Przeanalizuj i opisz zmiany jakie wprowadza regulacja RODO (GDPR) dla przedsiębiorców.
Sprawa norm prawnych w naszym kraju rozbudza mnóstwo emocji, a biurokrcja powoduje ogromny problem obszaru publicznego. Skarżenie się Polaków na obowiązujące aktualnie normy prawne nie są nieuzasadnone, gdyż nierzadko okazują się być nieaktualne, w związku z czym mogą być stosowane w warunkach dzisiejszego świata. Rozwijająca się co raz bardzej cyfryzacja niejako zmusza nas, aby dostosować je do aktualnych wymogów. Z tego powodu już niebawem wczodzą w życie nowe przepisy o niejesno brzmiącym mianie RODO.
Rozporządzenie RODO
Unijne rozporządzenie RODO podmieni aktualnie obowiazujące przepisy o ochronie danych osobaowych, formułować w związku z tym nowe normy prawne. Zostało wprowadzone wżycie przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 roku, a ujęte w nim normy prawne zaczną być egzekwowane od 25 maja 2018 roku. Skończy się wówczas dwuletni czas wdrożeniowy, który miał na celu opanowanie wprowadzanych zmian. Od tej chwili, każda firma na terenie Unii Europejskiej mają przymys stosowania się do nowych przepisów odnoszących się do przepływu i wykorzystywaniadanych osobowych osób fizycznych.
Kogo dotyczy RODO?
Rozporządzenie, o którym mowa odnosi się do wykorzystywania danych osobowych, a zatem ma wielką wagę dla całokrztałtu społeczństwa - to jedna część, jaką dotyczy ustawa. Każdy obywatel jest posiadaczem jego danych, są to przykładowo: imię, nazwisko, wiek, czy adres e-mail. To informacje ciągle wykorzystywane przez różne instytucję i firmy: np publiczne ośrodki zdrowia, różnego rodzaju firmy matketinowe, a przede wszystkim portale społecznościowe. W związku z tym każda jednosta, która wykorzystuje w swojej działalności dane osobowe jest drugą częścią społeczeństwa, jaką dotyczy ustawa, a w czszególności nowości w ustawie. Wcielene RODO oraz jego czynne praktykowanie stawia na wyróżnionym miejscu osoby fizyczne, jakim przyznane zostaną nowe prawa. W czasie procesu pobierania informacji osobowych dostają one od przedsiębiorstwa wykorzystującego dane konkretne i przejrzyste wiadomości o m.in. celach, w jakim zakresie dane będą przetwarzane. Jest to jedna z nowych powinności, jakie ustawa RODO nakazuje firmą oraz instytucją. Zmian jest dużo więcej, mają one wpłynąć na podniesienie bespieczeństwa wykorzystywania informacji osobowych.
Powody wprowadzenia zmian
Dotąd obowiązujące normy prawe z 1995 roku przestały być aktualne i odnajdować odpowiednie zastosowanie w otaczającej nas przestrzeni życia. Narastające powodzenie umów podejmowanych drogą elektroniczną powoduje, że podpisywanie ich standardowych, papierowych odmian w czasie rzeczywistego spotkania dwóch uczastników transakcji stosuje się niezwykle rzadko. Co raz częściej relacje te obejmują one kontakty pomiędzy mieszkańcami różnych państw, w jakich wykorzystywanie informacji osobowych dokonuje się w odmiennych regółach. Rozporządzenie RODO będą miały powinność w każdym z 28 krajów Unii Europejskiej uharmonizuje tym samym aktualnie obowiązujące normy prawne związane z o ochroną danych. Na postanowieniu komisji Unii o wcieleniu RODO wplyneły także sporządzone badania pod kątem zabrzpieczenia informacji osobowych, w jakich uczestnicy ankiety przedstawili własne zaniepokojenie pod względem bezpieczeństwa upublicznionych informacji. Dodatkowo, bez mala 90% z nich twierdzi, że jednolite regóły powinny dotyczyć krajów całej Unii Europejskiej.
