Ci co należy zrobić.
Ciekawe rozwiązania bezpłatnie wprost na Twój email