Jak przygotować się do zmian w zakresie ochrony danych osobowych
31 lipca 2017
W maju 2017 roku weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zwane dalej „RODO”, którego stosowanie rozpocznie się dnia 25 maja 2018 roku. Oznacza to, iż od wskazanego terminu obowiązuje ono bezpośrednio wszystkie państwa członkowskie UE i odnosi ono bezpośredni skutek w stosunku do wszystkich podmiotów przetwarzających dane. Wobec powyższego konieczne jest wskazanie, iż do dnia 25 maja 2018 roku administratorzy danych osobowych muszą wprowadzić nowe zasady przetwarzania danych osobowych, tak, by od wskazanej daty były one już wdrożone i stosowane. Nie ma więc co zwlekać i czas zacząć przygotowywać się do zmian.
Zmiany, wprowadzane przez RODO w stosunku do obecnie obowiązujących przepisów prawa polskiego będą dotyczyły wielu podstawowych kwestii w zakresie ochrony danych osobowych, w tym przede wszystkim:
- rozszerzenia praw osoby, której dane są przetwarzane,
- zwiększenia obowiązków administratora danych osobowych, w tym zobowiązanie administratorów danych osobowych do prowadzenia we własnym zakresie rejestru czynności przetwarzania danych osobowych oraz do zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu,
- wprowadzenie dla niektórych podmiotów obowiązku posiadania inspektora danych osobowych,
- wprowadzenie bezpośredniej odpowiedzialności podmiotu, któremu powierzono przetwarzanie danych osobowych,
- wprowadzenie zasady privacy by design (ochrona na etapie projektowania) i privacy by default (domyślna ochrona danych osobowych),
- wprowadzenie ograniczeń dla zautomatyzowanego przetwarzania danych, w tym profilowania.
Warto wskazać, iż przepisy prawa unijnego co do zasady nie przewidują obowiązku administratora danych do posiadania dokumentów wewnętrznych, regulujących kwestie przetwarzania danych osobowych. Ustawodawca unijny wprowadził jednakże zasadę rozliczalności, zgodnie z którą administrator musi wdrożyć odpowiednie środki organizacyjne i techniczne dla ochrony danych osobowych, aby przetwarzanie odbywało się zgodnie z RODO i aby administrator mógł to wykazać. Wykazanie stosowania odpowiednich zabezpieczeń i procesów przetwarzania danych osobowych, winno mieć więc odzwierciedlenie w dokumentacji danego przedsiębiorstwa. Warto również dodać, iż RODO nie podaje minimalnych standardów technicznych czy organizacyjnych mających na celu zabezpieczenie danych, pozostawiając ich określenie administratorowi danych, wskazując jedynie, iż muszą być one „odpowiednie”. Wobec powyższego, administrator danych musi dokonać analizy stosowanych przez siebie środków, biorąc pod uwagę zakres, charakter i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych i na tej podstawie wprowadzić odpowiednie zabezpieczenia.
Jak więc przygotować się do wprowadzanych zmian?
Przede wszystkim, administratorzy danych osobowych winni zadbać o to, by przystosować stosowane procedury oraz przygotować odpowiednie dokumenty przed 25 maja 2018 r. i tym samym od tego dnia móc wykazać zgodność stosowanych procedur z nowymi przepisami. W tym celu konieczne jest dokonanie analizy stosowanych dotychczas rozwiązań w zakresie przetwarzania danych osobowych i wprowadzenie odpowiednich zmian zarówno w stosowanej procedurze jak i obowiązujących u przedsiębiorcy dokumentach, w tym dotychczas stosowanych politykach bezpieczeństwa, jak i w umowach powierzających przetwarzanie danych osobowych podmiotom trzecim. Dodatkowo zalecamy zadbać o to, by osoby uczestniczące w procesach przetwarzania danych osobowych były świadome zmian oraz prawidłowo stosowały zasady określone przez RODO i dokumenty wewnętrzne, co wiąże się z koniecznością przeprowadzenia szkoleń w powyższym zakresie.
Jeśli jesteście Państwo zainteresowani zleceniem dokonania audytu, przeprowadzenia niezbędnych zmian w przedsiębiorstwie w opisanym powyżej zakresie oraz przeprowadzeniem szkoleń dla Państwa pracowników przetwarzających dane osobowe, serdecznie zapraszamy do kontaktu: office@rpwe.pl lub nr tel (+48) 61 307 19 19
Krystyna Cent
radca prawny
Skontaktuj się z nami:
tel. (+48) 61 307 19 19
e-mail: office@rpwe.pl