25 maja wchodzi w życie RODO, a więc rozporządzenie unijne o ochronie danych osobowych. Dla Kowalskiego to na pewno lepiej, dla firm, nawet bardzo małych, to nowe obowiązki. I co gorsza, często nie wiadomo, jak im sprostać.

– RODO to duży dokument (red. polska wersja ma 88 stron) pełen ogólnych i nieostrych zapisów – twierdzi Łukasz Rdzeń, radca prawny z Kancelarii Counsels specjalizującej się między innymi w problematyce ochrony danych osobowych. – W rozporządzeniu pojawiają się np. przepisy mówiące o przetwarzaniu danych osobowych na dużą skalę, albo o obowiązku zapewnienia „odpowiedniego” stopnia bezpieczeństwa przetwarzania danych osobowych – adekwatnego do ryzyk – te pojęcia nie są jednak precyzyjnie zdefiniowane. Dokonanie ich wykładni nie jest proste nawet dla prawników. – zauważa Łukasz Rdzeń.

Kłopot z jasną interpretacją przepisów RODO ma również nasz rząd. Ministerstwo Cyfryzacji przygotowało liczący 18 stron informator o rozporządzeniu, który „zawiera odpowiedzi na najczęściej zadawane pytania dotyczące wdrażania przepisów RODO w sektorze prywatnym i publicznym”. Jednak, jak wyraźnie w nim napisano „nie stanowi wiążącej interpretacji przepisów”.

Zastrzeżenie jak najbardziej słuszne. Już na stronie 4 mamy próbkę języka RODO i niewiele wnoszących rządowych wyjaśnień. Czytamy tam, że firmy i instytucje mają prowadzić od 25 maja rejestr wszystkich czynności związanych z przetwarzaniem danych osobowych. Chwilę dalej pojawia się zapis, którego początek wielu ucieszy. – Rejestr czynności, nie musi być prowadzony w przedsiębiorstwach zatrudniających mniej niż 250 osób, chyba że….

I dalej krótka lista wyjątków:

– przetwarzanie może naruszać prawa lub wolności osób, których dane przetwarzamy np. może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości,

– przetwarzanie obejmuje szczególne kategorie danych (np. dane biometryczne) lub dane dotyczące wyroków skazujących i naruszeń prawa,

– przetwarzanie nie ma charakteru sporadycznego, np. przetwarzanie danych związanych z zarządzaniem Klientami, zarządzaniem Personelem.

W sumie wynika z niej, że w każdej firmie, która wysyła mejle do kontrahentów i ma choć jednego pracownika trzeba ten rejestr prowadzić, ale jasno to nie jest napisane.

Na dalszych stronach informatora Ministerstwa Cyfryzacji jest jeszcze ciekawiej. Urzędnicy informują nas, że przepisy RODO nakładają na administratorów nieistniejący dzisiaj obowiązek poinformowania o prawie do odwołania zgody na przetwarzanie danych osobowych – na etapie ich gromadzenia. – W ocenie Ministra Cyfryzacji zasada aktualności obowiązująca w prawie administracyjnym wyłącza uznanie, że pozyskanie zgodne z prawem zgody przed 25 maja 2018 r. powinny być po tej dacie uzupełniane o obowiązek poinformowania o prawie do ich odwołania – napisano.

– Należy jednak wnieść zastrzeżenie, że polski organ nadzorczy bądź instytucje unijne mogą wyrazić inne stanowisko w sprawie, co będzie rodziło wątpliwości Ministra Cyfryzacji, ale może prowadzić do odmiennego rozumienia tego obowiązku – podsumowują autorzy poradnika.

RODO – co wiemy na pewno?

Mimo licznych wątpliwości nie jest też tak, że przedsiębiorcy poruszają się w całkowitej mgle. Z regulacji RODO i stanowiska rządu, który mniej więcej miesiąc temu zrezygnował z wyłączenia małych i średnich firm z nowych regulacji (miał przez pewien czas taki pomysł, ale okazało się, że kłóci się on z samą istotą poprawy ochrony danych osobowych i naraża nas na kolejny konflikt z Brukselą) wynika kilka poważnych zmian, które trzeba przeprowadzić w firmie do 25 maja.

– Firmy muszą stworzyć nową dokumentację dotyczącą prowadzonej polityki ochrony danych osobowych. Będzie ona musiała zawierać między innymi opis procedur, które służą ochronie danych osobowych, w tym np. informacje o szkoleniach pracowników w tej kwestii i sposobach usuwania danych, które nie są już potrzebne. Częścią tej dokumentami będzie również nowy rejestr czynności przetwarzania danych osobowych i drugi – naruszeń ochrony danych osobowych – mówi Łukasz Rdzeń.

Dokumentacja to nie wszystko. – Firmy będą musiały dużo staranniej niż teraz przechowywać i przetwarzać dane osobowe – dodaje Łukasz Rdzeń.

