Od 25 maja 2018 r. na terenie całej Unii Europejskiej, a więc także i w Polsce, zacznie obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Po polsku nazywamy je RODO, czyli rozporządzenie o ochronie danych osobowych, a po angielsku General Data Protection RegulationGDPR. Oba skróty funkcjonują równolegle.

 


 

Istotne jest to, że RODO obowiązuje BEZPOŚREDNIO, bez konieczności wdrażania przez krajowe przepisy. Do decyzji poszczególnych państw pozostawiono niektóre kwestie. Prace nad polskimi przepisami trwają, więc ostateczny kształt wszystkich regulacji (m.in. w zakresie przetwarzania danych pracowników) poznamy dopiero za jakiś czas, ale już teraz należy podjąć pierwsze działania w kierunku wdrożenia RODO w firmie. Wszystkie organizacje otrzymały bowiem odpowiednio długi czas na przygotowanie się do nowych obowiązków. W dniu 25 maja przyszłego roku każda firma musi zapewnić pełne wdrożenie procedur, których stosowania wymaga RODO. 25 maja 2018 r. to nie początek wprowadzania zmian! To dzień, w którym w każdej firmie wszystko musi już działać zgodnie z przepisami RODO.

Czytaj: Dr Lubasz: RODO to nowa filozofia ochrony danych osobowych >>

Kto musi stosować nowe przepisy?

Zmiany dotyczą wszystkich firm prowadzących działalność gospodarczą i posiadających klientów. Każda firma, która zatrudnia pracowników i posiada bazę klientów, przetwarza dane osobowe i musi się przygotować.

Adw. Marcin Zadrożny, rzecznik prasowy Fundacji Wiedza to bezpieczeństwo podkreśla, że RODO to nie tylko wyzwanie dla działów HR, to wyzwanie dla całej organizacji. Oczywiście nie ulega wątpliwości, że to działy HR w szczególności powinny zwrócić uwagę na kilka aspektów, przede wszystkim na kwestie zabezpieczeń technicznych czy organizacyjnych. Bezpieczeństwo danych to podstawa, bo incydenty się zdarzały i będą się zdarzać. Marcin Zadrożny podaje przykład ostatnich problemów InPost i wyciek informacji dot. pracowników i współpracowników. Na to niestety trzeba być przygotowanym.

Nowe podejście do ochrony danych osobowych

Co ważne, RODO odchodzi od sztywnego uregulowania wprost, jakie zabezpieczenia należy wdrożyć, ale wymusza na przedsiębiorcach dokonanie analizy ryzyka przetwarzania danych, aby zapewnić stopień bezpieczeństwa przetwarzania danych odpowiadający temu ryzyku poprzez wdrożenie odpowiednich zabezpieczeń technicznych i organizacyjnych. Nie zmienią się w istotny sposób podstawy prawne czy zasady przetwarzania danych osobowych, ale prawdziwą rewolucją jest wprowadzenie dużej samodzielności administratorów danych, a w konsekwencji tego – również dużej ich odpowiedzialności.

Wyrażone w rozporządzeniu podejście oparte na ryzyku określa sposób, w jaki należy podchodzić do przetwarzania danych – w każdej sytuacji, kiedy zbieramy i korzystamy z danych osobowych, musimy przede wszystkim analizować ryzyko, jakie może to spowodować dla prywatności osób, których te dane dotyczą. I to z tego względu na każdym administratorze spoczywa obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających zgodność z wymogami rozporządzenia. Rozporządzenie nie podaje przykładów najlepszych rozwiązań, nie określa minimalnych standardów – to ułatwienie, ale z drugiej strony jednak trudność w przygotowaniu firmy i procedur. Od 25 maja 2018 r. każdy administrator będzie musiał samodzielnie zdecydować, jakie zabezpieczenia, dokumentację i procedury przetwarzania danych wdraża.