Nadchodzące zmiany
Wchodzące rozporządzeie o należytym zabezpieczeniu informacji osobowych jest w znacznym zakresie podobne z aktualnie obowiązujacymi przepisami, aczkolwiek niektóre z nich będą przekrztałcone, a inne zupełnie zlikwidowane. Priorytetem ustawy RODO jest zgenaralizowanie niektórych spraw i dostosowanie norm prawnych do dzisiejszych wymogów. Rozporządzenie skupia się na priorytetach, jakie mają być osiągnięte, dopuszczając osobą zarządzającym firmami niezależność w wyborze i skoordynowaniu metod. Poniżej mieszczą się najważniejsze modyfikacje, jakie formułuje ustawa RODO.
Koniec obowiązku zgłaszania zbiorów do GIODO
Frustrujący właścicieli firm i utrudniający im funkcjonowanie powinność zgłaszania zgromadzonych informacji osobowych do GIODO (Generalny Inspektor Ochrony Danych Osobowych) wygaśnie. GIODO to instytucja do zadań bezpieczeństwa informacji osobowych nadzorujący na przykład jednakowość wykorzystywania informacji z normami prawnymi z ustawy i zarządzający rejestrem zbioru danych. Aczkolwiek to nie jednyna nowiść powiązana z tym organem, gdyż nie tylko powinność informowania o zbiorach wygaśnie, ale równeż sama instytucja będzie zniesiona, a tak na prawdę przeobrażona w PUEDO lub PUODO, czyli Prezes Urzędu Ochrony Danych Osobowych, jaki zostanie stworzony w jego obszar funkcjonowania.Wyraz przeobrażenie jest wyjątkowo adekwatną nazwą, albowiem PUODO będzie miał zbliżone uprzywilejowanie do obecnego GIODO. Nowe określenie instytucji zostało nadane ze względu na wprowadzenie przez ustawę RODO stanowisko “inspektora ochrony danych”, jakiej forma będzie przeanalizowana w dalszej części tej publikacji. Jej reprezentanci nie będą podporządkowani Generalnemu Inspektorowi Danych Osobowych, zachowując takie określenie tej instytucji mogłoby dać do zrozumienia,że wystąpił jakiś błąd przy wdrożeniu.
W ustawie RODO sprecyzowane są trzy postacie nadzoru, jaką może prowadzić PUODO:
* kontrola planowa - identyczny z utworzonym przedtem plamem nadzorowania; nie obliguje do zainicjowania porcesu w kwestii łamaniem norm prawnych o ochronie danych osobowych.
* kontrola doraźna - sprawowane jest obok planu kontroli, na ogół ze względu na zgłoszene np. prasowego albo pochodzącego od persony fizycznej; proces w kwestii łamania także nie jest podejmowany.
* kontrola prowadzona w toku postępowania administracyjnego - długości najwyżej miesiąca; wytyczono granicę, by przyspieszyć szybkość procesu sądowego związanych z łamaniem norm prawnych o chronie informacji osobowych.
Kary finansowe
Dodatkowa rola, jaką zyska PUODO to przywilej do dawania kar finansowych za zastosowanie się do nowych norm prawnych. Mogą one sięgać aż do 10 mln euro lub 2% rocznego obratu działalności gospodarczej , a gdy łamanie norm jest rażące kwota kary może wzrosnąć nawet do 20 mln euro lub 4% rocznego obratu (w czasie jej nalczania wyodrębniana będzie wyższa wartość). Niejesne jest, czy największymi z wspomnanych wartości finansowych będą obciążone niewielkie przedsiębiorstwa, czy jednoosobowe firmy. Głównie kary obejmą korporacje i organy wykorzystujące wielkie ilości danych, gdyż to w nich wystepuje największe niebezpieczeństwo w sprawieniu najpoważniejszych szkód odnoszących się do wielu osób. Minimalnie, trzeba wspomnieć, że konsekwencje będą dla ogółu ludzi, a receptą zapobiegnięcie im jest przystosowanie firmy do nowych wymogów.
Zmiany w regulacjach dotyczących haseł
Wprowadzenie RODO znamionuje także odwołanie centralnych dyrektyw tyczących się haseł stosowanych w sieci. Do tej pory jednostki mające dojście do informacji osobowych interesantów mogły być zmuszone do udostępnienia im wskazówek tyczącychs się długości hasła, częstotliwości jego zmiany, wielkości użytych liter czy ilości znaków specjalnych. Związane było to ze zredukowaniem zagrożeń zdobycie dostępu do informacji przez sosby niepożądane. Nowe rozporządzenie o ochrone informacji osobowych odwołuje te drobiazgowe instrukcje grneralizyjąc zapis o powinności zapenia bezpieczeństwa.