Wynika to z art. 32 RODO, który mówi o tym, że firmy powinny wdrożyć „odpowiednie środki” techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia ochrony danych. To oznacza np., że przedsiębiorca czasem powinien szyfrować dane osobowe, starać się zbudować system IT odporny na włamania, czasem zapewnić również pseudonimizację, a więc przetwarzać i przechowywać dane osobowe w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji.

– Po wejściu w życie RODO nie będzie takich samych dla wszystkich firm wymogów dotyczących bezpieczeństwa przetwarzania danych osobowych. Każda firma będzie musiała stworzyć w tej kwestii własną politykę dostosowaną do ilości i rodzaju przetwarzanych danych osobowych – podkreśla Łukasz Rdzeń.

Szybkie zgłoszenie wycieku danych osobowych

Nowym obowiązkiem przedsiębiorców będzie też zgłoszenie każdego naruszania ochrony danych osobowych niezwłocznie, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, do odpowiedniego organu nadzorczego. W Polsce, zgodnie z projektem nowej ustawy o ochrony danych osobowych będzie Prezes Urzędu Ochrony Danych Osobowych.

W zgłoszeniu trzeba będzie precyzyjnie opisać jak doszło do wycieku. – Nie wiemy, jak Urząd Ochrony Danych Osobowych potraktuje firmę, w której doszło do naruszenia ochrony danych osobowych. Na pewno jednak będzie w trakcie swojej oceny badał przestrzeganie procedur ochrony danych osobowych. Od ich jakości i tego, czy wszystkie konieczne tutaj reguły były wdrożone i przestrzegane, zależeć będzie to, czy kara zostanie nałożona i ewentualnie jej wysokość– mówi Łukasz Rdzeń.

Daleko posunięte niedbalstwo lub ignorowanie podstawowych procedur bezpieczeństwa w przetwarzaniu danych osobowych może zakończyć się wysoką karą. Jej górna granica w regulacjach RODO to 20 mln euro bądź 4 proc. rocznego światowego obrotu danego przedsiębiorcy. Taką zapewne zapłaciłby Facebook za wyciek danych 50 mln jego użytkowników, gdyby do takiego zdarzenia zaszło w Europie. Kary dla małej firmy Kowalskiego lub nieco większego przedsiębiorstwa też jednak mogą być dotkliwe.

RODO i brakujące polskie uzupełnienia

RODO ma lepiej niż od wcześniejszych regulacji prawnych chronić dane osobowe. Rozumiane szeroko. To nie tylko imię i nazwisko, pesel oraz adres, ale również wszelkie inne informacje identyfikujące lub pozwalające zidentyfikować osobę fizyczną – np. płeć, adres e-mail, numer IP, kod genetyczny a nawet poglądy polityczne i historia zakupów. Każda firma i instytucja, która tego typu dane gromadzi podpada pod regulacje RODO.

Nowe rozporządzenie wchodzi w życie za niecałe dwa miesiące i zgodnie z ogólną zasadą prawa Unii Europejskiej będzie bezpośrednio stosowane we wszystkich państwach UE. Oznacza to, iż nasza ustawa z 1997 r. o ochronie danych osobowych utraci moc obowiązywania – wprost będą stosowane regulacje RODO.

Do nich polski ustawodawca uchwali dodatkowe przepisy – obejmą te zagadnienia, które wymagają dostosowania do polskich realiów. O tym, że nowe przepisy wejdą w życie wiadomo od dwóch lat – wtedy RODO zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej. Rządowi jednak do dzisiaj nie udało się przedstawić Sejmowi nowej ustawy o ochronie danych osobowych. Prace nad nią trwają.

Polskie uzupełnienia będą dotyczyły między innymi pracy nowego organu nadzoru i wydawania specjalnych certyfikatów potwierdzających przestrzeganie regulacji RODO. Tym ostatnim będą zajmować się specjalne, wskazane przez nowy urząd firmy – posiadanie certyfikatu nie będzie obowiązkowe, ale na pewno przyda się w sytuacji, gdy dojdzie do wycieku danych. Certyfikat będzie jednym z
dowodów, że firma jednak troszczyła się o ochronę danych osobowych.

Równolegle przygotowywany jest projekt ustawy dotyczącej przepisów sektorowych związanych z ochroną danych osobowych i obejmujących ponad 130 ustaw. Założeniem tego projektu jest usprawnienie funkcjonowania określonych branż, m.in. ubezpieczeniowej i bankowej. Na dwa miesiące przed wejściem w życie RODO nie wiemy jednak ani jaki ostatecznie kształt przyjmą te przepisy, ani kiedy dokładnie wejdą w życie. Tym samym przedsiębiorcy wdrażając RODO w obecnym kształcie, muszą liczyć się z tym, że po wejściu przepisów sektorowych może zajść konieczność dokonania korekty lub zmian dotychczas przyjętych rozwiązań. To pociągnie za sobą dodatkowy nakład pracy i dodatkowe koszty.

Foto: Pixabay.

Czytaj więcej: Samochody elektryczne to katastrofa. Są samym złem – mówi szef związkowców w Hyundaiu.
Czytaj więcej: Będą dopłaty do czynszu. Nawet kilkaset złotych miesięcznie. Jest projekt nowej ustawy.