RODO

RODO, czyli ochrona danych 2.0.

Czy nowe unijne przepisy oznaczają trudności dla przedsiębiorców?

Już za kilka dni wchodzą w życie nowe unijne przepisy dotyczące ochrony danych osobowych. Specjalnie dla naszych klientów znaleźliśmy artykuł z Business Insider Polska, którego fragmenty cytujemy poniżej. Cały artykuł mogą Państwo przeczytać na stronie: https://businessinsider.com.pl/firmy/przepisy/rodo-gdpr-regulacje-o-ochronie-danych-osobowych-zmiany-w-firmach/21p6svs

25 maja 2018 roku wchodzi w życie RODO (GDPR), czyli nowe unijne rozporządzenie dotyczące ochrony danych osobowych. Zmiany, jakie do tego czasu muszą wprowadzić firmy w krajach członkowskich są poważne, a w powietrzu wisi widmo wielomilionowych kar.

General Data Protection Regulation (unijny skrótowiec to GDPR), czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO – polski skrótowiec) było opracowywane i dyskutowane przez cztery lata, a ostatecznie przyjęte zostało przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 r. Nowe wytyczne dotyczące ochrony danych osobowych wywrócą do góry nogami część procedur, jakie firmy działające w UE stosowały przez lata.

Kogo dotyczyć będzie RODO? Tak naprawdę wszystkich firm, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Mogą to być zarówno duże korporacje – na przykład firmy ubezpieczeniowe czy instytucje finansowe – oraz niewielkie rodzinne przedsiębiorstwa, jak sklep internetowy czy salon kosmetyczny.

Od maja tego roku przepisy dotyczące ochrony danych osobowych dla wszystkich 28 państw członkowskich mają być ujednolicone. Intencją unijnych urzędników było unowocześnienie regulacji o ochronie danych osobowych, które obowiązuje od 1995 r. i w dobie postępującej cyfryzacji mają coraz mniejsze zastosowanie praktyczne. Jednocześnie nowe prawo zostało stworzone tak, aby było „technologicznie neutralne”, czyli aktualne niezależnie od rozwoju technologii.

Dlatego unijne rozporządzenie nie zawiera żadnych konkretnych wytycznych, jak zabezpieczać dane osobowe. Bo nie dość, że wytyczne te musiałyby być inne dla każdej branży, to jeszcze szybko mogłoby się okazać, że trzeba je na nowo dostosowywać do zmieniających się warunków.

Zaprojektować własny system ochrony danych

Dla przedsiębiorców oznacza to, że wdrożenie nowych regulacji będzie wymagało pewnej dozy kreatywności. Skoro przepisy nie tłumaczą punkt po punkcie, co należy zrobić, to znaczy, że są w jakimś stopniu niejasne. A skoro są niejasne, to trzeba je potraktować niejako „na wyczucie” i w sposób mocno spersonalizowany. Metody zabezpieczania i przetwarzania danych osobowych każdy przedsiębiorca będzie musiał dostosować indywidualnie do charakteru swojego przedsięwzięcia.

Ochrona danych osobowych nie będzie zatem sprowadzała się do wykonania kilku jasno określonych czynności, a raczej zaprojektowania całego systemu tej ochrony – i ustawiania procedur osobno pod wszystkie procesy, jakie dzieją się w firmie i uwzględniają wykorzystanie danych osobowych.

– Każdy przedsiębiorca działa inaczej. Inaczej zabezpiecza się dane w sektorze ubezpieczeniowym, inaczej w bankowym, a jeszcze inaczej w handlu internetowym. W związku z tym nie ma jednego szablonu, tylko każdy dostanie obowiązek stworzenia go sobie samemu. Przechodzimy z zamkniętego do otwartego modelu ochrony danych. Można powiedzieć, że to taka ochrona danych 2.0 – mówi dr Maciej Kawecki, doradca ministra w Ministerstwie Cyfryzacji.

Rodzi się pytanie, czy skoro przepisy są niejasne, to przedsiębiorcy będą unikać przestrzegania ich? Nie tyle nawet na przekór, co raczej z poczucia zagubienia i pewnej bezradności wobec mętnych regulacji. „Czy to na pewno mnie dotyczy? Jak mam to zrobić?”.

Kawecki zaznacza, że resort dostrzega to zagrożenie i w związku z tym będzie pomagał przedsiębiorcom odnaleźć kierunek, w jakim mają wprowadzać nowe rozwiązania dotyczące ochrony danych osobowych. – Zaprojektowaliśmy przepis, w myśl którego urzędnik będzie upoważniony do wydawania tzw. dobrych praktyk, wskazujących rekomendowane sposoby zabezpieczania danych w każdym sektorze. To nie będą konkretne wytyczne, tylko raczej garść wskazówek i idei, którymi można się kierować – mówi pracownik ministerstwa cyfryzacji.

To wszystko element tak zwanego risk based approach, czyli podejścia uwzględniającego ryzyko. Przedsiębiorca będzie zobowiązany samodzielnie przeanalizować, jakimi danymi osobowymi dysponuje, co konkretnie się z nimi dzieje i jakie ryzyko się z tym wiąże – a ostatecznie dobrać optymalne środki, które to ryzyko zminimalizują. Natomiast oceną tego, czy dane są należycie zabezpieczone, każdorazowo zajmie się pracownik urzędu ochrony danych osobowych.

abicus.eu