Kolejne zmiany prawne w 2018 roku – RODO – ochrona danych osobowych
25 maja 2018 roku wchodzi w życie nowe unijne rozporządzenie – RODO, dotyczące ochrony danych osobowych. Niestety nie zawiera ono konkretnie sprecyzowanych wytycznych jak chronić dane osobowe. W związku z tym zastosowano zasadę podejścia opartego na ryzyku (risk based approach). Zasada ta uzależnia sposób realizacji obowiązków nałożonych na administratora danych osobowych od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz od ryzyka naruszenia praw i wolności osób, których dane dotyczą.
Z tego względu przedsiębiorcy będą musieli sami zaprojektować i wdrożyć własny system ochrony danych. Odpowiedzialność za to w jaki sposób dany przedsiębiorca zastosuje się do rozporządzenia, jakie środki ostrożności chce zachować oraz jak oceni ryzyko naruszenia danych osobowych leży po stronie przedsiębiorcy.
Ustawa o ochronie danych osobowych
27 marca 2018 rząd przyjął projekt ustawy dostosowującej polskie prawo do zasad zawartych w rozporządzeniu RODO. Jednym z głównych założeń projektu jest usprawnienie prowadzonych obecnie postępowań w sprawach ochrony danych osobowych. Zniesiona zostanie dotychczasowa dwuinstancyjność postępowania w sprawach naruszenia przepisów, dzięki czemu obywatel będzie miał możliwość szybszego uzyskania sądowej ochrony swoich praw. Nowe przepisy mają również zapewniać obywatelom lepszą ochronę przed nieuczciwymi praktykami.
Nowy projekt ustawy przewiduje ustanowienie niezależnego organu zajmującego się sprawami ochrony danych osobowych - Prezesa Urzędu Ochrony Danych Osobowych (PUODO) w miejsce GIODO. Dodatkowo zostanie powołany organ doradczy dla PUODO - Rada do Spraw Ochrony Danych Osobowych.
Z chwilą wejścia w życie nowej ustawy utraci moc dotychczasowa ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. Jeśli do dnia 25 maja 2018 ustawa nie wejdzie w życie przepisy RODO tymczasowo będą miały zastosowanie bezpośrednio
Zgoda i jej wyrażanie na przetwarzanie danych
Zgodnie z RODO „zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.
W praktyce może to polegać np. na zaznaczeniu check boxów podczas przeglądania strony internetowej i wysyłania zapytania do firmy lub też na podpisywaniu specjalnych oświadczeń, bądź innym zachowaniu, które w danym kontekście jasno wskazuje, że podmiot danych zaakceptował proponowane przetwarzanie jego danych osobowych. Zgoda może zostać wyrażona w formie:
- ustnej
- pisemnej
- elektronicznej
Zgoda powinna dotyczyć wszystkich czynności przetwarzania danach. Jeżeli przetwarzanie służy rożnym celom, potrzebna jest zgoda na wszystkie te cele. Milczenie, check boxy domyślnie zaznaczone lub niepodjęcie działania nie powinny być traktowane jako wyrażenie zgody. Dodatkowo klauzule dotyczące wykorzystania danych osobowych, które klienci dostają do podpisania w związku z przetwarzaniem ich danych, będą obszerniejsze, a przedsiębiorcy muszą do 25 maja 2018 r. przygotować nowe dokumenty prawne, uwzględniające poszerzony obowiązek informacyjny.
Prawa podmiotów danych
Zgodnie z brzmieniem rozporządzenia, od 25 maja 2018 r. podmioty danych zostaną wyposażone w dodatkowe uprawnienia, między innymi takie jak:
- Prawo do bycia zapomnianym – podmiot danych ma prawo zażądać od administratora niezwłocznego usunięcia jego danych osobowych, jeżeli zajdzie jedna z enumeratywnie wymienionych okoliczności z art. 17 ust. 1 pkt. RODO
- Prawo do ograniczenia przetwarzania – osoba, której dane dotyczą, ma prawo żądania od administratora danych ograniczenia przetwarzania jej danych osobowych w przypadkach wymienionych w art. 18 ust. 1 pkt. RODO.
