RODO - Rozporządzenie Ogólne o Danych Osobowych w praktyce: Wielka zmiana, do której muszą dostosować się firmy
25 maja 2018 roku - od tego dnia zaczyna w krajach UE obowiązywać Rozporządzenie Ogólne o Danych Osobowych (RODO). - To wielka zmiana. Po raz pierwszy osoby fizyczne zyskają efektywne narzędzia ochrony danych osobowych - mówi mecenas Anna Sobol, radca prawny, koordynator zespołu odpowiedzialnego za wdrożenie RODO w Beyond.pl.
Dzięki rozporządzeniu RODO przeciętny Polak będzie mógł zarządzać swoimi danymi osobowymi i decydować o ich wykorzystaniu (np. poprzez prawo do bycia zapomnianym). Z kolei dla przedsiębiorców nowe prawo to wręcz rewolucja. To na nich bowiem spadną obowiązki związane z wdrożeniem przepisów o ochronie danych osobowych, które - co ważne - nie są precyzyjnie określone.
Ich błędne stosowanie może jednak oznaczać gigantyczne kary - nawet do 20 milionów euro. Jak się przed nimi ustrzec? Kim jest administrator i procesor według RODO? Jak bezpiecznie przechowywać dane w chmurze? Odpowiedzi między innymi na te pytania znajdą przedsiębiorcy podczas konferencji „RODO w praktyce”, która odbędzie się w centrum danych Beyond.pl 25 kwietnia, czyli dokładnie miesiąc przed wejściem w życie zmian związanych z zarządzaniem danymi osobowymi.
Kogo dotyczy rozporządzenie?
RODO będą musiały wdrożyć wszystkie firmy, które gromadzą i przetwarzają dane osobowe na dużą skalę. Chodzi między innymi o przedsiębiorstwa z branży takiej jak: e-commerce, marketingu czy te specjalizujące się w sprzedaży baz danych klientów.
- To pierwsza grupa. Do kolejnej zaliczyłabym instytucje finansowe: banki, ubezpieczycieli, jak i podmioty świadczące usługi na rynku medycznym - mówi mecenas Anna Sobol i zwraca uwagę, że w tej drugiej grupie znajdują się przedsiębiorstwa, które posiadają tzw. dane wrażliwe osób fizycznych. - I tutaj jest wymagane silniejsze zabezpieczenie tych danych, ponieważ szkody związane z ujawnieniem na przykład stanu zdrowia pacjenta są potencjalnie dużo większe niż te związane ze wskazaniem jego miejsca zamieszkania.
Rozporządzenie nie będzie dotyczyło tylko wielkich korporacji, np. medycznych, ale także właścicieli niewielkiej przychodni lekarskiej, która zatrudnia kilku lekarzy specjalistów. Tam bowiem także gromadzone i przetwarzane są dane osób fizycznych.
- Lekarz prowadzący przychodnię też musi zastosować to rozporządzenie. Co prawda w polskim projekcie ustawy o ochronie danych osobowych wskazano, że pewne ułatwienia będą mieli mikroprzedsiębiorcy zatrudniający do 9 osób, ale faktycznie będą one niewielkie
- wyjaśnia ekspert.
Nowe prawo, ale bez jednoznacznych wytycznych
Rozporządzenie RODO trzeba stosować wprost - zgodnie z prawem unijnym. Ale problemem, który niewątpliwie utrudni działania polskich przedsiębiorców, jest fakt, że nie ma jednoznacznych wytycznych, jak należy spełnić te przepisy. Przedstawiciele firm wskazują, że brakuje „instrukcji obsługi RODO”, czyli dokumentu dającego przykłady konkretnych wdrożeń nowego prawa krok po kroku.
Co prawda pojawiają się ogólnie dostępne, bezpłatne publikacje na temat wdrożenia RODO, lecz w większym stopniu zwraca się w nich uwagę jedynie na wymogi prawne oraz ryzyka, jakie każda z organizacji powinna uwzględnić.
Wynika to z założenia, że przedsiębiorcy mają samodzielnie decydować, co ich zdaniem zapewni właściwą ochronę danych osobowych - tylko oni znają bowiem własną organizację, procesy biznesowe i przepływ danych osobowych. RODO nie wskazuje jednak, jakimi metodami, procedurami można tę ochronę zapewnić.
- To przedsiębiorcy muszą wiedzieć, na co ich stać, jakie są ich możliwości, jak wdrożyć te regulacje - przekonuje Anna Sobol. - To oczywiście wymaga bardzo dużej świadomości. RODO tworzy możliwości korzystania z kodeksów dobrych praktyk, uzyskania certyfikatów potwierdzających spełnianie wymogów, jednak do czasu uchwalenia polskiej ustawy o ochronie danych osobowych te narzędzia nie są dostępne. Mam nadzieję, że niebawem ustawodawca uchwali ustawę precyzującą zasady uzyskania certyfikatu czy akceptacji kodeksów dobrych praktyk. Do tego czasu pozostaje posiłkowanie się wytycznymi opracowanymi przez reprezentantów urzędów ochrony danych osobowych ze wszystkich krajów Unii Europejskiej w ramach tzw. grupy art. 29 - dodaje.