Firmy i organizacje będą zmuszone wdrożyć rozwiązania i procedury, które zagwarantują wysoki poziom bezpieczeństwa informacji o ich klientach. Równie istotne, co ochrona danych klientów, będzie też chronienie danych pracowników i kandydatów biorących udział w rekrutacjach. Pracodawcy muszą dostosować swoją strukturę organizacyjną i procedury do nowych wymogów, szczególnie w takich obszarach jak rekrutacje ukryte, bazy kandydatów odrzuconych oraz przechowywanie aplikacji kandydatów wewnątrz firmy.

Jednolite prawo w całej Europie

Niewątpliwym plusem nowej regulacji jest to, że rozporządzenie będzie stosowane we wszystkich krajach UE. 28 porządków prawnych dotyczących ochrony danych zostanie zastąpionych jednym aktem prawnym, obowiązującym w całej Unii. Przepisy wszędzie będą jednakowe (z wyjątkiem kwestii pozostawionych państwom do samodzielnego uregulowania). To znacznie ułatwi funkcjonowanie firm w przestrzeni międzynarodowej.

Od czego zacząć?

Agencje rekrutacyjne czy działy HR gromadzące i przetwarzające dane osobowe pracowników i kandydatów są, w świetle prawa, administratorami danych osobowych. Jedną z kluczowych zmian, które wprowadza rozporządzenie RODO, jest obowiązek zadbania o ochronę danych osobowych już na etapie projektowania wdrażanych rozwiązań związanych z przetwarzaniem danych. Administratorzy będą musieli wdrożyć właściwe rozwiązania techniczne i organizacyjne, które zagwarantują odpowiedni poziom bezpieczeństwa danych.

- Musimy ocenić, jakiego rodzaju dane posiadamy, jakie decyzje na ich podstawie będą podejmowane i jaki mogą te decyzje mieć wpływ na sytuację osoby, której dotyczą. Ważna też jest ocena, komu te dane będą przekazywane na zewnątrz. Ryzykiem jest więc nie tylko wyciek, ale przekazanie danych podmiotom, który z tymi danymi może zrobić więcej niż podmiot uprawniony. Mamy zestaw informacji, a przekazując lub sprzedając dane nawet legalnie, stwarzamy sytuację do tworzenia większego profilu. Jeśli tak jest, to dane np. zwykłe mogą się stać nawet danymi wrażliwymi - mówi dr Wojciech Wiewiórowski, zastępca Europejskiego Inspektora Ochrony Danych.

Czytaj: Dr Wiewiórowski: administrator danych musi ocenić ryzyko wycieku>>

Konieczna rzetelna analiza

Jesteśmy teraz w takim okresie, w którym administratorzy danych powinni przeanalizować, jakie dane osobowe i na jakiej podstawie prawnej przetwarzają. Taki wstępny audyt pomoże w uporządkowaniu dokumentacji oraz procedur. Warto postawić sobie pytania: Jakie dane firma przetwarzasz, skąd one pochodzą, co ją uprawnia do ich przetwarzania, komu te dane udostępnia. A także jak je zabezpiecza. Taki przygotowawczy audyt to doskonały punkt wyjścia do dalszych działań związanych z RODO.

- Bardzo zależy mi też na tym, aby administratorzy danych uświadomili sobie, że rozporządzenie nie tylko nakłada na nich nowe obowiązki i zwiększa ich odpowiedzialność za przetwarzanie danych osobowych zgodnie z prawem, ale również zapewnia im większą elastyczność działania. Przykładowo, jeśli ktoś tradycyjnymi metodami przetwarza niewielki zakres danych osobowych, to nie będzie zobowiązany do stosowania skomplikowanych i kosztownych zabezpieczeń - mówi dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych.

Nowe obowiązki informacyjne

RODO zobowiązuje do zwiększenia zakresu informacji, jakie należy przekazać osobom, których dane są pozyskiwane, a to powoduje konieczność wprowadzenia zmian w stosowanych klauzulach informacyjnych.
Nowe regulacje nałożą na administratorów więcej niż dotychczas obowiązków informacyjnych. W procesie rekrutacji trzeba będzie m.in. poinformować kandydata o celach przetwarzania danych osobowych, okresie, przez który będą one przechowywane, odbiorcach danych, czy o prawie wniesienia skargi do organu nadzorczego oraz danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony.

