Już 25 maja we wszystkich krajach Unii Europejskiej zacznie obowiązywać nowe rozporządzenie o ochronie danych osobowych, czyli RODO. Rozporządzenie zostało opublikowane prawie dwa lata temu. Nowe przepisy mają umożliwić prawidłowe i bezpieczne przetwarzanie danych osobowych i dać pewność osobom fizycznym, że informacje o nich nie będą – bez ich zgody – sprzedawane, kopiowane i poddawane nielegalnemu przetwarzaniu.

– Podstawowym obowiązkiem administratora danych osobowych jest odpowiednia ochrona tych informacji  – mówi Małgorzata Brańska, Inspektor Ochrony Danych w spółkach grupy Crowe  Horwath w Polsce, Czechach i na Słowacji-  Niestety, RODO nie daje wprost odpowiedzi  na czym konkretnie ma polegać skuteczna ochrona danych. Nakazuje natomiast administratorom, by tak zorganizowali ochronę danych osobowych w swoich instytucjach tak, aby była ona adekwatna do zakresu i celu przetwarzanych danych- wyjaśnia ekspert.  Do tej pory przepisy w tej kwestii były bardziej precyzyjne, a obecnie administrator danych musi wdrożyć takie środki organizacyjne i techniczne, które dadzą pewność, iż dane będą odpowiednio zabezpieczone, nie wyciekną i nie staną się łupem hakerów. Na pewno konieczne będzie przygotowanie nowych procedur ochrony i postępowania z danymi osobowymi.

Wśród zadań, jakie administratorzy muszą przedsięwziąć przed „godziną zero”, Małgorzata Brańska z Crowe Horwath, firmy wymienianej wśród 10 najlepszych międzynarodowych  biur z zakresu audytu, księgowości oraz doradztwa prawnego, wylicza między innymi potrzebę utworzenia nowej dokumentacji. Taką nowością jest rejestr naruszeń, który musi zawierać informacje o  każdym przypadku naruszenia bezpieczeństwa: kradzieży, wycieku danych, próbach włamania czy nieautoryzowanym dostępie do danych. W ciągu 72 godzin od powzięcia informacji o naruszeniu, administrator ma obowiązek zawiadomić o tym organ nadzorczy, podając określone szczegóły. Obecnie jest to wciąż jeszcze Generalny Inspektor Ochrony Danych Osobowych, ale już od maja 2018 roku będzie to Prezes Urzędu Ochrony Danych Osobowych. Kolejny obowiązek to sporządzanie oceny skutków dla przetwarzania danych, czyli szacowania ryzyka w procesach przetwarzania danych osobowych. Wiele instytucji nigdy nie przeprowadzało nigdy takich analiz i z pewnością sprawi im to trudność.

Rozwiązaniem, które na pewno zostanie dobrze przyjęte przez  klientów wielu instytucji, są nowe obowiązki administratorów danych związane z realizacją praw osób fizycznych. Zgodnie z RODO każdy może składać zapytania do administratorów na temat przetwarzania danych osobowych. Można pytać, na przykład, jakie dane i w jakim celu są przetwarzane, wnosić o ograniczenie przetwarzania, o usunięcie danych czy  – i to absolutna nowość  – o ich przeniesienie do innej instytucji.

Najwięcej zainteresowania budzi tak zwane prawo do zapomnienia. Prawo do usunięcia danych mieliśmy już od dwudziestu lat, ale tym razem możemy prosić nie tylko o skasowanie informacji o nas w danej organizacji, ale także  – jeśli nasze dane były przekazywane dalej  – domagać się, by administrator spowodował ich usunięcie we wszystkich firmach, do których nasze dane przekazał. Do pilnych zadań zaliczyć należy także obowiązek powołania  Inspektora Ochrony Danych. Musi to być osoba mająca udokumentowane doświadczenie w obszarze ochrony danych, znająca prawo i potrafiąca je interpretować.

Kary przewidziane za łamanie zapisów RODO mogą przyprawić o  zawrót głowy. Jeśli ktoś narusza prawa osób fizycznych (np. nie dotrzymuje terminu odpowiedzi lub nie zaprzestaje przetwarzania pomimo żądania klienta)  musi się liczyć z  karą do wysokości do 20 milionów EURO! Projekt nowej polskiej ustawy o ochronie danych osobowych,  przygotowany do procedowania w Sejmie, nie zawiera katalogu przewinień i nie proponuje żadnych widełek finansowych. Wszystko będzie zależało od stopnia przewinienia i oceny kontrolującego. Jedynie dla samorządów i administracji obniżono górny próg kary do 100 tysięcy złotych. Na  koniec pytamy, jak w ocenie eksperta wygląda przygotowanie polskich firm do wdrożenia nowych uregulowań. Zdaniem Małgorzaty Brańskiej znaczna część przedsiębiorstw nie wie , co to jest RODO i jak się przygotować do nowych przepisów i po prostu czeka na pierwsze kary, by ocenić jak to działa w praktyce. W wielu podmiotach panuje przekonanie, że przepisy RODO ich nie dotyczą. A jednak w każdej organizacji są przetwarzane jakieś dane osobowe – pracowników, dostawców czy klientów. Wszystkie te dane podlegają ochronie, więc należy je odpowiednio zabezpieczyć..