Już za dwa lata – dokładnie od 25 maja 2018 r. – zacznie obowiązywać europejskie rozporządzenie o ochronie danych osobowych. - W tym czasie wszystkie organizacje powinny dostosować funkcjonujący u siebie model ochrony danych osobowych – w tym bezpieczeństwo IT oraz bezpieczeństwo informacji – do wymogów nowych przepisów. – mówi adwokat Anna Dmochowska, specjalista ds. ochrony danych osobowych ODO 24.
Rozporządzenie zauważa (w końcu) małe i średnie firmy. W aktualnym stanie prawnym takim samym regulacjom podlegają zarówno duże spółki akcyjne, jak i osoby prowadzące działalność gospodarczą. Co w rezultacie powoduje, że te ostanie często nie przestrzegają przepisów dotyczących ochrony danych osobowych. Dla przykładu agent ubezpieczeniowy – osoba fizyczna prowadząca jednoosobową działalność gospodarczą – w zakresie w jakim jest on administratorem danych osobowych musi sam dla siebie przygotować politykę bezpieczeństwa informacji i instrukcję zarządzania systemem, w którym przetwarza się dane osobowe. Pokazuje to, że obecne regulacje nie przystają do realiów funkcjonowania takich podmiotów. Nowe prawo będzie dostosowane do rodzaju przedsiębiorstwa i uwzględni specyfikę różnej wielkości firm. Wydaje się to ważne m.in. ze względu na przewidziane rozporządzeniem sankcje. Podmioty przetwarzające dane w sposób niezgodny z prawem narażone będą na kary nawet do 20 mln EUR (w przypadku przedsiębiorstw do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego). Skargi do GIODO będzie można kierować bezpłatnie. Do tej pory wymagało to wniesienia opłaty skarbowej w wysokości 10 zł.
W myśl nowych regulacji ochrona danych ma być uwzględniana już na etapie kreowania nowych produktów i usług przez przedsiębiorców, a dane domyślnie chronione bez konieczności podejmowania działań przez osoby, których dotyczą. - Oznacza to, że już podczas projektowania systemu ochrony danych osobowych należy wdrażać takie środki, by od samego początku chronić przetwarzane dane oraz prywatność osób, których dane dotyczą. Ponadto ustawienia domyślne danego systemu powinny przewidywać możliwie najdalej posunięte zabezpieczenia danych osobowych. – wyjaśnia adw. Anna Dmochowska.
Administratorzy danych będą musieli wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewnią odpowiadający potencjalnym zagrożeniom poziom bezpieczeństwa. Ponadto zobowiązane będą do prowadzenia rejestru czynności przetwarzania danych osobowych. Nie będzie już obowiązku zgłaszania przez administratora danych rejestru danych osobowych do GIODO. ABI (Administrator Bezpieczeństwa Informacji) „zastąpi” IOD (Inspektor Ochrony Danych), którego powołanie, w przeciwieństwie do ABI, będzie obowiązkowe także – w określonych w rozporządzeniu sytuacjach – dla zleceniobiorców (procesorów), którzy przetwarzają dane w imieniu ADO (Administratora Danych Osobowych). Jest to znacząca zmiana w kontekście podziału obowiązków pracowniczych i rozwiązań kadrowych. Obecnie administrator bezpieczeństwa informacji powoływany jest spośród pracowników danej firmy czy instytucji, a do jego zakresu obowiązków niejako dodawana jest funkcja ABI. Rozporządzenie nakłada na nowego ABI – inspektora ochrony danych – szereg dodatkowych obowiązków, które trudno będzie pogodzić z innego rodzaju pracą. Podmioty przetwarzające dane – zwłaszcza duże przedsiębiorstwa – będą musiały rozważyć wydzielenie osobnego stanowiska dla inspektora ochrony danych lub outsourcować tę funkcję. Zmiany dotkną także grupy kapitałowe. Kilka podmiotów będzie mogło jednocześnie administrować te same dane. Z tym, że osoby, których dotyczą, trzeba będzie o tym poinformować, wskazując kto i za co odpowiada.
- Przed organizacjami stanie także szereg nowych wyzwań takich jak prawidłowe stosowanie prawa podmiotu danych do bycia zapomnianym, przenoszenia danych, procedury profilowania, zgłaszania naruszeń ochrony danych osobowych do GIODO, przetwarzanie danych dzieci tylko za zgodą opiekunów itd. – mówi Mecenas Dmochowska. Między innymi rozszerzony zostanie obowiązek informacyjny podczas zbierania danych, co będzie wymagało rozbudowania klauzul informacyjnych. Teraz składają się one z kilku zdań, a szacuje się, że gdy zacznie obowiązywać rozporządzenie, przeciętnie zajmować będą prawie całą stronę A4.
Zmian jest sporo. Dlatego warto już teraz zapoznać się z nowymi regulacjami i do nich przygotować. To, czy będą to dla przedsiębiorców wielkie zmiany, zależy w znacznej mierze od nich samych i dostosowania ich firm do przepisów nowego rozporządzenia.