Wprowadzenie nowych procedur
Wcielenie RODO nie tylko redukuje pewne z dotąd aktualnych regulacji prawnych lub je zmienia. Pojawią się także całkiem nowe cztnności dbające o bezpecznr wykorzystywanie informacji osobowych.
Jedna z procedur ukrywa się pod nazwą “privacy by default”. Obliguje ona właściciela firmy ochrony informacji już w momencie projektowania wprowadzanego na rynek nowego asortymentu lub usługa. Precyzując: już w czasie nakreślania biznesplanu noweago serwisu www jego posiadacz będzie zmuszony obmyśleć różne warianty zabezpieczeń, jakich ma zamiar użyć do ochrony informacji interesaruszy.
Podobnie nazywa się procedura “privacy by default”. To zarządzene normujące mechanizmy gromadzenia informacji od interesaruszy. Zezwala się na pobieranie tylko tych informacji jakie są konieczne do rzeczywstej działalności, równolegle przejrzyście przedstawiając o celu, dla jakiego są zbierane. Po jego wykonaniu informacje muszą być usunięte, a zakomunikowanie interesaruszowi czasu, w jakim to się stanie także jest powinnością. Pozyskanych danych nie wolno używać do innych projektów, na co się nie zgodził. Dodatkowo posiadane informacje mają być prawdziwe i cyklicznie udoskonalane, niepoprawne kasowane. Zarządzenie to ma uniemożliwić niepotrzebnego zbierania i prztrzymywania informacji osobowych bez wiedzy interesariuszy.
Inwentaryzacja danych
Jednym z głównych dokumentów w przedsiębiorstwie stanie się rejestr czynności wykorzystywania. To zarządzany przez właśccieli firm zbiór danych o planach, dla których dysponowanie informacjami jest niezbędne, sposoby ich ochrony oraz formalnych tych informacji. Można się wzorować na adresach mailowych ludzi uczestnczących w konkursie, jakie były zgromadzone w celu powiadomienia o możliwej wygranej. Firmy mają zupełną autonomię w okolicznościach wyglądu i zakresu drobiazgowości tego dokumentu. Nie istnieje oficjalny wzór, jaki miałby oznacza przykład, dlatego definitywna decyzja o formie rejestru działalności wykorzystania danych zależy od danego przedsiębiorstwa. W przeciwieństwie do zbiorów przedłożonych do GIODO jest dokumentem wewnętrznym i jedynie podczas sprawdzania powinien być przejrzysty przy wglądzie. Bez wątpienia dogłębne opracowanie rejestru ma być głównym atutem w czasie kontroli i wykrycia nieprawidłowości, dlatego też połaca się naprzód o niego się zatroszczyć.
Obowiązek notyfikacyjny
Następną modyfikacją jest niepokojący rejestr naruszeń, a zatem odnotowanie wszystkich kwestii naruszenia przez przedsiębiorstwo ochrony dysponowanych informacji osobowych. Budzący nieporozumienia pośród właścicieli firm jest okoliczność, że o popełnionych niedosiągnięciach mogą być zobowiązani sami powiadomić obecny GIODO, a w przyszłości PUEDO (PUODO). Mają na to 72 h od chwili uprzytomnienia sobie, żę normy prawne zostały naruszone. W kwestii dużej lekkomyślności i naruszenia praw osoby, jakiej informacje wysiekły niezbędne będzie jej powiadomienie. Ewentualnością podobnych okoliczności może być cyberprzestępstwo lub atak hakerski.
Teraz przecieki informacji są słabo egzekwowane, jednostki nierzadko się do nich nie przyznają lub wręcz ich wypierają. Kiedy nowe rozporządzenie o bezpeczeństwie informacji osobowych wejdzie w życie, a w przedsiębiorstwe wystąpi kwestia naruszenia ochrony dysponwanych danych, kary staną się mnie dotkliwe, kiedy właściciel danej firmy sam da informację o popełnionych będzie. Wzięta pod uwagę będzie również chęć porozumienia i zastosowanie się do norm prawnych z ustawy.
