Czy tylko ja mam wrażenie, że dookoła mówi się coraz głośniej o RODO? Każda rozmowa na temat ochrony danych osobowych dotyczy tylko jednego. Wszyscy wiedzą, że w maju 2018 roku, temat ten będzie dotyczył każdego, ale nie każdy wie na czym to polega. W moim dzisiejszym artykule chciałabym powiedzieć w kilku zdaniach o najważniejszych zmianach w ustawie oraz wskazać, co uległo zmianie i na co należy zwrócić uwagę w pierwszej kolejności.  Mam nadzieję, że chociaż w pewnym stopniu rozjaśni to zagadkowy temat RODO.

Co nowego w Rozporządzeniu o Ochronie Danych Osobowych?

  • Prawo do przenaszalności danych,
  • Prawo do bycia zapomnianym,
  • Termin DPO (Data Protection Officer) – dawny ABI,
  • Większa elastyczność polityki bezpiecznych haseł.

Rozporządzenie wymusza:

  • Dostosowanie systemów IT,
  • Usuwanie danych z systemu na wniosek osoby, która zgłosi takowe żądanie,
  • Odpowiednią ochronę danych,
  • Zgłaszanie naruszenia danych osobowych organowi nadzorczemu,
  • Uzyskanie odpowiedniej zgody na przetwarzanie danych osobowych,
  • Utrzymywanie szczegółowych informacji o przetwarzaniu danych,
  • Transparentne informowanie o zbieraniu danych,
  • Wskazanie celu i zakresu przetwarzania – do mailingu nie jest nam potrzebny nr PESEL,
  • Określanie czasu przetwarzania danych oraz zasad ich usuwania,
  • Przeszkolenie pracowników,
  • Sprawdzanie i odpowiednie zmienianie polityki przetwarzania danych,
  • Zatrudnienie Inspektora Ochrony Danych (jeśli wymagane).

Co będzie zakazane?

  • Agresywny marketing – mailing, telemarketing,
  • Przetwarzanie danych w celach innych niż z powodu ich gromadzenia,
  • Zbieranie danych biometrycznych,
  • Profilowanie danych.

O czym powinniśmy pamiętać?

  • Zaszyfrowane dane osobowe to także dane osobowe – mamy specjalną kategorię nazwaną „dane pseudonimowe”, gdyż szyfrowanie danych to sposób ich zabezpieczenia i one nadal wymagają stosowania się do przepisów prawa,
  • Usuwanie danych osobowych, to również destrukcja kopii zapasowych. Uszkodzenie dysku twardego lub jego całkowite zniszczenie daje dopiero pewność usunięcia danych, gdyż w przypadku standardowego wykasowania, można je odzyskać różnymi technikami,
  • Przechowywanie danych nie równa się przetwarzaniu danych,
  • Firma jest zobowiązana przechowywać zgody na przetwarzanie danych osobowych i okazać je w razie potrzeby – klient nie będzie miał obowiązku udowadniać, że takiej zgody nie wyraził.

Kiedy trzeba powołać Inspektora Ochrony Danych (DPO) (art. 37 RODO)?

  • Organy i podmioty publiczne – niezależnie od wielkości instytucji,
  • Podmioty, które zatrudniają powyżej 250 osób,
  • Podmioty, które w ramach swojej głównej działalności regularnie i na dużą skalę monitorują osoby,
  • Podmioty, które przetwarzają dane osobowe na dużą skalę.

A co to znaczy na dużą skalę? Istnieje jeszcze sporo niedopowiedzeń i wiele kwestii wymagających doprecyzowania.

Co mi grozi?

W rzeczywistości kary nie będą nakładane na każdego przy pierwszych naruszeniach. Oczywiście wszystko zależy od skali, ale raczej długa droga zanim spotkamy się z nieprzyjemnymi konsekwencjami:

  • Upomnienia,
  • Ostrzeżenia,
  • Konsultacje,
  • Rekomendacje,
  • Kary.

