25 maja 2018 r. wchodzą w życie przepisy unijnego ogólnego rozporządzenia o ochronie danych. Co właściwie się zmieni?
RODO odmieniane w ostatnim roku przez wszystkie przypadki często określane jest jako akt o charakterze rewolucyjnym, a w wielu aspektach jest po prostu ewolucją rozwiązań już funkcjonujących. Oczywiście, nowe przepisy przewidują znaczące zmiany np. wprowadzają nowe instytucje dotyczące ochrony danych osobowych, prawo przenoszalności danych i inne. Przepisy wymuszą całkowicie nowe podejście do danych osobowych. Dane osobowe i ich ochrona będą musiały być wszyte w organizację, staną się częścią DNA firm, organizacji, instytucji. Pełne wdrożenie RODO będzie niestety czasochłonne i kosztowne.
W Polsce mamy obowiązującą ustawę o ochronie danych osobowych. W jakim stopniu RODO zmieni ochronę danych, która już istnieje?
RODO poszerzy definicję danych osobowych. Po wejściu w życie nowych przepisów np. pliki cookies tzw. ciasteczka, identyfikatory internetowe itp. będą traktowane jako dane osobowe. Samo czytanie danych będzie czynnością przetwarzania danych, co może powodować szereg trudnych do rozwiązania problemów praktycznych. Pojawią się też całkowicie nowe instytucje jak chociażby prawo do bycia zapomnianym, obowiązki notyfikacji regulatora i podmiotu danych w przypadku np. wycieków danych.
RODO dotknie również doradców podatkowych >>
A na czym ma polegać nowy obowiązek oceny skutków planowanego przetwarzania danych?
To bardzo duża zmiana bowiem wymusza na administratorach danych całkowicie nowe podejście w kwestii zarządzania bezpieczeństwem i ryzykiem wynikającym z przetwarzania danych. Zasada podejścia opartego na ryzyku oznacza, że nie wskazuje się ściśle określonych mechanizmów w zakresie bezpieczeństwa. Zamiast tego, administratorzy będą musieli samodzielnie przeprowadzać szczegółową analizę prowadzonych procesów przetwarzania danych i dokonywać samodzielnej oceny ryzyka, na jakie przetwarzanie danych w konkretnym przypadku jest narażone. Wykonanie takiej analizy zakłada uwzględnienie w procesie oceny skutków zarówno kwestii prawnych, jak również IT.
Nie da się ukryć, że RODO dotknie wszystkich branż także kancelarii doradczych, podatkowych, prawnych. W jaki sposób te firmy powinny przygotować się do nowych obowiązków?
Właściwie muszą przygotować się podobnie jak wszystkie inne organizacje. Póki co nie ma przewidzianych wyłączeń stosowania RODO w zakresie doradztwa podatkowego. Projekt nowej ustawy o ochronie danych osobowych natomiast przewiduje odstępstwa od wykonania niektórych obowiązków wynikających z RODO dla samorządów adwokackiego i radcowskiego.
RODO narzuci na doradców i księgowych dodatkowe obowiązki >>
Czy RODO może wpłynąć na rynek tych usług? Możemy oczekiwać jakiś konkretnych skutków?
Nie sądzę, że w jakiś znaczny sposób. Oczywiście ten rynek, jak wszystkie inne, w których wykorzystuje się dane, będzie musiał uporać się z wdrożeniem RODO, a następnie już z dbaniem o to, by było ono przestrzegane w ramach np. kancelarii doradczych. Brak spełnienia wymogów zagrożony jest surowymi karami sięgającymi w przypadkach najpoważniejszych naruszeń 20 milionów euro lub 4 proc. całkowitego rocznego światowego (w przypadku międzynarodowych grup) obrotu. W tym zakresie, patrząc z polskiej perspektywy, to niewątpliwie rewolucja.
Rozmawiał Krzysztof Koślicki
