Ochrona danych 2.0.
Dokładnie za rok - 25 maja 2018 roku - wchodzi w życie RODO (GDPR), czyli nowe unijne rozporządzenie dotyczące ochrony danych osobowych. Może się wydawać, że to dużo czasu – a jednak zmiany, jakie do tego czasu muszą wprowadzić firmy w krajach członkowskich (w tym w Polsce), mogą okazać się na tyle poważne, że ich wdrażaniem trzeba zająć się już teraz. W powietrzu wisi bowiem widmo wielomilionowych kar.
General Data Protection Regulation (unijny skrótowiec to GDPR), czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO – polski skrót) było opracowywane i dyskutowane przez cztery lata, a ostatecznie przyjęte zostało przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 r. Nowe wytyczne dotyczące ochrony danych osobowych wywrócą do góry nogami część procedur, jakie firmy działające w UE stosowały przez lata.
Kogo dotyczyć będzie RODO?
Tak naprawdę wszystkich firm, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Mogą to być zarówno duże korporacje – na przykład firmy ubezpieczeniowe czy instytucje finansowe – oraz niewielkie rodzinne przedsiębiorstwa, jak sklep internetowy czy salon kosmetyczny.
Od maja przyszłego roku przepisy dotyczące ochrony danych osobowych dla wszystkich 28 państw członkowskich mają być ujednolicone. Polska ustawa będąca uzupełnieniem RODO ma powstać w drugiej połowie 2017 r.
Intencją unijnych urzędników było unowocześnienie regulacji o ochronie danych osobowych, które obowiązuje od 1995 r. i w dobie postępującej cyfryzacji mają coraz mniejsze zastosowanie praktyczne. Jednocześnie nowe prawo zostało stworzone tak, aby było „technologicznie neutralne”, czyli aktualne niezależnie od rozwoju technologii.
Dlatego unijne rozporządzenie nie zawiera żadnych konkretnych wytycznych, jak zabezpieczać dane osobowe. Bo nie dość, że wytyczne te musiałyby być inne dla każdej branży, to jeszcze szybko mogłoby się okazać, że trzeba je na nowo dostosowywać do zmieniających się warunków.
Zaprojektować własny system ochrony danych
Dla przedsiębiorców oznacza to, że wdrożenie nowych regulacji będzie wymagało pewnej dozy kreatywności. Skoro przepisy nie tłumaczą punkt po punkcie, co należy zrobić, to znaczy, że są w jakimś stopniu niejasne. A skoro są niejasne, to trzeba je potraktować niejako „na wyczucie” i w sposób mocno spersonalizowany. Metody zabezpieczania i przetwarzania danych osobowych każdy przedsiębiorca będzie musiał dostosować indywidualnie do charakteru swojego przedsięwzięcia.
Ochrona danych osobowych nie będzie zatem sprowadzała się do wykonania kilku jasno określonych czynności, a raczej zaprojektowania całego systemu tej ochrony – i ustawiania procedur osobno pod wszystkie procesy, jakie dzieją się w firmie i uwzględniają wykorzystanie danych osobowych.
– Każdy przedsiębiorca działa inaczej. Inaczej zabezpiecza się dane w sektorze ubezpieczeniowym, inaczej w bankowym, a jeszcze inaczej w handlu internetowym. W związku z tym nie ma jednego szablonu, tylko każdy dostanie obowiązek stworzenia go sobie samemu. Przechodzimy z zamkniętego do otwartego modelu ochrony danych. Można powiedzieć, że to taka ochrona danych 2.0 – mówi dr Maciej Kawecki, doradca ministra w Ministerstwie Cyfryzacji.
Rodzi się pytanie, czy skoro przepisy są niejasne, to przedsiębiorcy będą unikać przestrzegania ich? Nie tyle nawet na przekór, co raczej z poczucia zagubienia i pewnej bezradności wobec mętnych regulacji. „Czy to na pewno mnie dotyczy? Jak mam to zrobić?”.
Kawecki zaznacza, że resort dostrzega to zagrożenie i w związku z tym będzie pomagał przedsiębiorcom odnaleźć kierunek, w jakim mają wprowadzać nowe rozwiązania dotyczące ochrony danych osobowych. – Zaprojektowaliśmy przepis, w myśl którego urzędnik będzie upoważniony do wydawania tzw. dobrych praktyk, wskazujących rekomendowane sposoby zabezpieczania danych w każdym sektorze. To nie będą konkretne wytyczne, tylko raczej garść wskazówek i idei, którymi można się kierować – mówi pracownik ministerstwa cyfryzacji.