Obowiązki ciążące na firmach przetwarzających dane
Rozporządzenie RODO nakłada na firmy, dosyć ogólnie sformułowany obowiązek ochrony praw osób i spełnianie wymogów rozporządzenia poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych. Środki, o których mowa, muszą dotyczyć nie tylko samego przetwarzania danych, lecz także określania jego sposobów. W tekście RODO prawodawca zamieszcza ich przykłady. Są to:
- pseudonimizacja (czyli odwracalna anonimizacja danych),
- minimalizacja (czyli pozyskiwanie tylko niezbędnych danych),
- zapewnienie niezbędnych zabezpieczeń.
Techniki anonimizacji zostały doprecyzowane w artykule 29, dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. Wskazuje on, że „zasady ochrony danych osobowych nie powinny mieć zastosowania do informacji anonimowych, czyli do takich, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których te dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować”. Z powyższego można wysnuć wniosek, że jest to działanie nieodwracalne – po zanonimizowaniu danych w przyszłości nie będzie możliwe zidentyfikowanie określonej osoby na podstawie tych informacji
Innym działaniem jest pseudonimizacja. Jest to szczególny sposób przetwarzania danych, zbliżony do anonimizacji, z tą istotną różnicą, że proces ten ma być odwracalny. W RODO wyraźnie wskazano, że pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Zaletą pseudonimizacji jest fakt, że może ograniczyć ryzyko dla osób, których dane dotyczą oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych. Należy pamiętać, że pseudonimizacja odbywa się według określonego klucza, który musi być przechowywany osobno.
System ERP a ochrona danych osobowych
Systemy informatyczne powinny być na tyle elastyczne, aby móc wspierać przedsiębiorców w spełnieniu nowych wymogów rozporządzenia RODO. Jednak odpowiedzialność za to w jaki sposób dany przedsiębiorca zastosuje się do rozporządzenia, jakie środki ostrożności chce zachować oraz jak oceni ryzyko naruszenia danych osobowych leży tylko i wyłączenie po stronie przedsiębiorcy, firmy informatyczne są w tym wypadku podwykonawcą, dostosowującym system do oczekiwań przedsiębiorcy, interpretującego rozporządzenie RODO.
Firma ODL chcąc jak najlepiej wesprzeć swoich klientów, dostarczy w najnowszej wersji oprogramowania wzmocnioną kontrolę dostępu do zbioru danych osobowych oraz możliwość ich anonimizacji oraz pseudonimizacji. Kontrola dostępu będzie polegała na ograniczeniu poszczególnym grupom pracowników podglądu danych osobowych klientów. Wyszukanie konkretnego klienta będzie możliwe dopiero po podaniu przez niego informacji jednoznacznie go identyfikującej. Dane innych klientów nie będą w trakcie tej operacji dostępne. Pseudonimizacja danych polegać będzie na odwracalnym usunięciu danych klienta. Wszystkie informacje o kliencie zostaną ukryte i nie będzie istniała możliwość zidentyfikowania takiego klienta oraz przetwarzania jego danych, do momentu ponownego wyrażenia zgody przez tego klienta. System dostarczy również anonimizajcę danych - czyli trwałe usunięcie danych osobowych klienta z bazy danych systemu.
Zachęcamy Państwa do zapoznania się z poradnikiem wydanym przez PARP oraz zgłaszania do nas potrzeb na wprowadzenie dodatkowych, indywidualnych zmian w systemie.
Konsekwencje nie stosowania się do RODO
Zmiany mają być ukłonem w stronę konsumentów, jednak nad przedsiębiorcami zawisa widmo wysokich kar. Niedopilnowanie nowych obowiązków dotyczących ochrony danych osobowych może kosztować firmę nawet do 20 mln euro lub 4 proc. rocznego obrotu firmy. W związku z powyższym zachęcamy Państwa do szczegółowego zapoznania się z nowym rozporządzeniem oraz do śledzenia komunikatów Ministerstwa Cyfryzacji, aby na ich podstawie już teraz zacząć dostosowywać swój biznes do regulacji, które z dniem 25 maja wejdą w życie.