Dnia 25 maja br. wejdzie w życie Rozporządzenie ogólne o ochronie danych osobowych (w skrócie: RODO). Nowe przepisy obligują firmy w krajach członkowskich UE do wprowadzenia szeregu zmian w zakresie ochrony danych. Określa się je wręcz jako rewolucyjne.

Tekst: Tomasz Filipowski radca prawny

 

RODO dotyczyć będzie w zasadzie wszystkich podmiotów, które gromadzą i wykorzystują dane osób fizycznych – i tych dużych, i tych niewielkich. Celem regulacji jest unowocześnienie podejścia do ochrony danych oraz uelastycznienie tworzących je zasad. W uproszczeniu można powiedzieć, iż nowe regulacje opracowano tak, by były one elastyczne i aktualne niezależnie od rozwoju technologicznego. Tak, by nie trzeba było ich zmieniać wraz z rozwojem cywilizacyjnym. Takie podejście powoduje, iż RODO jest bardzo ogólne. Idea regulacji sprowadza się do tego, aby każdy przedsiębiorca, w zależności od swoich potrzeb i zakresu przetwarzania danych, zaprojektował własny system ich ochrony, niejako dostosował model do charakteru swojej działalności.

By wdrożyć RODO, nie wystarczy spełnić warunki opisane w przepisach. Trzeba będzie przeanalizować swoje potrzeby, przeprowadzić audyt oraz zaprojektować własny system bezpieczeństwa i ochrony danych. Ogólność zapisów rozporządzenia powodować może szereg wątpliwości, dlatego warto skorzystać z pomocy specjalistów. Pamiętać należy, iż jeśli przedsiębiorca dysponuje danymi osobowymi, będzie musiał spełnić warunki RODO. Praktyka pokaże dopiero konkretne rozwiązania, które zapewne i tak będą ewoluować.

Pewne ogólne reguły się nie zmienią. Podstawą przetwarzania danych będzie nadal zgoda osoby, której dane dotyczą, jednak RODO opisuje też szereg wyjątków. Prymarne zasady to nadal zgodność przetwarzania danych z prawem, rzetelność i  przejrzystość, ograniczenie celu przetwarzania, minimalizacja danych itp. Nadal konieczne będzie spełnienie (szerszych niż dotychczas) obowiązków informacyjnych, w tym zapewnienie osobom zainteresowanym wglądu do danych, prawa do ich przetwarzania, zmiany a także tzw. prawa do bycia zapomnianym (czyli żądania usunięcia danych). Obowiązki informacyjne wymagać będą modyfikacji dotychczasowych zasad i pociągną za sobą także konieczność zmian informatycznych, zwłaszcza u większych przedsiębiorców.

RODO przewiduje wysokie kary dla firm, które ignorować będą nowe przepisy. Sankcje finansowe mogą sięgnąć nawet dwudziestu milionów euro lub czterech procent rocznego obrotu firmy. Oczywiście będą one miarkowane w odniesieniu do skali naruszeń, ale realne zagrożenie istnieje. Ponieważ świadomość przedsiębiorców w zakresie RODO jest nadal niewielka, sugerujemy pilne zapoznanie się z nowymi procedurami oraz już teraz podjęcie działań zmierzających do jego wdrożenia. Pamiętać też należy, iż konstrukcja nowych regulacji nakładać będzie na przedsiębiorców nie tylko obowiązek wdrożenia procedur, ale też ich stałego monitorowania i rozwoju. Jak to zwykle bywa, przy okazji zmienią się również i polskie przepisy dotyczące ochrony danych.