To wszystko element tak zwanego risk based approach, czyli podejścia uwzględniającego ryzyko. Przedsiębiorca będzie zobowiązany samodzielnie przeanalizować, jakimi danymi osobowymi dysponuje, co konkretnie się z nimi dzieje i jakie ryzyko się z tym wiąże – a ostatecznie dobrać optymalne środki, które to ryzyko zminimalizują. Natomiast oceną tego, czy dane są należycie zabezpieczone, każdorazowo zajmie się pracownik urzędu ochrony danych osobowych.
Dane będzie można łatwo przenosić między instytucjami
Kolejna nowa zasada będzie dotyczyła przenoszenia danych. Każdy obywatel będzie mógł wystąpić do administratora – czyli przedsiębiorcy, który zarządza jego danymi – z żądaniem przekazania danych osobowych w formie pliku pdf. Innymi słowy, przedsiębiorca będzie zobowiązany na zawołanie pokazać, które konkretnie dane wykorzystuje w swojej działalności. Ale to tylko element zasady przenoszenia.
Jako całość, ma ona służyć pełniejszemu realizowaniu zasady autonomii informacyjnej, w myśl której mamy prawo decydować o własnych danych osobowych, i pod tym kątem zapewnić nam więcej bezpieczeństwa oraz wygody. Na przykład przy transferze danych między jednym przedsiębiorstwem a drugim.
Możliwe będzie zażądanie od firmy, by tego samego pliku z informacją o naszych danych osobowych nie wysyłała do nas, tylko bezpośrednio do innej firmy lub instytucji. – Ułatwi to na przykład wnioskowanie o kredyt – zamiast biegać po kilku różnych placówkach i zbierać papiery, zwyczajnie można poprosić, by firmy dokonały między sobą wymiany informacji – tłumaczy Kawecki.
Jak dokładnie ma to działać? – Jeżeli mamy bank A, który przetwarza moje dane osobowe i ja żądam, żeby zostały przekazane do innego banku, to bank A musi mieć system, który pozwala ekstrahować te dane do jednego pliku oraz musi mieć możliwość wysłania ich do banku B; bank B z kolei musi mieć możliwość otrzymania ich i odczytu. Oznacza to, że systemy muszą być kompatybilne – mówi pracownik ministerstwa. Jednak w przypadku banków problem jest niewielki, bo one w dużej mierze już mają gotowe systemy wymiany informacji, z czego korzysta się na przykład przy przenoszeniu konta. Większą trudnością może być transfer danych na linii, na przykład, bank–urząd marszałkowski.
Przygotowanie rozwiązań, które pozwolą na żądanie udostępniać i posyłać dalej pojedynczy plik z informacją o danych osobowych, to kolejne zadanie, do jakiego muszą przygotować się firmy. Jak mówi Kamil Góral, solution manager w firmie Pilab, dla wielu przedsiębiorstw wyzwaniem okaże się konieczność szybkiego zgromadzenia wszystkich danych dotyczących klienta – bo firmy często same nie wiedzą, jakimi danymi dysponują i do czego je wykorzystują. – To będzie okazja do zaprowadzenia porządków. Pod przymusem, bo pod przymusem, ale wielu firmom wyjdzie to na dobre – komentuje Góral.
Prawo do bycia zapomnianym
Co ciekawe z punktu widzenia konsumenta, będzie on mógł zażądać nie tylko udostępnienia mu informacji o danych osobowych, ale też usunięcia ich z bazy danej instytucji. Nazywa się to prawem do bycia zapomnianym. Warunkiem jest to, że dane te nie są już dłużej używane – i to rodzi pewne komplikacje, ponieważ czasem nawet po wygaśnięciu umowy między konsumentem a firmą informacje osobowe pozostają w obrocie.
– Umowa z operatorem telekomunikacyjnym była zawarta do miesiąca maja. Termin upłynął, umowa wygasła. Administrator może jednak odpowiedzieć: „owszem, umowa wygasła, ale ja na podstawie przepisów zobowiązany jestem do gromadzenia danych osobowych dłużej niż przez okres trwania umowy”. Jeśli rozwiązaliśmy umowę, ale nie upłynął jeszcze okres przedawnienia roszczeń wynikających z tej umowy, a wynosi on na przykład 10 lat, to przedsiębiorca wciąż ma prawo te dane przetwarzać, a konsument nie może zrealizować swojego prawa do bycia zapomnianym – tłumaczy Kawecki.
