W minioną środę weszło w życie unijne Rozporządzenie o Ochronie Danych Osobowych (RODO). Zacznie ono obowiązywać 25 maja 2018 roku i wprowadza szereg zmian odnośnie przetwarzania, magazynowania i pozyskiwania danych osobowych, wprowadzając tym samym nowe zadania i obowiązki dla wszystkich podmiotów gospodarczych.
Wywiad, który przeprowadziliśmy z firmą Rödl & Partner, jest odpowiedzią na kluczowe zagadnienia dotyczące Rozporządzenia o Ochronie Danych Osobowych.
Czym są dane osobowe?
Na gruncie nowego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO), dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Jak należy przetwarzać i chronić dane osobowe?
Ogólnie mówiąc, w oparciu o nowe regulacje, firmy mają obowiązek przedsięwziąć odpowiednie środki techniczne i organizacyjne w celu należytego i zgodnego z przepisami przetwarzania i ochrony danych osobowych. Ochrona danych osobowych powinna zmierzać w kierunku zidentyfikowania przez daną firmę ryzyka wycieku (np. atak hakerski) danych osobowych (np. w postaci bazy danych) oraz stosowania właściwych, adekwatnych zabezpieczeń w celu ograniczenia takiego ryzyka wycieku.
Czy sami będziemy zgłaszali rejestr danych osobowych czy wystarczy, że wyznaczymy ABI (Administratora Bezpieczeństwa Informacji)
Zgodnie z postanowieniami RODO, brak będzie konieczności zgłaszania rejestru danych do właściwego organu nadzoru. Z kolei, w określonych sytuacjach przedsiębiorcy będą mieli obowiązek (albo jeśli sami uznają to za wskazane) prowadzić rejestr czynności przetwarzania danych oraz wyznaczyć Inspektora Ochrony Danych (który zastąpi obecnego ABI). W praktyce, jeśli dana firma przetwarza dane osobowe w znacznej ilości, wskazane będzie powołanie Inspektora Ochrony Danych oraz prowadzenie stosownego rejestru czynności przetwarzania danych.
Czy dobrym rozwiązaniem będzie przetwarzanie danych osobowych poza firmą?
Właściciel witryny ma podpisaną umowę z siecią afiliacyjną lub reklamową podpisaną umowę, lub też nawiązał współpracę w innej formie i jest świadom, że ich kod jest obecny na jego stronie. Podmioty te są jego partnerami biznesowymi, przez co, w rozumieniu ustawy, wydawca jest odpowiedzialny za to, w jaki sposób dane czytelników i, ich pliki cookies, są wykorzystywane. W razie kłopotów, również wydawca poniesie odpowiedzialność.
Kluczowym zyskiem z outsourcingu jest jakość. Siłą rzeczy zewnętrzny dostawca będzie miał większe doświadczenie i kompetencje niż własny wewnętrzny dział IT. Dlatego outsourcing jest w tym przypadku jak najbardziej wskazany. Jeśli dojdzie do incydentu związanego z danymi, usługodawca również musi wykazać, że dochował należytej staranności. Co więcej, jeśli do zaniedbań doszło z jego winy, to administrator danych co prawda ponosi odpowiedzialność administracyjną, jednak może wystąpić z roszczeniami cywilnymi wobec usługodawcy, nawet do pełnej wysokości kary.
Jak zaostrzenia w karach mogą wpłynąć na budżety przedsiębiorstw i czy państwo będzie mogło je teraz skuteczniej sankcjonować?
RODO (odmiennie niż to było na gruncie obecnej polskiej ustawy o ochronie danych osobowych) przewiduje sankcje za naruszenie postanowień RODO, w szczególności kary administracyjne sięgające – w zależności od naruszeń – do 20.000.000 EUR, a w przypadku przedsiębiorstwa – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Rozporządzenie wprowadza skuteczne mechanizmy egzekwowania powyższych kar w przypadku stwierdzenia przez organ nadzoru naruszeń / niezgodności procesów przetwarzania danych w danej organizacji z RODO.
Bardzo dziękujemy za rozmowę.
Zainteresowanych szczegółową analizą nadchodzących zmian zachęcamy do udziału w szkoleniu „Praktyczne przygotowanie do wdrożenia RODO w Twojej firmie”, organizowanym przez GigaCon oraz Rödl & Partner przy współpracy z Cybercom.