Dzień 25 maja 2018 roku przyniesie istotne zmiany firmom zlokalizowanym lub prowadzącym działalność gospodarczą w Europie. Jeśli przetwarzają one dane osobowe, czyli informacje umożliwiające identyfikację osoby fizycznej, jak imiona i nazwiska lub numery telefonów, będą musiały podporządkować się nowemu Rozporządzeniu o Ochronie Danych Osobowych (RODO). Jego głównym celem jest przywrócenie obywatelom UE kontroli nad danymi. Obecnie, pomimo obowiązujących przepisów, wiele osób nie wie, gdzie zbierane są ich dane osobowe i do jakich celów. Teraz ma się to zmienić.
Cztery miesiące przed końcem okresu przejściowego w wielu firmach wewnętrzne projekty mające na celu dostosowanie działań do nowych regulacji jeszcze się nie skończyły albo mają dopiero się zacząć. Lepiej, żeby się zaczęły jak najszybciej. W przeciwnym razie firma może zostać ukarana grzywną w wysokości nawet 20 mln euro lub 4% obrotu. Nie mówiąc już o pozwach sądowych, które maja prawo składać właściciele danych osobowych.
Przyjrzyjmy się zatem kilku kwestiom związanym z nowym rozporządzeniem i sprawdźmy, co w praktyce oznacza ono dla firm z branży IT. 

Zakres zmian

W ogólności Rozporządzenie o Ochronie Danych Osobowych zawiera przepisy dotyczące przetwarzania danych i praw obywateli UE. Oznacza to, że firmy przetwarzające dane (administratorzy danych lub podmioty przetwarzające dane w imieniu administratorów danych) muszą zadbać o zgodność z nowymi wytycznymi.
Przetwarzanie danych będzie teraz musiało odbywać się zgodnie z następującymi siedmioma zasadami: 

  1. Zgodnie z zasadą legalności, aby zacząć zbieranie danych osobowych, niezbędna będzie podstawa prawna – zbiór takich podstaw wymieniony jest w rozporządzeniu. Aby proces przetwarzania był ważny, zgoda będzie musiała być wyrażona w sposób jednoznaczny i na zasadzie dobrowolności, nie zaś domyślnie. Dodatkowo, zgoda na każdy cel musi być udzielona osobno.
  2. Zasada przejrzystości, według której prośby o zgodę na przetwarzanie danych muszą być sformułowane w zrozumiały sposób.
  3. Zasada merytorycznej poprawności, która wymaga, aby administrator zapewnił aktualność i zgodność z prawdą przetwarzanych danych osobowych.  
  4. Zasada minimalizacji danych, zgodnie z którą nie tylko należy ograniczyć zbieranie danych do tych, które faktycznie są niezbędne, ale też zadbać, aby nie były przechowywane dłużej niż to konieczne.  
  5. Zasada celowości, która mówi, że dane powinny być przetwarzane wyłącznie do celów, dla których zostały zebrane, a każdy nowy cel wymaga nowej zgody.  
  6. Zasada poufności, według której administrator ma obowiązek chronić dane przed nieautoryzowanym dostępem i nie dopuścić do ich utraty, uszkodzenia czy zniszczenia.
  7. Zasada odpowiedzialności, która wymaga, aby firma zapewniła i wykazała zgodność swoich działań w zakresie zbierania danych z wytycznymi RODO na żądanie organów upoważnionych do kontroli w danym kraju.

Niektóre prawa przyznawane osobom fizycznym w ramach RODO obowiązywały w różnych formach już wcześniej. Jest to np. prawo do usuwania danych (zapomnienia), dostępu do nich lub do sprzeciwu / ograniczenia przetwarzania danych. Nowością jest możliwość przenoszenia danych, teoretycznie pozwalająca na uzyskanie danych i przeniesienie ich do innego dostawcy. Wprowadzenie w życie tego prawa może być jednak trudne, ponieważ nie zostały zdefiniowane dla niego praktyczne standardy. 

Kto podlega nowym regulacjom? 

RODO ma zastosowanie, jeżeli podmiot przetwarzający dane ma siedzibę w Unii Europejskiej lub prowadzi w UE działalność gospodarczą. Dotyczy to więc również firm mających siedzibę poza granicami Unii. Co ważne, przetwarzanie wszystkich rodzajów danych osobowych musi być zgodne, zaczynając od danych biznesowych dotyczących klientów, a kończąc na wewnętrznych bazach danych HR.

