CO TO JEST RODO?
RODO jest rozporządzeniem Parlamentu Europejskiego i Rady (UE) -2016/679 o ochronie danych osobowych, które ma na celu wprowadzenie jednolitych zasad ochrony danych osobowych wcałej Unii Europejskiej.Należy zwrócić uwagę, że nowa regulacja unijna ma formę ROZPORZĄDZENIA. W przeciwieństwie do polskiego porządku prawnego, w którym rozporządzenia są aktami wykonawczymi wobec ustaw, w prawie UE rozporządzenia mają zupełnie inny charakter. Są najważniejszymi aktami prawa wtórnego, obowiązującymi w całości we wszystkich państwach członkowskich. Co najistotniejsze, obowiązują bezpośrednio,zatem nie wymagają implementacji do krajowych porządków prawnych (w odróżnieniu od dyrektyw). Są bezpośrednio skuteczne, mogą przyznawać jednostkom prawa i nakładać obowiązki.
PO CO W TAKIM RAZIE USTAWA O OCHRONIE DANYCH OSOBOWYCH?
Jak zostało wyjaśnione, nowa regulacja, jako rozporządzenie, nie wymaga wprowadzenia do polskiego porządku prawnego poprzez krajowy akt prawny. Przepisy RODO zastąpią unormowania ustawy o ochronie danych osobowych. Jednak Rozporządzenie zawiera bardzo ogólne przepisy, wymagające doprecyzowania w przepisach poszczególnych państw członkowskich. W związku z tym nie należy rozpatrywać RODO w oderwaniu od polskiej ustawy o ochronie danych osobowych oraz przepisów sektorowych, właściwych dla poszczególnych branż (np. dla działalności telekomunikacyjnej, bankowej czy medycznej).
REWOLUCJA W PODEJŚCIU DO PROBLEMATYKI OCHRONY DANYCH OSOBOWYCH
1.Lepiej zapobiegać, niż leczyć
Podmioty dokonujące czynności na danych osobowych – na przykład przedsiębiorcy, którzy zapisują, przechowują, a nawet usuwają dane swoich klientów - będą zobligowane do wprowadzenia środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych oraz mechanizmów przeciwdziałania ewentualnym naruszeniom. Zmienia się podejście do bezpieczeństwa - kwestie poszanowania prywatności i właściwej ochrony danych osobowych mają być uwzględniane już na etapie projektowania nowych usług i rozwiązań biznesowych, w myśl starego porzekadła – lepiej zapobiegać, niż leczyć. Będzie to wymagało wdrożenia spójnej polityki bezpieczeństwa danych, zorientowanej na przewidywanie zagrożeń i minimalizację ryzyka wystąpienia naruszeń. Jednocześnie, RODO zawiera bardzo ogólne uregulowania i nie precyzuje, jakie środki należy zastosować. To na administratorze ciąży obowiązek wyboru i wdrożenia adekwatnych środków, jak np. minimalizacja przetwarzania danych osobowych albo ich pseudonimizacja. Warto w tym zakresie skorzystać z pomocy specjalistów, którzy pomogą zdiagnozować potrzeby i zagrożenia oraz zaproponują właściwe rozwiązania. W niektórych przypadkach diagnoza będzie wymagana i przybierze formę procedury oceny skutków dla ochrony danych, a nawet konsultacji z organem nadzorczym.
2.Niezbędna dokumentacja
RODO znacząco rozszerza obowiązki administratorów i procesorów (podmiotów zewnętrznych, przetwarzających dane osobowe w imieniu administratora) w zakresie dokumentowania stosowanych procedur oraz działań podejmowanych na rzecz ochrony danych osobowych. Dokumentacja powinna obejmować przede wszystkim rejestr czynności przetwarzania (chociaż RODO przewiduje wyjątki od tego obowiązku) , ale także stosowane procedury czy politykę postępowania w przypadku wystąpienia nieprawidłowości. Konieczne będzie także prowadzenie rejestru wszystkich przypadków naruszeń ochrony danych osobowych oraz ich notyfikacji organowi nadzorczemu w ciągu 72 godzin od stwierdzenia incydentu. Prowadzenie dokumentacji ma istotne znaczenie z punktu widzenia zasady ROZLICZALNOŚCI – wedle niej administrator jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie. Prowadzona dokumentacja jest zatem udostępniana właściwym organom do celów weryfikacji spełniania obowiązków wynikających z rozporządzenia
3.Rozszerzone uprawnienia osób fizycznych, których dane dotyczą = większe obowiązki przedsiębiorców
Również pozycja osób, których dotyczą przetwarzane dane osobowe,ulegnie znaczącemu wzmocnieniu. Ich uprawnienia zostały skorelowane z odpowiednimi obowiązkami podmiotów, które przetwarzają dane osobowe. Zaostrzeniu ulegają obowiązki informacyjne administratorów danych i procesorów, jak również warunki dotyczące zgody na przetwarzanie. Osobom, których dane dotyczą ułatwiono dostęp do danych i możliwość ich przenoszenia. Odrębne miejsce poświęcono prawu do bycia zapomnianym (prawo żądania usunięcia danych osobowych). Administratorzy i podmioty działające z ich upoważnienia powinny respektować uprawnienia osób fizycznych, które na mocy RODO uzyskują większą kontrolę nad swoimi danymi osobowymi. Niezbędne jest zapewnienie zgodności z prawem, rzetelności oraz przejrzystości przetwarzania danych osobowych. Ostatnia z wymienionych zasad wymaga zapewnienia odpowiedniej formy stosowanych formularzy oświadczeń oraz udostępnianych informacji. Jak wskazuje motyw 39 Rozporządzenia: „zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.”
4.Wysokie kary finansowe
W odróżnieniu od dotychczasowych przepisów, RODO zabezpiecza wykonywanie ustanowionych obowiązków wysokimi karami. Naruszenia w zakresie ochrony danych osobowych zostały obwarowane dotkliwymi karami finansowymi sięgającymi nawet 20000000 euro lub 4% rocznego obrotu przedsiębiorstwa.
Opracowanie: Karolina Paluszek, doktor nauk prawnych