RODO – jak przygotować się do zmian?

Wielkimi krokami zbliża się rewolucyjna zmiana, wprowadzająca jednolite przepisy w zakresie ochrony danych osobowych w całej Unii Europejskiej. Z dniem 25 maja 2018 r. zacznie obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz. U. UE L z dnia 4 maja 2016 r., zwane popularnie „RODO”.


Do tej pory wiele podmiotów w ogóle nie przywiązywało wagi do tematu ochrony danych osobowych, a miało to miejsce głównie ze względu na brak realnych sankcji w tym zakresie. Powyższy sposób myślenia musi zmienić się zwłaszcza wśród podmiotów przetwarzających wiele informacji dotyczących osób fizycznych, takich jak sklepy internetowe, banki, zarządcy nieruchomości czy chociażby przedsiębiorcy w procesie przetwarzania danych pracowniczych czy rekrutacji.  Nowe przepisy bowiem przewidują wysokie kary pieniężne, sięgające nawet milionów złotych.

Jak przygotować się do zmian w świetle wchodzących w życie przepisów? Odpowiedź nie będzie prosta, gdyż nowe przepisy nie narzucają sztywnych procedur w tym zakresie.
Jak stanowi art. 24 ust. 1 RODO „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.
Mając na uwadze powyższe, zobowiązane podmioty przy tworzeniu swojego systemu ochrony danych osobowych będą miały co prawda swobodę w tym zakresie, ale w przypadku kontroli będą musiały wykazać przestrzeganie przepisów rozporządzenia.  W konsekwencji, mimo braku obowiązku dokumentowania sposobu przetwarzania danych osobowych w dotychczasowej postaci, posiadanie stosownej dokumentacji może okazać się jednak nieodzowne.
Wybór środków zastosowanych w celu ochrony danych osobowych przez przedsiębiorców, w całości pozostawiony został administratorowi danych osobowych.

RODO nie milczy jednak w zakresie środków technicznych i organizacyjnych bezpieczeństwa danych osobowych, wskazując:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Powyższe wyliczenie nie jest obowiązkowe, stanowi jedynie punkt odniesienia dla przedsiębiorcy, który we własnym zakresie musi ocenić i dostosować środki do charakteru prowadzonego przedsiębiorstwa.
W celu stworzenia systemu ochrony, przedsiębiorca powinien dokonać analizy:
•    jakimi danymi osobowymi dysponuje,
•    jakim procesom przetwarzania są one poddawane,
•    jakie ryzyko wiąże się z ich przetwarzaniem.

Następnie powinien dobrać optymalne środki i rozwiązania techniczne oraz organizacyjne w celu zminimalizowania tego ryzyka.
Podsumowując, ochrona danych osobowych sprowadzać się teraz będzie do zaprojektowania systemu ochrony i ustalenia procedur osobno pod wszystkie procesy wykorzystania danych osobowych przez przedsiębiorcę. Przedsiębiorca powinien liczyć się z nowymi obowiązkami, a także koniecznością współpracy w tym zakresie z radcą prawnym, czy  nierzadko ze specjalistą z zakresu IT, gdyż wdrożenie RODO wymaga wiedzy z obu tych dziedzin.