Firma, prosząc obywatela o podanie danych, będzie musiała poinformować o celu, zakresie i czasie ich przetwarzania. Pojęcie „danych osobowych” zostanie z kolei poszerzone o adresy IP oraz zbierane przez przeglądarkę internetową pliki cookies („ciasteczka”). Oznacza to, że klauzule dotyczące wykorzystania danych osobowych, które klienci dostają do podpisania, będą jeszcze obszerniejsze. I bez względu na to, czy komuś będzie chciało się je czytać, przedsiębiorcy muszą do 25 maja 2018 r. przygotować nowe dokumenty prawne, uwzględniające poszerzony obowiązek informacyjny.
A jeśli dojdzie do naruszenia danych osobowych, na przykład w wyniku ataku hakerskiego? Firma będzie musiała niezwłocznie zgłosić ten fakt do generalnego inspektora ochrony danych osobowych. Będą na to tylko 72 godziny. To sytuacja, z jaką krajowe przedsiębiorstwa wcześniej się nie spotkały. – Przedsiębiorcy – poza branżą telekomunikacyjną – nie są przyzwyczajeni do zgłaszania własnych naruszeń ochrony danych osobowych organom nadzoru. Ten nowy obowiązek wymaga nie tylko identyfikowania zaistniałego naruszenia, ale także przygotowania procedur reagowania na incydenty ochrony danych – mówi Anna Kobylańska, adwokat w kancelarii PwC Legal.
Wbrew temu, co może się wydawać, do kradzieży danych dochodzi stosunkowo często – tyle że poza nielicznymi wyjątkami o takich sprawach nie jest głośno. – W mediach usłyszymy o wycieku danych dotyczących, przykładowo, setek klientów jakiegoś banku. W rzeczywistości jednak liczba popełnianych cyberprzestępstw jest bardzo duża, ale kradzieże danych rzadko są zgłaszane. Wraz z wprowadzeniem RODO informacja nawet o pojedynczym, drobnym naruszeniu musi być przekazana odpowiednim organom – mówi Kamil Góral z PiLab.
Kary wysokie, a firmy nieprzygotowane
Jak widać, unijne prawo zaostrza się – i choć jest to ukłon w stronę konsumentów, nad przedsiębiorcami zawisa widmo wysokich kar. Niedopilnowanie nowych obowiązków dotyczących ochrony danych osobowych może kosztować firmę nawet do 20 mln euro lub 4 proc. rocznego obrotu firmy – w zależności od tego, która kwota jest wyższa. – Kary będą miarkowane proporcjonalnie do skali naruszenia przepisów. Podobnie jak całość rozporządzenia, są one wspólne dla wszystkich krajów członkowskich i będą dotyczyły również administracji publicznej, tyle że w niższym wymiarze – tłumaczy Maciej Kawecki.
Tymczasem świadomość przedsiębiorców dotycząca RODO wciąż jest niewielka. Według zeszłorocznego badania firmy Dell, ponad 80 proc. ankietowanych przedstawicieli firm nic nie wie na temat nowego unijnego rozporządzenia lub ma o nim szczątkową wiedzę. Zaledwie 3 proc. osób biorących udział w badaniu zadeklarowało, że ich firma ma stosowny plan wprowadzenia RODO.
– W nowym podejściu ochrona danych osobowych w przedsiębiorstwie to ciągły proces, dlatego niezwykle ważne jest, by jak najlepiej przygotować się do nowych obowiązków – mówi Sylwia Pusz, partner w PwC. Ekspertka dodaje, że aby oddalić ryzyko sankcji, proces ten musi być ciągle doskonalony – nawet w późniejszych etapach.
Na razie nie wiadomo, jak polski ekosystem biznesowy przyjmie RODO. Część przepisów wciąż rodzi pytania, a większość firm nawet nie zaczęła przygotowywać się do nowych regulacji. Co na pewno trzeba mieć na uwadze to, że poza unijnymi przepisami, w życie wejdzie też nowa polska ustawa. Maciej Kawecki zachęca, by na bieżąco śledzić komunikaty Ministerstwa Cyfryzacji – i na tej podstawie, a także przepisów zawartych w RODO, już teraz zacząć dostosowywać swój biznes do regulacji, które za rok wejdą w życie.
Źródło: biznes.onet.pl
Dodaj komentarz