Unia zaostrza przepisy o zbieraniu i przetwarzaniu danych

Kary do 20 mln euro, konieczność prowadzenia oceny ryzyka, prawo do zapomnienia oraz obowiązkowe rejestry naruszeń – to tylko kilka zmian, które od 25 maja 2018 r. czekają wszystkich przetwarzających dane osobowe. Tak stanowią nowe, ujednolicone przepisy dotyczące ochrony danych osobowych na obszarze całej Unii Europejskiej.

RODO, GDPR (z ang. General Data Protection Regulation) – to hasła, które rodzimym przedsiębiorcom wciąż niewiele mówią. A powinny, bo chodzi o rozporządzenie Parlamentu Europejskiego i Rady UE z kwietnia ubiegłego roku, które niebawem radykalnie zmieni prawodawstwo w krajach członkowskich.

Biometria pod ochroną

Przed firmami pojawi się wiele obowiązków. Eksperci z międzynarodowej firmy doradczej Crowe Horwath tłumaczą, że każdy obywatel, proszony o podanie danych, musi zostać poinformowany o celu, zakresie i czasie ich przetwarzania.

Zbierający dane ma również obowiązek zawiadomić o możliwościach dalszego przekazywania danych, czyli tak zwanego podpowierzania. Ponadto RODO (skrót od: rozporządzenie o ochronie danych osobowych) wymaga, aby przy zbieraniu danych ograniczyć się do informacji niezbędnych (np. świadczenia usługi), a przy przetwarzaniu danych uwzględnić ich bezpieczeństwo.

Wedle nowych regulacji, za dane osobowe uznane zostaną też ciasteczka (cookies) oraz adresy IP. W związku z tym osoby fizyczne będą musiały wyrazić jednoznaczną zgodę na stosowanie ciasteczek. Co więcej, jak wskazuje Marcin Kabaciński, obowiązkowe będzie powoływanie inspektorów danych osobowych. RODO określa trzy przypadki, w których zaistnieje taka konieczność.

Wedle rozporządzenia muszą się oni pojawić w instytucjach publicznych (z wyjątkiem sądów) i w jednostkach prowadzących działalność polegającą na regularnym i automatycznym przetwarzaniu danych osobowych poprzez monitorowanie na dużą skalę osób, których dane są przetwarzane. Inspektorzy będą musieli pojawić się również firmach i instytucjach zajmujących się przetwarzaniem danych wrażliwych oraz informacji osobowych, dotyczących przestępstw lub skazań za przestępstwa.

Poszerzony zostanie również zakres danych wrażliwych. Teraz takim statusem objęte będą również dane biometryczne i genetyczne. – W przypadku ich zbierania osoba musi wyrazić na to zgodę, ale nie będzie już obowiązku dokumentowania jej na piśmie – wyjaśnia Marcin Kabaciński.

Jak zaznacza, to jedno z nielicznych, przyszłych ułatwień dla przedsiębiorców, którzy będą podlegać regulacjom RODO.

Pojawi się natomiast sporo dodatkowych obciążeń, które poprawią bezpieczeństwo danych. Należy do nich np. prawo do zapomnienia, chroniące prywatność osób podających dane osobowe od chwili, gdy cele ich przetwarzania nie mają dłużej zastosowania. Osoby, które stwierdzą ten fakt, mogą żądać ich usunięcia.

Wysokie kary

Jak wskazują eksperci polskiego oddziału Crowe Horwath, dla wszystkich przedsiębiorców – oprócz firm telekomunikacyjnych – nowością będzie konieczność prowadzenia rejestru naruszeń danych osobowych oraz zgłaszania do generalnego inspektora ochrony danych osobowych (GIODO) wycieków tych danych. I to w ciągu 72 godzin od momentu ich stwierdzenia.

Obowiązkowe będą również oceny ryzyka w procesach przetwarzania danych osobowych zachodzących w przedsiębiorstwach.

Małgorzata Brańska, administrator bezpieczeństwa informacji w Crowe Horwath, radzi rozpoczęcie przygotowań do wprowadzenia zapisów RODO w przedsiębiorstwach już dziś. Firmy, które nie zastosują się do przyszłych wymogów, będą czekać bowiem wysokie kary. Za naruszenie dotyczące przetwarzania danych osobowych mogą one sięgnąć 20 mln euro lub 4 proc. rocznego przychodu firmy – w zależności, która kwota będzie wyższa. Przepisy będą bezlitosne. Organ nakładający karę nie będzie nawet sprawdzał stopnia naruszenia i na tej podstawie wyznaczał kary. Wystarczy tylko, że stwierdzi zaistnienie.

Wyzwanie dla małych

Niestety, dla wielu firm dostosowanie się do GDPR nie będzie proste. Tym bardziej że – jak tłumaczył nam Robert Sapeta, business development manager w Kingston Poland – zmiany w zasadach rejestrowania, przechowywania, przetwarzania i udostępniania danych osób fizycznych dotyczą wszystkich – bez wyjątków – podmiotów, które przetwarzają takie dane.

Nowe reguły obejmą zatem nie tylko wielkie korporacje (jak np. banki), ale również małe przedsiębiorstwa, w tym m.in. sklepy internetowe, serwisy społecznościowe, apteki czy wszelkie inne firmy obsługujące klientów indywidualnych. – Podmioty te muszą wdrożyć odpowiednie technologie, dzięki którym dostosują się do nowych wymogów – radzi Robert Sapeta.

Według analityków firmy badawczej IDC przygotowania do spełnienia nowych wymogów – z uwagi na skalę, złożoność, koszty i newralgiczne znaczenie GDPR, mogą przedsiębiorcom zająć nawet ponad dwa lata. Tyle potrwa w niektórych przypadkach osiągnięcie pełnej zgodności z przepisami.

Eksperci nie ukrywają jednak, że ostre przepisy unijne były potrzebne. Firmy gromadzą bowiem coraz więcej danych (posiadanie ich pozwala im lepiej zrozumieć klientów i zmieniające się trendy rynkowe, ale może także wpływać na podejmowanie decyzji). Przedsiębiorstwa coraz częściej wdrażają nowe technologie umożliwiające zbieranie informacji, m.in. dotyczących preferencji zakupowych czy aktywności w internecie. Jednak sposób wykorzystania niektórych rozwiązań umożliwiających masowe gromadzenie i przetwarzanie informacji często budził kontrowersje.

– Głównym założeniem regulacji jest zmniejszenie ilości danych gromadzonych przez przedsiębiorstwa i zachęcenie ich do pozyskiwania tylko tych informacji, które są im potrzebne – podsumowuje Miłosz Trawczyński, manager w firmie SAS. Jak dodaje, ich ochrona powinna stanowić dziś strategiczny cel współczesnej firmy.