Ponadto dane mogą być przechowywane w różnej formie, a przetwarzanie tekstowych danych osobowych jest wyraźnie opisane w RODO. Pseudonimizowane dane, czyli takie „których nie można już przyporządkować do konkretnego podmiotu bez wykorzystania dodatkowych informacji” oraz dane anonimowe („osoba, której dotyczą, nie jest lub przestała być możliwa do zidentyfikowania”) mogą, pod pewnymi warunkami, podlegać nieco łagodniejszym regulacjom. W pierwszym przypadku wymagane jest oddzielne przechowywanie „dodatkowych informacji”, umożliwiających identyfikację osoby. W drugim zaś można dowolnie dane wykorzystywać po spełnieniu dokładnych warunków anonimizacji. 

Konsekwencje RODO w praktyce 

Przygotowanie do wprowadzenia RODO będzie wymagało od firm podjęcia działań na kilku poziomach. Procesy i zarządzanie na poziomie organizacyjnym będą musiały być dostosowane do nowych wytycznych. Kwestią o szczególnym znaczeniu dla Goyello i naszych klientów są sprawy związane z tworzeniem rozwiązań IT i wpływ nowych regulacji prawnych na tę sferę działań. 

Konsekwencje na poziomie organizacyjnym i procesów 

Organizacje publiczne i firmy prywatne zajmujące się przetwarzaniem danych będą musiały powołać inspektora ochrony danych osobowych. Do głównych obowiązków na tym stanowisku należeć będzie zapewnienie zgodności z przepisami poprzez wspomaganie i monitorowanie prowadzenia dokumentacji wewnętrznej. W przypadku mniejszych firm, inspektor będzie mógł obsługiwać kilka podmiotów jednocześnie. Będzie on również powiadamiał organy regulacyjne o przypadkach naruszenia danych. Informacje tego typu będzie zobowiązany przekazać w ciągu 72 godzin od chwili, gdy dowiedział się o wystąpieniu problemu.

Zgodnie z RODO, przed rozpoczęciem wybranych typów przetwarzania danych (np. na dużą skalę) konieczne będzie przeprowadzenie tzw. oceny wpływu na ochronę danych, określenie zakresu, kontekstu i celów tych działań wraz z opracowaniem stosowanej technologii. Efektem takich działań ma być opis planowanych działań, ocena ich zasadności oraz analiza i ograniczenie ryzyka.
Zasada minimalizacji danych w praktyce oznacza również, że dane osobowe przechowywanych w firmie będą musiały być regularnie przeglądane, aby upewnić się, że w bazie są tylko informacje faktycznie niezbędne.

Wpływ RODO na rozwiązania IT 

Twórcy rozwiązań informatycznych z pewnością będą musieli wziąć pod uwagę nowe rozporządzenie. RODO wprowadza dwa pojęcia: poszanowania prywatności od samego początku i prywatność domyślną. Wprowadzenie ich w życie będzie wymagało przygotowania odpowiednich środków bezpieczeństwa, dzięki którym kwestie prywatności będą zabezpieczone już na etapie projektowania rozwiązań. Dodatkowo opcje prywatności będą musiały być domyślnie włączone od samego początku interakcji użytkownika z systemem.

Jeśli chodzi o funkcjonalności, administratorzy na pewno będą potrzebowali mieć możliwość usuwania użytkownika na jego życzenie. Nie jest jednak jasne, co zrobić z powiązanymi danymi. Możliwość eksportowania danych użytkownika „w ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie” to też kwestia wymagająca przemyślenia. Oprócz tego, z pewnością wszystkie zgody muszą być sprawdzone, aby upewnić się, że każda z nich opisuje jeden cel przetwarzania i jest jasno sformułowana. 

Jak zacząć? 

Mimo że RODO zostało przyjęte jako jednolita regulacja i nie wymaga dostosowania przez państwa członkowskie UE, każdy kraj może dopasować je do własnych potrzeb i uwzględnić w nim bardziej szczegółowe przepisy. Dlatego zawsze warto w pierwszej kolejności zwrócić się do prawnika, który wskaże, jakie wymagania firma musi spełnić.

Najlepszym rozwiązaniem dla wielu firma może okazać się powołanie interdyscyplinarnego zespołu z jedną osobą na czele. Zadaniem tego zespołu powinno być sprawdzenie, jakie dane osobowe są w firmie przetwarzane, aby następnie określić realne cele i kolejne etapy działań, takie jak stosowanie i interpretowanie RODO w kontekście organizacji. W przypadku niektórych aspektów, nie opisanych zostały wyraźnie w rozporządzeniu (np. możliwości przenoszenia danych), konieczne będzie ustalenie sposobu postępowania. Kolejne kroki prawdopodobnie obejmą usunięcie znalezionych luk, przegląd polityki prywatności oraz stworzenie takiej struktury organizacyjnej i zarządzania, aby zapewnić zgodność w dłuższej perspektywie czasowej. 

Przydatne źródła