RODO bez strachu
Firmy, które nie wdrożą nowych zasad bezpieczeństwa, muszą liczyć się z surowymi karami administracyjnymi: do 20 milionów euro lub do 4 proc. całkowitego rocznego obrotu z poprzedniego roku obrotowego.
Eksperci przekonują jednak, że mimo wątpliwości związanych z wejściem w życie nowego rozporządzenia, nie należy się go bać.
- Te gigantyczne kary, o których sporo mówi się przy okazji RODO, to maksymalne stawki. Wątpię, by po 25 maja 2018 roku kary były masowo nakładane na przedsiębiorców, którzy wadliwie wdrożą RODO. Organ nadzoru z pewnością będzie szczegółowo analizował, czy podmiot przetwarzający dane osobowe wziął pod uwagę ryzyka związane z naruszeniem zasad ich bezpieczeństwa i w jaki sposób je zabezpieczył. Na ostateczną wysokość kary z pewnością będą miały także wpływ podejmowane przez przedsiębiorców działania zapewniające ochronę danych osobowych. Co więcej, proces ochrony danych osobowych będzie okazją do ciągłego rozwoju każdego przedsiębiorcy w tym zakresie. Błędy będzie można skorygować między innymi dzięki zaleceniom publikowanym przez organ nadzoru, czyli Głównego Inspektora Ochrony Danych Osobowych - tłumaczy radca prawny Anna Sobol, która wyjaśnia także na czym będzie polegała rola procesora.
- Beyond.pl świadczący usługi przechowywania danych w chmurze będzie miał także szereg obowiązków wynikających z roli procesora, a o tym mało się obecnie mówi. Główny przekaz dotyczy administratorów, czyli firm, które gromadzą dane osobowe. W rozporządzeniu unijnym o RODO po raz pierwszy precyzyjnie określono, czego administrator może oczekiwać od procesora. Kluczowy stanie się czas reakcji, zdolność do raportowania oraz zaświadczenie, że wykonało się wszystko, aby dane były należycie chronione. W Beyond.pl spełniamy najwyższe standardy bezpieczeństwa, co potwierdzają uzyskane przez nas certyfikaty - mówi ekspert i dodaje:
- Wyróżnia nas także to, że nie mamy podwykonawców, którzy odpowiadają za zwirtualizowanie i utrzymanie infrastruktury IT. U nas wszystkie zasoby znajdują się w jednym miejscu co w znacznym stopniu pozwala wprowadzić jednolite standardy i procedury
- mówi mecenas Sobol.
To jednak nie jedyne ułatwienie dla przedsiębiorców. Dzięki porozumieniu Microsoft i Beyond.pl polscy klienci uzyskali również możliwość przetwarzania danych w chmurze Microsoft Azure z lokalnego, polskiego centrum danych, które znajduje się w stolicy Wielkopolski.
RODO - SŁOWNIK POJĘĆ:
- General Data Protection Regulation (GPDR) - Rozporządzenie Ogólne o Ochronie Danych Osobowych (skrót polski: RODO) - prace nad dokumentem były prowadzone przez cztery lata. I choć został on uchwalony przez Parlament Europejski i przyjęty przez Radę Unii Europejskiej dwa lata temu, to samo rozporządzenie w państwach członkowskich zacznie obowiązywać od 25 maja 2018 r.
- Administrator i procesor - Administrator to na przykład przedsiębiorca, który przechowuje, zarządza i przetwarza dane osobowe osób fizycznych. Procesorem jest podmiot przetwarzający dane osobowe w imieniu i na rzecz administratora. Ze względów m.in. bezpieczeństwa administrator może powierzyć, na podstawie umowy, przetwarzanie danych innemu podmiotowi, czyli właśnie procesorowi, którym może być centrum danych, takim jak Beyond.pl.
- Zasady RODO - W przepisach zostały sformułowane m.in. takie zasady jak: zgodność z prawem, rzetelność i przejrzystość, minimalizacji danych, ograniczenia przechowania danych czy ich rozliczalność.
- Chmura obliczeniowa - Usługa polegająca na przetwarzaniu danych w oparciu o sprzęt i oprogramowanie dostarczone przez usługodawcę. W praktyce klient potrzebuje jedynie urządzenia końcowego i dostępu do sieci, aby móc korzystać ze swoich danych zlokalizowanych w zewnętrznym data center. Największą zaletą chmury jest jej skalowalność, co przekłada się na stały dostęp do danych nawet w chwili wzmożonego ruchu np. na stronie internetowej. To także usługa o wysokim poziomie bezpieczeństwa.