1
lis
2017
0

RODO się zbliża, czyli nowe zasady ochrony danych osobowych

Tematyka ochrony danych osobowych wielu przedsiębiorcom kojarzy się wyłącznie z formalizmem oraz generowaniem pustych dokumentów i procedur. Pomimo ogromnej doniosłości prawnej i biznesowej ochrony danych osobowych, przedsiębiorcy, zwłaszcza z branż „pozainternetowych”, traktują ją jak zło konieczne.

Co więcej, wielu z nich nie spełnia wymogów stawianych przez obecną ustawę o ochronie danych osobowych, pomimo iż zawiera ona niemal gotową instrukcję mówiącą jak należy zorganizować firmę żeby przestrzegać obowiązujących wymogów. Jak zatem wyglądać będzie sytuacja przedsiębiorców, gdy zaczną obowiązywać nowe i zdecydowanie mniej dookreślone przepisy unijnego rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, czyli tzw. RODO? Czy nowe wymogi będą łatwiejsze do spełnienia aniżeli rygory obecnej ustawy? Jakie w ogóle będą zasady i procedury przetwarzania danych osobowych pod rządami RODO? Na te i inne pytania postaram się odpowiedzieć w serii artykułów na temat RODO.

Ustawa o ochronie danych osobowych

Żeby zorientować się, jakie zmiany w zakresie ochrony danych osobowych nastąpią po wejściu w życie RODO, należy w bardzo skondensowanej formie zapoznać się z obecnymi wymogami prawnymi stawianymi przez ustawę o ochronie danych osobowych.

I tak, obecna ustawa zawiera podstawowe zasady ochrony danych osobowych. W świetle ustawy, każdy administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem i w ściśle oznaczonym celu, żeby były merytorycznie poprawne i adekwatne w stosunku do tego celu, jak również przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Ponadto, dane osobowe mogą być przetwarzane wyłącznie w ściśle określonych sytuacjach, w tym np. po uzyskaniu zgody osoby, której dane dotyczą, bądź gdy jest to konieczne dla realizacji umowy lub wypełnienia prawnie usprawiedliwionych celów.

Ustawa nakłada szereg obowiązków informacyjnych związanych z przetwarzaniem danych osobowych względem osób, których dane są przetwarzane, oraz wprowadza wymogi, w świetle których każdy administrator danych osobowych powinien posiadać dokumentację dotyczącą ochrony danych osobowych oraz stosować tę dokumentację w bieżącej działalności (tj. np. politykę bezpieczeństwa, instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, upoważnienia do przetwarzania danych osobowych dla wszystkich osób posiadających dostęp do danych osobowych, ewidencję osób upoważnionych do przetwarzania danych osobowych, jak też umowy na powierzenie przetwarzania danych osobowych przez podmioty zewnętrzne). Obecna ustawa nakłada oczywiście również obowiązek rejestrowania poszczególnych zbiorów danych w GIODO.

Innymi słowy, na gruncie ustawy o ochronie danych osobowych przedsiębiorcy co do zasady wiedzą jakie wymogi powinni spełnić oraz jakie dokumenty i procedury powinni posiadać i wdrożyć, aby ich biznes był zgodny z obowiązującym prawem.

Nowe podejście RODO

RODO opiera się na całkowicie odmiennych założeniach. Przede wszystkim RODO co do zasady nie określa dokumentacji, jaka powinna być opracowana i wdrożona u danego administratora w celu spełnienia wymagań dotyczących ochrony danych osobowych. Zgodnie z podejściem RODO, każdy administrator sam powinien podjąć takie kroki i działania, które zapewnią bezpieczeństwo przetwarzanych danych osobowych. Celem RODO jest pozostawienie administratorowi swobody w wyborze rozwiązań, z jednoczesnym wyraźnym zobligowaniem go do przeprowadzenia wieloaspektowej analizy oraz oceny ryzyka związanego z przetwarzaniem danych. Świadczy to o elastyczności RODO, które nie traktuje wszystkich jedną miarą – mały przedsiębiorca nie jest bowiem zobowiązany do stosowania wszystkich procedur i rygorów przewidzianych dla dużych administratorów danych.

W świetle RODO, od momentu rozpoczęcia jego obowiązywania, tj. od dnia 25 maja 2018 roku, administrator danych osobowych nie będzie zobligowany np. do posiadania polityki bezpieczeństwa ani instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Administrator nie będzie musiał również zgłaszać zbiorów danych osobowych do GIODO. Ponadto, nie będzie bezwzględnie wymagane udzielanie upoważnień do przetwarzania danych ani prowadzenie ewidencji osób upoważnionych. We wszystkich tych kwestiach RODO zostawia firmom dowolność i wymaga jedynie spełnienia założeń rozporządzenia, czyli poprawnej i adekwatnej do analizy ryzyka ochrony danych osobowych.

Jaka będzie praktyka?

Jak zatem wyglądać będą w praktyce rygory ochrony danych osobowych pod rządami RODO? Czy przedsiębiorcom łatwiej będzie przystosować firmy do nowych wymogów? Czy brak formalistycznych procedur i dokumentów spowoduje, że ochrona danych osobowych będzie łatwiejsza i bardziej przystępna? Nie ma jednoznacznej odpowiedzi na te pytania. W kolejnych artykułach postaram się przybliżyć tematykę ochrony danych osobowych w kontekście nowych, szczegółowych wymogów stawianych przez RODO, oczywiście z odniesieniami do obecnie obowiązującej ustawy. Postaram się również wyjaśnić, w jaki sposób radzić sobie z tematyką ochrony danych osobowych nie rezygnując jednocześnie z przyjemności prowadzenia biznesu.

Przeczytaj również

Czym są dane osobowe i na czym polega ich przetwarzanie w świetle RODO

Skomentuj