Gwałtowny postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacząco wzrosła, a dzięki technologii ICT zarówno przedsiębiorstwa prywatne, jak i organy publiczne mogą na niespotykaną dotąd skalę wykorzystywać dane osobowe w swojej działalności. Przemiany te wymagają stabilnych, spójniejszych ram ochrony danych osobowych w Unii Europejskiej oraz zdecydowanego ich egzekwowania, gdyż ważna jest budowa zaufania, które pozwoli na rozwój gospodarki cyfrowej na rynku wewnętrznym. Dlatego też w dniu 25 maja 2018 r. wejdą w życie przepisy Rozporządzenia  Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych, dalej RODO)[1]. Osoby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi. Osoby fizyczne, podmioty gospodarcze i organy publiczne powinny zyskać większe poczucie pewności prawa i jego stosowania w praktyce[2].

Z uwagi na szczególny charakter prawny rozporządzenia wszystkie materialne przepisy będą od 25 maja 2018 r. obowiązywać bezpośrednio i będą miały bezpośredni skutek. Wszystkie obowiązki administratorów danych wynikające z RODO będą musiały być wykonywane od tego dnia. Istotną zmianą jest także możliwość nałożenia na administratorów danych administracyjnej kary pieniężnej przez organ ochrony danych osobowych w wysokości nawet do 20 mln euro.

Czy jesteś gotowy na RODO? To pytanie warto sobie zadać już dziś i sukcesywnie prowadzić proces wdrażania rozporządzenia tak aby w dniu 25 maja 2018 r. móc wykazać zgodność procesów przetwarzania danych z przepisami rozporządzenia i uniknąć kary za niestosowanie nowych regulacji. Część przepisów wymaga działań na poziomie krajowym, trwają obecnie prace nad projektem ustawy o ochronie danych osobowych, która w odpowiednim zakresie uzupełni RODO.

RODO zmienia podejście do ochrony danych osobowych – z ochrony reaktywnej na aktywną. To na administratorze danych ciąży odpowiedzialność za właściwą ocenę ryzyka związana z przetwarzaniem danych osobowych i wdrożenie wewnętrznych procedur zapewniających zgodność takich operacji z przepisami. Obecnie obowiązujący ogólny obowiązek zgłaszania do GIODO zbiorów danych do rejestracji przestanie obowiązywać. W to miejsce RODO wprowadza skuteczne procedury i mechanizmy koncentrujące się na tych operacjach przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. To administrator danych ma ocenić jakie zbiory danych ma w swoich zasobach, jakim ryzykiem obarczone jest przetwarzanie danych w tych zbiorach, by następnie wdrożyć mechanizmy zapobiegające wystąpieniu tych ryzyk. RODO wprowadza podejście do przetwarzania danych osobowych oparte na analizie ryzyka (risk based approach).

RODO nakłada nowe obowiązki informacyjne. Informacje maja być podawane jasnym, prostym językiem, wprowadzono tym samym przejrzystość komunikowania i informowania (art. 12 RODO). Wprowadzono obowiązek informowania, o okresie przez który dane będą przetwarzane, o ewentualnym fakcie profilowania (art. 13 i 14 RODO). Wprowadzono prawo do kopii danych (art. 15 ust. 3 RODO).

Poszerzony został katalog uprawnień osób, których dane osobowe dotyczą. Obejmuje on: prawo do informowania przejrzystego w określonym trybie (miesiąc z możliwością przedłużenia o kolejne dwa m-ce), poszerzony zakres prawa do bycia poinformowanym z urzędu i na wniosek, prawo do sprostowania danych, prawo do usunięcia danych (bycia zapomnianym), prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do sprzeciwu, prawo do niepodlegania decyzji podjętej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Część z tych uprawnień obowiązuje już dziś, jednak warto zweryfikować czy przyjęliśmy odpowiednie procedury respektujące te prawa, a jeżeli tak to w jakim stopniu są one skuteczne. Ewolucji ulęgną także obowiązki w zakresie uzyskiwania zgody na przetwarzanie danych osobowych oraz w zakresie posiadanej przez administratora danych dokumentacji przetwarzania danych.

RODO ma także bezpośredni wpływ na wykonywanie swoich funkcji przez administratorów bezpieczeństwa informacji. Ustawodawca europejski wprowadził instytucję inspektora ochrony danych i określił jego nowy status oraz zadania. Tym samym wyznaczył inspektorom kluczową rolę w nowym systemie ochrony danych osobowych.

Podsumowując, RODO stawia przed administratorami danych szereg wyzwań:  obowiązek uwzględniania ochrony danych osobowych w fazie projektowania, obowiązek wprowadzenia domyślnej ochrony danych, obowiązek dokonywania oceny skutków planowanych operacji przetwarzania danych, obowiązek rejestrowania czynności przetwarzania danych, obowiązek współpracy z organem nadzorczym, obowiązek zgłaszania naruszenia ochrony danych osobowych, konsultowanie rozpoczęcia przetwarzania danych osobowych z organem nadzorczym oraz wyznaczenie inspektora ochrony danych jako czynność obligatoryjna w niektórych przypadkach a nie wyłącznie fakultatywna.

Zostało kilka miesięcy do wejścia w życie RODO. Czy jesteś na nie gotowy?

 

[1] Dz. Urz. UE, L 119/1.

[2] Punkt 6 i 7 Preambuły Rozporządzenia 2016/679.

Autor: Dr Małgorzata Ganczar

Przygotuj swoją jednostkę na RODO. Weź udział w szkoleniu:
PRZESTRZEGANIE PRZEPISÓW OCHRONY DANYCH OSOBOWYCH W SZKOLE WYŻSZEJ