Obowiązkowi notyfikacji należy także popatrzeć ze strony osób dających informacje i zastanowić się czy podjęcie takich środków uznałoby się za słuszne w przypadku wycieku informacji na temat własnej osoby.
Rozbudowany obowiązek informacyjny
Normalne zobowązanie informowania aktualnie mający moc prawną będzie poszerszony. Powinnością firmy stanie się przedstawienie podstawy prawnej, zgodnie z jaką wykozrystywane sa informacje interesanta. Rozszerzone klauzule na stronach www już w tym momencie budzą zniechęcenie. Po wdrożeniu w życie ustawy RODO będą jeszcze pokaźniejsze, dlatego zadaniem przedsiębiorstw będzie powiadomienie o checi udostepnienia informacji do państwa trzeciego, dysponowanych certyfikatach, czy zastosowanej ochronie. Nowe zobowiązania w obszarze drobiazgowego powiadomiania interesantów o wykorzystaniu ich informacji osobowych wynikają z poszerzonych praw, jakiegwarantuje im rozporządzenie RODO.
Nie zrobione odtąd do końca
Nowe i rozszerzone prawa osób fizycznych
Rozporządzenie RODO to odpowiedź na obawę osób prywatnych o bezpieczeństwo udostępnianych danych osobowych. Ma na celu zwiększenie ich ochrony i zapewnienie transparentnego dostępu do informacji o stosowanym sposobie przetwarzania personaliów. Podczas gdy dla firm oznacza to kolejne obowiązki, osoby fizyczne otrzymają nowe prawa.
Profilowanie
Innymi słowy jest to wnioskowanie na podstawie jednych danych osobowych o innych cechach ich właściciela. Zabieg ten ma szczególne znaczenie przy prowadzeniu działań marketingowych przez firmy bazujące na analityce danych. Jeżeli dana osoba regularnie chodzi na siłownię można przypuszczać, że dba również o zdrowe odżywianie. Na tej podstawie zostaje zakwalifikowana do grupy docelowej sklepu z organiczną żywnością, która kieruje do niej swoje reklamy. W przypadku profilowania w celach marketingowych użytkownik może zgłosić swój sprzeciw dla takich działań. Wdrożenie RODO umożliwia również sprzeciw w stosunku do decyzji podjętych wyłącznie w oparciu o profilowanie, a które wywołują dla użytkownika skutki prawne. Nie dotyczy to jednak przypadków, w których dana decyzja jest konieczna do zawarcia umowy między klientem a firmą i bazuje na jego wyraźnej zgodzie. Aby zasady były przejrzyste, już na etapie zbierania danych osobowych użytkownik powinien uzyskać informację o profilowaniu.
Prawo do bycia zapomnianym
Brzmi enigmatycznie, ale w pewien sposób funkcjonuje już teraz. Każdy obywatel po podaniu stosownego powodu może zażądać usunięcia swoich danych z baz firm czy instytucji, które je posiadają. Dotychczas decyzja ta, po złożeniu pisemnego wniosku, była wynikiem wyroku sądowego, ale od maja 2018 roku będzie stanowić przepis przysługujący każdej osobie, której dane będą przetwarzane. Pozwala to między innymi na zażądanie usunięcia konkretnego wyniku pojawiającego się w wyszukiwarce internetowej. Wyjątek stanowią materiały statystyczne niepozwalające na identyfikację osoby: jako jedyne mogą zostać zachowane.
Uprawnienie do żądania przeniesienia danych
Prawo to z pewnością zostanie pozytywnie odebrane przez osoby przetwarzane i przyszłych administratorów ich danych. Stwarza możliwość bezpośredniego przekazania danych osobowych innemu, wybranemu przez ich właściciela administratorowi. To dogodne rozwiązanie oszczędzające czas obu zainteresowanych stron.
Inspektor Ochrony Danych Osobowych (IOD)
Zastąpi on obecnego Administratora Bezpieczeństwa Informacji (ABI), który nie był dotychczas urzędem obligatoryjnym, niemniej istniał w wielu firmach. Po wdrożeniu nowych przepisów zakończy się swoboda wyboru i IOD będzie musiał zostać powołany nie tylko w przedsiębiorstwach, ale też wszystkich instytucjach publicznych (z wyłączeniem sądów), których działalność wiąże się z przetwarzaniem danych (również w jednostkach przetwarzających dane wrażliwe, dotyczące np. przestępstw).
