Publikacje

Nowe regulacje w zakresie ochrony danych osobowych

 

Od maja 2018 roku zaczną obowiązywać rewolucyjne zmiany w zakresie przetwarzania danych osobowych przez przedsiębiorców. Sprawdź jakie zmiany musisz wprowadzić w swojej firmie, by działać legalnie.

 

Przedsiębiorcy przetwarzający dane osobowe muszą dostosować się do rozporządzenia GDPR (tzw. General Data Protection Regulation). Nowe przepisy o ochronie danych osobowych wejdą w życie od 25 maja 2018 roku. Stanowią one novum w zakresie obowiązków przedsiębiorców oraz praw właścicieli danych osobowych. Celem zmian jest uszczelnienie ochrony danych osobowych, wdrożenie procedur w przypadku wycieku danych, tak aby wyjść naprzeciw zagrożeniom cyberataków. Nowe przepisy są bardziej wymagające od dotychczas obowiązujących. Główny nacisk położony jest na dobór odpowiednich zabezpieczeń do poziomu ryzyka przedsiębiorcy. Jak to zwykle bywa przedsiębiorcy obarczeni będą nowymi obowiązkami.

Co ważne, każdy przedsiębiorca do czasu wejścia w życie nowych przepisów obowiązany jest wdrożyć odpowiednie procedury w zakresie przetwarzania danych osobowych. Poniżej przedstawiam wybrane zagadnienia w zakresie nowych przepisów, które każdy przedsiębiorca przetwarzający dane osobowe musi zastosować.

 

Kogo dotyczą nowe przepisy w zakresie ochrony danych osobowych?

Każdego przedsiębiorcę, który przetwarza dane osobowe w sposób automatyczny tj. portale społecznościowe, sklepy internetowej, apteki, uczelnie, szkoły, banki, podmioty finansowe i ubezpieczeniowe itp. Przetwarzanie danych osobowych ma dotyczyć obywateli UE lub ma odbywać się choćby w minimalnym stopniu na terenie UE, aby istniał obowiązane stosowania nowych przepisów.

 

Nowe obowiązki przedsiębiorców

Przedsiębiorca zobowiązany jest do zatrudnienia osoby odpowiedzialnej za ochronę danych osobowych tzw. inspektor danych osobowych. Przy czym nie jest to obowiązek bezwzględny, dotyczy on jedynie podmiotów, których główna działalności polega na przetwarzaniu szczególnych danych osobowych (np. etniczne, rasowe, religijne, dot. poglądów politycznych), jak i podmiotów monitorujących zachowanie osób i jednocześnie przetwarzających ich dane osobowe (dot. to portali społecznościowych).

Przedsiębiorcy przetwarzający dane osobowe w sposób automatyczny będą musieli stworzyć sformalizowaną i udokumentowaną ocenę skutków ochrony danych. Taki dokument musi zawierać:

- dokładny oraz systematyczny opis celów przetwarzania danych osobowych, w tym planowane operacje związane z przetwarzaniem;

- wyjaśnienie związek między przegwarzeniem danych osobowych, a prowadzoną działalnością gospodarczą;

- wyjaśnienie niezbędności i proporcjonalności przetwarzania danych osobowych do celów przetwarzania danych osobowych;

- oszacowanie ryzyka naruszenia praw lub wolności osób, których dane są przetwarzane;

- podjęte środki zaradcze w celu wyeliminowaniu potencjalnego ryzyka.

W razie wycieku danych osobowych, przedsiębiorca obowiązany jest powiadomić o tym fakcie osoby, których dane osobowe przetwarzał. Dotyczy to również przeniesienia ich danych do innego usługodawcy.

Osoba fizyczna będzie miało prawo do bycia zapomnianym, czyli może zażądać od podmiotu, który przetwarza jej dane osobowe, do usunięcia wszelkich danych osobowych. W tym zakresie przedsiębiorca zobowiązany będzie do uruchomienia procedury do wprowadzenia bycia zapominanym.

Jak również przedsiębiorca zobligowany jest wdrożyć procedurę umożliwiającą poinformowanie organu ochrony danych, o zaistnieniu naruszenia danych osobowych. Każdy taki incydent przedsiębiorca zobowiązany jest zgłosić maksymalnie w terminie 72 godzin od momentu wystąpienia. Tym samym stworzenie i wdrożenie strategii cyberprzestępstwa oraz plan powiadamiania o wycieku danych musi posiadać każdy przedsiębiorca.

 

Jak wdrożyć nowe regulacje?

Najprościej jest zlecić przygotowanie nowych rozwiązań profesjonalistom – Kancelarii Adwokackiej, specjalizującej się w ochronie danych osobowych lub samemu spróbować podjęcia się wyzwanie ich realizacji.

W pierwszej kolejności należy dokonać inwentaryzacji danych osobowych, po czym ustalić rozwiązanie zgodne z RODO, wdrożyć je w przedsiębiorstwie i działać w oparciu o nie, w ramach prowadzenia działalności gospodarczej.

 

Zakończenie

Omówione zmiany są rewolucyjne, przedsiębiorcy mają już mało czasu na stworzenie i wdrożenie odpowiednich procedur, tak aby przetwarzać dane osobowe zgodnie z prawem. W przeciwnym wypadku narażeniu zostaną na dotkliwe finansowe kary, które mogą wynieść do 20 mln euro lub 4% światowego obrotu.

 

 

Autor

Adwokat Rafał Biernacki

13 czerwca 2017 roku

 

 

Powrót...