Nowe uprawnienia osób, których dane dotyczą

Każda osoba, której dane są przetwarzane, musi mieć kontrolę nad dotyczącymi jej danymi osobowymi. RODO przyznaje w związku z tym wiele uprawnień. Z dużej części z nich możemy korzystać już teraz, bo przewiduje je również krajowa ustawa o ochronie danych osobowych, ale mamy w tym zakresie również zupełne nowości, np. prawo do przenoszenia danych, które m.in. pozwoli w określonych sytuacjach na otrzymanie od administratora dotyczących nas danych, które sami mu dostarczyliśmy, czy też na bezpośrednie przekazywanie danych osobowych od jednego administratora do innego. To dobry moment, aby sprawdzić, jak funkcjonują w Twojej firmie procedury pozwalające na korzystanie z obecnych praw (np. gdy ktoś poprosi o usunięcie swoich danych) – jeśli wszystko już teraz działa sprawnie, dostosowanie do RODO w tym zakresie będzie dużo łatwiejsze.

Rejestrowanie czynności przetwarzania danych osobowych

Rozporządzenie przewiduje prowadzenie przez każdego administratora danych osobowych rejestru czynności przetwarzania tychże danych – kładzie bardzo duży nacisk na taką dokumentację. Jest to jeden z podstawowych sposobów wykazywania przez administratorów danych zgodności prowadzonych działań na danych osobowych z wymogami rozporządzenia.
Rejestr powinien zawierać nazwę oraz dane kontaktowe administratora, cele przetwarzania, opis kategorii osób, których dane dotyczą, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione (jeżeli jest to możliwe), planowane terminy usunięcia poszczególnych kategorii danych (jeżeli jest to możliwe) oraz ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

RODO w pewnych sytuacjach zwalnia z obowiązku prowadzenia rejestru administratorów, którzy zatrudniają mniej niż 250 pracowników. O szczegółach regulacji będziemy na bieżąco informować w naszym serwisie.

O każdym naruszeniu bezpieczeństwa danych będzie trzeba szybko poinformować

Po raz kolejny ważne jest sprawne działanie i wprowadzenie odpowiednich procedur. RODO wymaga od administratora gotowości do wykrycia, analizy i zgłoszenia naruszeń danych – i to w bardzo krótkim czasie. 25 maja 2018 r. musi być gotowy plan działania na wypadek takiego incydentu. Na zgłoszenie naruszenia będzie bowiem tylko 72 godziny. RODO wyraźnie precyzuje, kiedy będzie trzeba poinformować organ nadzorczy, a kiedy także osoby, których naruszenie dotyczyło. Czas ten jest tak krótki, że nie ma mowy o działaniach ad hoc – trzeba się wcześniej przygotować.

Drakońskie kary

Naruszenie przepisów o ochronie danych osobowych to nie tylko straty wizerunkowe, lecz także wymierne straty finansowe. Obowiązujące obecnie przepisy umożliwiają nałożenie na przedsiębiorców kar nieprzekraczających jednorazowo 50 tys. zł. Po 25 maja 2018 r. kary znacząco wzrosną. RODO pozwala bowiem na nałożenie kary nawet do 20 milionów euro bądź 4 proc. obrotu światowego w związku z wyciekiem bądź incydentem związanym z ochroną danych osobowych.

GIODO, Ministerstwo Cyfryzacji, prawnicy i eksperci od bezpieczeństwa – wszyscy – zachęcają przedsiębiorców, aby nie czekali do ostatniej chwili z wdrożeniem odpowiednich narzędzi i już rozpoczęli działania. To najwyższa pora na audyt narzędzi i rozwiązań funkcjonujących w Twojej organizacji w zakresie danych osobowych. Trzeba pomyśleć nie tylko o rozwiązaniach technicznych, ale też opracować i przyjąć w firmach przede wszystkim politykę tej ochrony, która wynika z unijnej reformy.