Nie musi wiązać się to z dodatkowymi kosztami dla firm. Funkcja Inspektora Ochrony Danych Osobowych może zostać powierzona jednemu z obecnych pracowników i nie będzie przysługiwało mu z tego tytułu dodatkowe wynagrodzenie. Zmiana nazwy urzędu wiąże się też ze zwiększeniem kompetencji: IOD będzie monitorował przestrzeganie procedur w firmie i co najważniejsze, będzie mógł sankcjonować. Warto nadmienić, że osoba na tym stanowisku powinna dysponować ekspercką wiedzą w zakresie danych osobowych.
Jak przygotować się do RODO?
Przygotowania do wdrożenia RODO warto rozpocząć jak najwcześniej. Nowe przepisy mówią o regulacjach procesów wewnętrznych, więc przedsiębiorstwo dysponuje dużą swobodą w wyborze sposobu ich wprowadzenia: samo dobiera formy i decyduje o koniecznych zmianach. Jeżeli prowadzone do tej pory działania były zgodne z obowiązującymi przepisami, mogą stanowić punkt startowy przy wdrażaniu zmian, ponieważ część przepisów jest tożsama z obecnymi regulacjami. Natomiast omówione poniżej etapy mają na celu pomóc w zaplanowaniu przebiegu wdrożenia nowych zapisów i rozszerzeń.
Etap 1. Świadomość
Sposób myślenia pracowników determinuje charakter i rodzaj podejmowanych przez nich działań. Właśnie dlatego świadomość stanowi centralny element rozpoczęcia zmian. Wszyscy pracownicy w przedsiębiorstwie, a zwłaszcza osoby decyzyjne muszą wiedzieć o zmianach, które wprowadza RODO. Niemniej ważne jest powiadomienie ich o konsekwencjach wynikających z ich nieprzestrzegania. To klucz do podjęcia kolejnych kroków.
Etap 2. Audyt
Następnie należy przeprowadzić audyt, czyli sprawdzić jak procedury dotyczące ochrony danych osobowych w firmie wyglądają obecnie. Pozwoli to na późniejsze określenie rodzaju i ilości koniecznych zmian oraz zdefiniuje charakter działań, które należy podjąć, by dopasować się do wchodzących w życie przepisów.
Etap 3. Zaplanowanie i wdrożenie zmian
To etap, w którym należy wykorzystać informacje uzyskane podczas audytu i dostosować procesy do wymagań stawianych przez RODO. Podczas planowania uwzględnić trzeba wszystkie wymienione we wcześniejszej części artykułu obowiązki nakładane na przedsiębiorstwa oraz nowe prawa nadawane osobom fizycznym. Zarówno systemy IT, klauzule informacyjne oraz inne zasady dotyczące sposobu gromadzenia i przechowywania posiadanych informacji muszą być zgodne z nowymi przepisami.
Etap 4. Szkolenia dla pracowników
Czas na edukację pracowników dopasowaną stosownie do ich roli i kompetencji. Zorganizowanie szkoleń dla poszczególnych działów firmy na temat prowadzenia działań zgodnie z przepisami pomoże uniknąć wystąpienia błędów w przyszłości. Kluczem do ich skuteczności jest dopasowanie przekazywanych informacji do ról poszczególnych osób. Marketingowcy powinni dowiedzieć się więcej o profilowaniu, natomiast pani pracująca w sekretariacie o dodatkowych obowiązkach związanych z ochroną personaliów.
Etap 5. Kontrola
Ostatnim krokiem jest kontrola wprowadzonych zmian. To weryfikacja podjętych działań dostosowawczych oraz ich rezultatów. Pozwoli określić czy firma jest przygotowana na nowe przepisy oraz pokaże elementy wymagające dopracowania.
Rozporządzenie RODO wejdzie w życie już za kilka miesięcy. Opisane wyżej działania i przepisy mają na celu egzekwowanie podstawowego prawa obywateli Unii Europejskiej, jakim jest ochrona danych osobowych. Ustawa wprowadza zmiany, które teraz mogą wydawać się trudne do wdrożenia. Należy jednak pamiętać, że ochrona danych osobowych, to kwestia, która nie może pozostać zaniedbana, a troska o nią przyniesie korzyści całemu społeczeństwu.