Jednak RODO to nie tylko kary, to szansa na uporządkowanie procesów, usystematyzowanie wiedzy, wdrożenie odpowiednich procedur, uruchomienie istotnych polityk w obszarze bezpieczeństwa. To również przywileje które:

  • Zapewniają przejrzystość przetwarzania i wykorzystywania danych osobowych,
  • Ograniczają przetwarzanie danych osobowych do określonych i zgodnych z prawem celów,
  • Ograniczają gromadzenie i przechowywanie danych osobowych wyłącznie do celów zgodnych z przeznaczeniem,
  • Umożliwiają osobom fizycznym poprawianie lub wnioskowanie o usunięcie ich danych osobowych,
  • Ograniczają czas przechowywania danych osobowych do okresu, w którym jest to niezbędne do celu zgodnego z przeznaczeniem,
  • Zapewniają ochronę danych osobowych przy zastosowaniu odpowiednich praktyk w zakresie bezpieczeństwa.

Zniesione zostały również wymagania dotyczące restrykcyjnej konstrukcji haseł. Większa swoboda w tym obszarze obliguje nas do tego, aby stworzyć odpowiednie polityki wewnątrz firmy lub wdrożyć dodatkowe zabezpieczenia, które pozwolą nam utrzymać bezpieczeństwo na odpowiednio wysokim poziomie. Hasło powinno być obecnie jednym z zabezpieczeń, a nie głównym i jedynym ograniczeniem dostępu. Warto również zapoznać się z technologią Multi-Factor Authentication – usługa kontroli dostępu umożliwiająca uwierzytelnianie wielopoziomowe.

Ile mam czasu?

Niestety dziś już bardzo mało. Rozporządzenie zostało opublikowane w maju 2016 roku i mieliśmy na to całe 2 lata. Dziś zostało niewiele ponad pół roku na tak wielką zmianę. Dostosowanie systemów IT jest kosztowne i czasochłonne.
Ogromna odpowiedzialność ciąży na dostawcach usług i systemów, jednak nie możemy wymagać od dostawcy, aby narzędzie spełniało wymogi zgodnie z nowym Rozporządzeniem, gdyż dopiero w maju będzie ten wymóg obowiązywał. Klienci zatem nie mogą żądać od dostawcy, aby w umowie znajdował się zapis o spełnianiu wymogów unijnych, ale zdecydowanie dostawca, który już dziś oferuje tę zgodność, ma ogromną przewagę na rynku. Dzięki temu, z dniem 25 maja 2018 roku, będziemy już o krok bliżej do zgodności, jeżeli dostawca nam to wcześniej zagwarantuje.

Microsoft gwarantuje, że wszystkie usługi on-line będą w pełni zgodne z RODO w chwili rozpoczęcia egzekwowania zapisów rozporządzenia w dniu 25 maja 2018. Zapis ten zawarty jest w umowie o świadczeniu usług on-line.

Kto może nas zgłosić?

  • Niezadowolony klient,
  • Były pracownik,
  • Konkurencja.

Mnie to nie dotyczy?

Art. 287. § 1. Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Art. 294. § 1. Kto dopuszcza się przestępstwa określonego w art. 278 § 1 lub 2, art. 284 § 1 lub 2, art. 285 § 1, art. 286 § 1, art. 287 § 1, art. 288 § 1 lub 3, lub w art. 291 § 1, w stosunku do mienia znacznej wartości, podlega karze pozbawienia wolności od roku do lat 10.

Podczas dyskusji panelowej w ramach premiery raportu Computerworld TOP200, dr Maciej Kawecki porównał dostosowanie firmy do zgodności z Rozporządzeniem do udziału w wytwornej imprezie. Mamy dwa wyjścia: uszyć garnitur na miarę lub dostosować stary, który już posiadamy. Najlepsze wyjście nasuwa się samo. Inaczej wyglądają zabezpieczenia w każdym sektorze i nie jesteśmy w stanie kupić uniwersalnych zabezpieczeń dla wszystkich.
Do sedna – dr Kawecki rekomenduje zakup nowego garnituru = należy skorzystać z pomocy firmy zewnętrznej, która dostosuje usługę oraz rekomendacje dotyczące systemów IT, do naszych potrzeb.

Nie ma jeszcze dokładnych wytycznych, ale to nie oznacza, że możemy siedzieć z założonymi rękoma i czekać co będzie dalej, gdyż podstawowe obowiązki w rozporządzeniu znane są od dawna – około 80% wytycznych jest już dostępnych. Pozostałe regulacje będą dotyczyły jedynie specyficznych sektorów: banki, ubezpieczalnie czy spółki medyczne. Podstawa, która jest opublikowana już od dawna jest spójna dla sporej większości.

