Czym jest RODO i jak je wdrażać?

RODO, czyli unijne ogólne Rozporządzenie o Ochronie Danych Osobowych, jest od jakiegoś czasu bardzo medialnym tematem. Jego wprowadzenie wynika z potrzeby unowocześnienia i ujednolicenia regulacji o ochronie danych osobowych na terenie całej UE i jest krokiem w kierunku zagwarantowania bezpieczeństwa w sieci w dobie powszechnej digitalizacji życia. Sprawdzamy, czym tak naprawdę jest nowe rozporządzenie oraz w jaki sposób firmy będą je wdrażać.

Kogo dotyczyć będzie RODO?

Nowe przepisy RODO będą stosowane bezpośrednio i dotyczyć będą każdego podmiotu oferującego swoje produkty lub usługi osobom fizycznym na terenie całej Unii Europejskiej. Oznacza to, że są to również przedsiębiorstwa, które nie mają swojej siedziby w żadnym z państw UE, ale oferują swoje usługi ich mieszkańcom – zarówno globalne korporacje, jak i lokalnie działające firmy, gromadzące dane swoich klientów w celu realizacji zamówień, jak to ma miejsce w przypadku np. niewielkich sklepów internetowych. Owe dane osobowe to w dzisiejszym świecie bardzo cenna waluta, bez której niektóre biznesy nie są w stanie funkcjonować. Ich ochrona to nieustanny proces, a RODO wprowadza nowe narzędzia, które mają zapewniać klientom kontrolę nad swoimi danymi osobowymi i zwiększyć świadomość czynności związanych z ich przetwarzaniem. Sam fakt, że unijny prawodawca oparł reformę tego zakresu na akcie prawnym obowiązującym bezpośrednio wszystkie państwa członkowskie, oznacza, że ochrona danych osobowych ma wysoki priorytet, wobec czego postawiono na szybkość i skuteczność wprowadzania zmian w tej tematyce.

Dobór odpowiednich narzędzi

Dotychczasowa, polska ustawa o ochronie danych osobowych wprowadzała wzorce polityki ochrony danych osobowych, instrukcje zarządzania systemami informatycznymi oraz szkolenia, które powodowały szablonowy stosunek do wszystkich zagadnień związanych z tematyką danych osobowych. RODO wymusza inne podejście, które oparte jest na ryzyku oraz doborze odpowiednich środków technicznych i organizacyjnych w celu zapewnienia stopnia bezpieczeństwa, dzięki czemu gwarantuje ono techniczną neutralność nowego prawa. Ponadto zastosowane przez administratorów danych środki techniczne i organizacyjne będą się różniły – w zależności od rodzaju danych osobowych (inaczej będzie np. przy przetwarzaniu szczególnych kategorii danych: danych genetycznych, biometrycznych, dotyczących zdrowia czy skazań) i branży, w której firmy działają; inne zabezpieczenia zastosuje bank, a inne sklep internetowy. Stopień ryzyka naruszenia praw lub wolności podmiotów danych będzie determinował skalę informowania o naruszeniu ochrony danych osobowych. W określonych przypadkach należało będzie poinformować osoby, których dane dotyczą. Warto pamiętać, że po stwierdzeniu naruszenia ochrony danych osobowych, administrator zobowiązany jest zgłosić je organowi nadzorczemu nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że będzie on mógł wykazać, że mało prawdopodobne jest, aby naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Każda firma powinna zatem wdrożyć odpowiednie środki organizacyjne i techniczne adekwatne do ryzyka oraz możliwości wykazania spełnienia wymagań RODO. Podmioty o złożonej strukturze będą musiały wypracować pełną i przejrzystą dokumentację, natomiast mniejsze mogą ją posiadać w uproszczonej formie – administratorzy oraz podmioty przetwarzające dane mają w tym zakresie pewną swobodę. Kwestie przetwarzania danych osobowych należy uwzględniać na każdym etapie działalności i pamiętać, aby usunąć je w przypadku, gdy nie będą już potrzebne do celu, dla którego realizacji zostały zebrane.

O czym powinny pamiętać firmy podczas wdrażania RODO?

Wdrożenie RODO zakłada zmianę sposobu podejścia i myślenia o danych osobowych. Należy mieć świadomość ryzyka, które wiąże się z możliwym naruszeniem praw i wolności osób fizycznych. Nowe procedury wiążą się również z uwzględnianiem szeregu konkretnych wymagań. Wśród nich wskazać należy „privacy by design”, czyli zasadę uwzględnienia ochrony danych osobowych w fazie projektowania. Zgodnie z tą zasadą należy brać pod uwagę kwestię ewentualnego przetwarzania danych osobowych w ramach danego projektu już na początkowym jego etapie i planować zastosowanie właściwych środków organizacyjnych oraz technicznych. Inną zasadą jest „privacy by default”, oznaczająca domyślną ochronę danych. Według niej administrator powinien wdrożyć takie środki, które będą przetwarzać domyślnie wyłącznie dane osobowe niezbędne do osiągnięcia każdego konkretnego celu przetwarzania. Kolejnym rozwiązaniem, które wprowadza RODO jest mechanizm certyfikacji, który polega na ujednoliceniu i ustandaryzowaniu certyfikacji na poziomie krajowym oraz europejskim. W dodatku wprowadza ono znaki jakości i oznaczenia w dziedzinie ochrony danych, dzięki czemu osoby, których dane dotyczą, mogą szybko ocenić stopień ich ochrony. Ponadto zrzeszenia lub inne organy, które reprezentują kategorie administratorów bądź podmiotów przetwarzających, mogą stworzyć kodeksy postępowania w granicach RODO. Są one przedstawiane do akceptacji organom nadzorczym i upubliczniane po pomyślnym przejściu procedury weryfikacji.

Należy pamiętać, że wdrożenie RODO będzie wymagało współpracy wielu komórek – działu  ds. kadr i płac, prawnego, marketingu, IT, a wszystkie działania trzeba właściwie zaplanować i skoordynować. Cały proces może usprawnić przyporządkowanie odpowiedzialności konkretnym osobom, aby uniknąć jej „rozmycia” – zaleca specjalista z doradczo-analitycznej firmy Audytel, która specjalizuje się w poprawie efektywności i bezpieczeństwa systemów informatycznych, logistycznych i zarządzaniu energią elektryczną.