RODO to powszechnie używany skrót na określenie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, które od dnia 25 maja br, zgodnie z ogólną zasadą prawa Unii Europejskiej będzie bezpośrednio stosowane we wszystkich państwach członkowskich UE i od tego dnia stanie się częścią prawa krajowego czyli częścią m.in. polskiego porządku prawnego. Oznacza to, iż dotychczas stosowana polska ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz.U. z 2016 r. poz. 922) utraci moc obowiązywania a wprost będą stosowane przepisy RODO. Do przepisów RODO polski ustawodawca uchwali przepisy prawa polskiego, które jedynie obejmą te zagadnienia, które nie zostały uregulowane przez RODO. Obecnie jest przygotowany projekt nowej ustawy o ochronie danych osobowych.
"Diabeł straszny" i wszyscy nim straszą przede wszystkim ze względu na przewidziane w RODO sankcje dla administratorów danych osobowych, górna ich granica: to 20 mln euro bądź 4 proc. rocznego światowego obrotu danego przedsiębiorcy, ale także ze względu na wyzwania przed którym obecnie stoją przedsiębiorcy i inne podmioty przetwarzające dane osobowe: wyzwania głównie zmiany mentalności osób zarządzających przedsiębiorstwami i ich pracowników, zmiany podejścia i spojrzenia znacznie szerzej niż dotychczas na ochronę danych osobowych, uświadomienie sobie, że szeroko pojęte dane osobowe należy chronić oraz, że dane osobowe to nie tylko imię i nazwisko, pesel, wizerunek ale zgodnie z definicją RODO są to wszelkie informacje (w szczególności, poza imieniem i nazwiskiem, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, czynniki określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej) o zidentyfikowanej lub możliwej do
zidentyfikowania osobie fizycznej.
Czy mojej firmy dotyczy w ogóle RODO?
W zasadzie przepisy RODO dotyczą niemal wszystkich podmiotów przetwarzających dane osobowe: podmiotów publicznych jak i prywatnych przedsiębiorstw, nawet osób fizycznych prowadzących działalność gospodarczą na niewielką skalę, jeśli przetwarzają one dane osobowe innych osób fizycznych (np. pracowników, kandydatów do pracy, kontrahentów, klientów, osób współpracujących) i przez to przetwarzanie stają się administratorem tych danych, z wyłączeniem podmiotów, które wskazuje RODO w art. 2 tj. RODO nie ma zastosowania, m.in. do osób fizycznych przetwarzających dane osobowe w ramach czynności o czysto osobistym lub domowym charakterze czyli w charakterze nie związanym z działalnością gospodarczą lub też do organów państwowych, które przetwarzają dane osobowe do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
Czy dotychczas wymagana dokumentacja idzie do kosza?? Jakie nowe zadania i wyzwania dla przedsi ę biorc ó *w wyznacza RODO? *
Niekoniecznie dotychczasowa dokumentacja pójdzie do kosza. Przede wszystkim przedsiębiorcy muszą dostosować dotychczasową dokumentację, jeśli ją posiadają, z zakresu ochrony danych osobowych wymaganą przez dotychczasowe przepisy krajowe, do wymogów RODO odpowiednio ją uzupełniając. To dostosowanie będzie dotyczyło np. zgody na przetwarzanie danych osobowych, ewidencji osób upoważnionych do przetwarzania danych oraz upoważnień osób do przetwarzania danych osobowych. Ogólnie rzecz biorąc będą to dokumenty dużo bardziej rozbudowane niż dotychczas.
Ponadto RODO wskazuje obowiązkowe *nowe *dokumenty takie jak:
- rejestr czynności przetwarzania danych osobowych,
- rejestr naruszeń ochrony danych osobowych,
- umowy powierzenia danych ( o ile mają zastosowanie).
Dokumenty te każdy przedsiębiorca winien stworzyć i na bieżąco uzupełniać.
Daleko idącym nowym wyzwaniem, poza dokumentacją, jest nałożony na administratorów danych w art. 33 RODO obowiązek zgłaszania naruszenia ochrony danych osobowych niezwłocznie, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, do odpowiedniego organu nadzorczego, którym w Polsce, zgodnie z projektem nowej ustawy o ochrony danych osobowych będzie Prezes Urzędu Ochrony Danych Osobowych.
Ponadto przedsiębiorcy, zgodnie z art. 32 RODO, winni wdrożyć "odpowiednie środki" techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia ochrony danych, w tym między innymi w stosownym przypadku: przedsiębiorca winien zapewnić pseudonimizację (rozumianą jako przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji), szyfrowanie danych osobowych, ciągłe zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zapewnienie zdolności posiadanych systemów do szybkiego przywrócenia dostępności danych osobowych.
Jakie maj ą by ć te "odpowiednie ś rodki", aby osi ą gn ąć cel RODO?
Niestety na to pytanie RODO już nam nie odpowiada, co należy podkreślić: RODO charakteryzuje się bardzo wysokim stopniem ogólności i nie daje żadnych szczegółowych wskazówek, w jaki sposób chronić dane osobowe, nie daje ani środków technicznych ani też organizacyjnych. Sam przedsiębiorca musi stworzyć dostosowane do profilu swojej działalności i zakresu przetwarzania danych takie środki techniczne i organizacyjne, aby w pełni zabezpieczyć te dane.
Dlatego przedsiębiorcom winny przyjść z pomocą wykwalifikowane podmioty (np. z branży IT), które stworzą odpowiednie środki ochrony informatycznej np. do szyfrowania danych osobowych, do zabezpieczenia ich przed nieodpowiednim użyciem oraz wykwalifikowane osoby (m.in. prawnicy), którzy odpowiednio przerobią dotychczas posiadane dokumenty a także stworzą nowe, wymagane przez RODO i przeszkolą pracowników.
Co teraz przed 25 maja 2018?
Teraz jest właśnie czas aby zaangażować środki do wdrożenia RODO we własnej firmie, gdyż 25 maj to data końcowa wyznaczona podmiotom na wdrożenie RODO, to jest ten czas aby zatrudnić specjalistów, którzy pomogą nie tylko przejść przez te trudne ścieżki labiryntu jakim jest RODO ale także zmienią mentalność naszych menadżerów i pracowników odpowiedzialnych za ochronę szeroko pojętych danych osobowych.