Prawo do bycia zapomnianym.
Jeżeli zgłosi my banku że chcemy aby nasze konto zostało usunięte i wraz z nim nasze dane, nie może być to uczynione względu na to, że nasze dane są w umowach i dokumentach, które muszą być przechowywane, co wynika z innego prawa.  Dokładnie taka sama sytuacja dotyczy prawa do przenaszalności danych.

I ostatni cytat w tym artykule – „Chmura publiczna może być dobrym rozwiązaniem dla małych przedsiębiorców, bo będąc nadal odpowiedzialnymi za przetwarzanie danych osobowych jako ADO, procesorem już będzie usługodawca chmury publicznej. Właśnie to jest szansą dla chmury publicznej, która napędza biznes.”

Pytania i odpowiedzi

Jak będzie wyglądało usunięcie zgody na przetwarzanie danych?

Usunięcie zgody nie może być trudniejsze niż jej wyrażenie. Jeżeli wyraziliśmy zgodę poprzez kliknięcie w link, tą samą drogą (lub łatwiejszą) musimy mieć możliwość usunięcia zgody.

Co jako firma musimy zrobić z taką zgodą?

Musimy mieć możliwość udowodnienia otrzymania zgody – musimy przechowywać je i w razie potrzeby móc je wykazać przed organem kontrolnym.

Czy mailowa wysyłka oferty cenowej to nadużycie?

Wysłanie oferty cenowej nie wymaga zgody, jeżeli wyślemy ją na adres, który został udostępniony właśnie w tym celu. Wysyłanie oferty na adres np. serwis@firma.pl, przeznaczonym do zgłoszeń serwisowych, jest nadużyciem.

Czy każdy zgubiony pendrive musi być zgłoszony?

Nie musimy zgłaszać do RODO każdego zagubionego nośnika. Inna sytuacja kiedy wycieknie baza programu lojalnościowego, inna kiedy loginy i hasła czy skany dowodów osobistych. Musimy sami potrafić określić jakie incydenty należy zgłosić.

Jak wyglądają kontrole?

Nowy urząd daje kontrolerom bardzo szerokie prawa – mogą wejść bez ostrzeżenia. Mają do dyspozycji Policje i inne służby. Mogą prowadzić kontrole maksymalnie do 30 dni. Kontrola może być prowadzona równolegle z inną kontrolą (np. Urząd Skarbowy). Kontroler może wejść do każdego pomieszczenia, zajrzeć w każdy dokument, nawet ten najbardziej tajny, przesłuchiwać pracowników w charakterze świadka. W kontekście wysokiego poziomu ochrony danych i bezpieczeństwa informacji, jest to dość kontrowersyjny temat, ale nie chciałbym go dzisiaj bardziej rozwijać.

Od czego powinienem zacząć?

Po pierwsze musimy zadać sobie pytanie czy mamy świadomość jakie dane są przetwarzane w naszej firmie, ile jest takich danych, czy są to dane wrażliwe, gdzie one się znajdują. Należy zbadać skale takiego zjawiska. Poniższy proces wdrażania najlepiej przedstawia działania jakie musimy podjąć:

Jak to zrobić? Co mi może pomóc?

Office 365 dostarcza narzędzia do wdrożenia nowych procesów:

Dlaczego chmura?

Artykuł 82 Prawo do odszkodowania i odpowiedzialność

  1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
  2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

(81) Aby zapewnić przestrzeganie wymogów niniejszego rozporządzenia w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania.

Nadal nie wiesz jakie działania musisz podjąć?

Skontaktuj się z nami! Auditoria, jako doradca biznesowy, pomoże Ci uruchomić najważniejsze procesy i dobrać odpowiednie narzędzia, abyś mógł spać spokojnie i czuć się bezpiecznie w swojej firmie. Od lat pomagamy różnym organizacjom zarządzać zasobami IT w sposób racjonalny i zoptymalizowany tak, aby w przypadku jakiejkolwiek kontroli, firma mogła pokazać się z jak najlepszej strony bez ryzyka nieprzyjemnych konsekwencji.

Potrzebujesz więcej informacji na ten temat?

Zapraszamy na naszą stronę lub skontaktuj się bezpośrednio ze mną.

Pisząc ten artykuł posiłkowałam się wieloma źródłami wiedzy, artykułami i szkoleniami. Również opinia prawników i niezależnych ekspertów przyczyniła się do jego powstania.

Polub nas i śledź nas: