25 maja br. wejdzie w życie unijne rozporządzenie dot. ochrony danych osobowych, określane w skrócie od polskiej nazwy RODO. Ministerstwo Cyfryzacji ciągle pracuje nad przepisami mającymi zapewnić prawidłowe stosowanie rozporządzenia w krajowym systemie prawnym, jednak już wiadomo, że właściwie wszyscy przedsiębiorcy muszą przygotować się na nowe obowiązki, których niewypełnienie będzie zagrożone dotkliwymi karami finansowymi – do 20 mln euro bądź 4% rocznego obrotu (w zależności, która z kwot będzie wyższa). Biorąc pod uwagę skalę planowanych zmian na przygotowanie się do ich wprowadzenia pozostało niewiele czasu, dlatego żeby nie narażać swojego biznesu warto rozpocząć opracowywanie odpowiednich procedur wewnętrznych już teraz.
Główne zmiany wprowadzane w RODO
Przede wszystkim należy pamiętać, że unijne rozporządzenie z samej swojej natury jest stosowane bezpośrednio w państwach członkowskich UE – dlatego nawet jeżeli polski ustawodawca nie zdąży z uchwaleniem ustawy przed 25 maja przedsiębiorcy i tak będą musieli zastosować się do nowych obowiązków. A te mają dotyczyć właściwie wszystkich podmiotów w jakikolwiek sposób przetwarzających dane swoich klientów – a więc zarówno dużych korporacji, jak i małych, rodzinnych biznesów. Co więcej, to właśnie przedsiębiorcy będą musieli samodzielnie zaprojektować system ochrony danych osobowych w swojej firmie, dokładnie dostosowany do rodzaju prowadzonej działalności. Prawodawca unijny doszedł do wniosku, że precyzyjne określenie obowiązków przetwarzającego dane w rozporządzeniu jest bezcelowe, gdyż wymagałoby stworzenia niezwykle obszernego aktu prawnego, podatnego na szybkie dezaktualizowanie się. Dlatego też RODO określa „jedynie” ogólne ramy i cele, jakie musi zrealizować przetwarzający dane – przede wszystkim poprzez kompleksowe zapewnienie ich ochrony i świadomego wyrażenia zgody na przetwarzanie, a także umożliwienie realizacji prawa udostępniającego swoje dane do „bycia zapomnianym”. To wszystko będzie wymagało stworzenia systemu ochrony nie tylko dla całego przedsiębiorstwa, ale także dla poszczególnych sektorów działalności realizowanej w jego ramach. Prawodawca unijny jedynie bardzo ogólnie postanowił, że procedury te mają stosować odpowiednie środki techniczne i organizacyjne oraz odpowiadać charakterowi, zakresowi i kontekstowi przetwarzania, a także ryzyku naruszenia wolności i praw osób fizycznych.
Osoba udostępniająca dane zyska także możliwość zażądania od przetwarzającego udostępnienia mu jego danych „w powszechnie używanym formacie nadającym się do odczytu” oraz przesłania ich innej instytucji również przetwarzającej dane. Zgodnie z rozporządzeniem RODO prawo to będzie przysługiwało wszystkim, których dane przetwarzane są na podstawie zgody, umowy lub w sposób zautomatyzowany. Oczywiście dla wielu firm będzie oznaczało to konieczność rozbudowania swoich systemów informatycznych i poszerzenia ich o nowe możliwości.
Codzienne wyzwania
Poza tym przed przedsiębiorcami stają bardziej prozaiczne wyzwania. Właściwie każda firma przetwarzająca dane osobowe posiada już jakiś system ich ochrony, np. odpowiednie druki, czy formularze wyrażenia zgody na przetwarzanie. Jednak w związku ze zmianą samej definicji danych osobowych również one będą wymagały przeredagowania. Od 25 maja za dane osobowe będą uważane także adresy IP, dane o lokalizacji, czy zbierane przez przeglądarkę internetową pliki cookies. Koniecznym stanie się informowanie klientów o przysługującym ich prawach „w jasnej i przystępnej formie”, np. o zakresie sprzeciwu co do przetwarzania danych na potrzeby marketingu bezpośredniego.
Ponadto jeżeli dojdzie do naruszenia danych osobowych w wyniku ataku hackerskiego firma będzie musiała w ciągu 72 godzin zgłosić ten fakt generalnemu inspektorowi ochrony danych osobowych. Na marginesie warto wspomnieć, że GIODO również ulegnie przeobrażeniu w Prezesa Urzędu Ochrony Danych Osobowych. Zgodnie z projektowaną ustawą postępowania przed Prezesem UODO będzie jednoinstancyjne, a co za tym idzie decyzje będą podlegać natychmiastowemu wykonaniu, czego nie zmieni nawet jej zaskarżenie do sądu administracyjnego. Prezes zyska także prawo – w przypadku uprawdopodobnienia przetwarzania danych z naruszeniem przepisów – do zobowiązania przetwarzającego do ograniczenia działalności w tym zakresie. Wydanie takiej decyzji może znacząco ograniczyć możliwość prowadzenia działalności przez przedsiębiorcę, np. prowadzącego sprzedaż internetową.
Ministerstwo Cyfryzacji planuje wyjść naprzeciw przedsiębiorcom poprzez umożliwienie urzędnikom wydawania tzw. kodeksów dobrych praktyk rekomendujących sposoby ochrony danych osobowych w poszczególnych sektorach gospodarki. Kodeksy mają podlegać konsultacjom przez zainteresowane podmioty oraz zatwierdzeniu przez Prezesa UODO. Jednak ustawa jest ciągle w fazie procedowania, stąd są nikłe szanse, że do 25 maja takie kodeksy powstaną. Dlatego też przedsiębiorcy, którzy nie chcą sią narażać na dotkliwe kary, czy ograniczenia w działalności już powinni przygotowywać system ochrony danych w swojej firmie.