RODO 2020 – najważniejsze zmiany w obszarze danych osobowych

Co to jest RODO?

Rozporządzenie o Ochronie Danych Osobowych (z ang. GDPR - General Data Protection Regulation) jest aktem prawnym, przyjętym przez Parlament Europejski oraz Radę Unii Europejskiej w kwietniu 2016 roku. Nowe przepisy obowiązują od 25 maja 2018 roku[1]. Według założeń, mają one znacząco zwiększyć poziom ochrony danych osobowych przede wszystkim u osób fizycznych.

Ogólny pakiet zmian prawa Unii Europejskiej (dotyczących ochrony danych) został zatwierdzony przez Komisję Europejską już 25 stycznia 2012 roku. Ostateczne porozumienie w tej sprawie (wraz z generalną harmonizacją przepisów oraz ram prawnych) zostało osiągnięte dopiero 15 grudnia 2015 roku. Odpowiednie rozporządzenie oraz dyrektywę przyjęto 14 kwietnia 2016 roku. Niecały miesiąc później (4 maja), przepisy zostały opublikowane w Dzienniku Urzędowym UE. Mimo iż rozporządzenie weszło w życie już 5 maja 2016 roku, jego przepisy obowiązują dopiero od 25 maja 2018 roku.

Warto wiedzieć, że dzięki ustaleniom Parlamentu Europejskiego, ogólne zasady dotyczące ochrony danych osobowych obowiązują we wszystkich państwach członkowskich. 23 listopada 2017 roku odbyła się specjalna konferencja – „RODO w marketingu”. Dzięki niej, wszyscy zainteresowani przedsiębiorcy mogli się dowiedzieć, w jaki sposób wdrożyć nowe rozporządzenie w życie danej instytucji finansowej.

Kogo dotyczy rozporządzenie RODO?

Najnowsze rozporządzenie 2016/679 uchyla wcześniej obowiązującą dyrektywę 95/46/WE, która w sposób ogólny określała zakres ochrony danych osobowych[2]. Nowe wytyczne stanowią istotny krok w stronę umocnienia podstawowych praw wszystkich obywateli Unii Europejskiej. Jednym z najważniejszych celów było ułatwienie funkcjonowania rozmaitych działalności gospodarczych, m. in. poprzez ujednolicenie oraz uproszczenie różnego rodzaju zasad, które dotyczą przede wszystkim administratorów tzw. rynku wspólnotowego.

Najnowsze rozporządzenie RODO, które weszło w życie w 2018 roku, dotyczy wszystkich podmiotów, które na bieżąco gromadzą oraz wykorzystują informacje o klientach fizycznych. Chodzi tu zarówno o niewielkie instytucje i spółki rodzinne (np. salon kosmetyczny lub lokalny sklep internetowy), jak również o duże korporacje, takie jak rozmaite firmy pożyczkowe lub ubezpieczeniowe.

29 sierpnia 2017 roku, wszyscy przedsiębiorcy mieli okazję wziąć udział w specjalnym szkoleniu – „Wdrożenie RODO – jak przejść suchą stopą?”. Podczas spotkania, omówione zostały wszelkie planowane zmiany oraz sposoby wdrożenia nowych regulacji w istniejące rozwiązania określonych instytucji. Było to ważne wydarzenie szczególnie dla młodych firm, które nie zdążyły opracować odpowiedniego systemu działania, związanego z nowymi regulacjami (w dziedzinie ochrony danych osobowych).

Ochrona danych osobowych RODO - co uległo zmianie?

Wraz z wejściem w życie rozporządzenia 2016/679, nastąpiło zauważalne zwiększenie poziomu ochrony danych osobowych wśród osób fizycznych. Najnowsze przepisy wprowadzają szereg regulacji, które pozwolą na odpowiednie zabezpieczenie informacji o klientach.

Wbrew pozorom, RODO nie dotyczy wszystkich przedsiębiorstw finansowych. Przykładowo, nowymi przepisami nie zostały objęte podmioty fizyczne, które prowadzą działalność osobistą/domową, a dane osobowe przetwarzają bez związku z działalnością handlową lub zawodową (np. wymiana korespondencji z grupą znajomych). Oto najważniejsze zapisy, które zostały wprowadzone 25 maja 2018 roku:

• Prawo do bycia zapomnianym – konsument może nie tylko zażądać udostępnienia mu jego danych osobowych, ale także wnioskować o usunięcie wszelkich prywatnych informacji z bazy danej instytucji. Ponadto, każda firma, która poprosi obywatela o przekazanie określonych informacji, będzie zobowiązana do określenia celu, zakresu oraz czasu ich przetwarzania.
• Łatwiejszy dostęp do danych – zgodnie z nowymi zasadami, każdy klient może wystąpić do administratora danej instytucji o udostępnienie mu danych o sobie w formie pliku .pdf. Zapis dotyczy wszystkich podmiotów finansowych – zarówno wielkich korporacji, jak również mniejszych instytucji, oferujących takie usługi, jak np. szybkie pożyczki przez internet.
• Obowiązek informowania o naruszeniu danych – według unijnego rozporządzenia 2016/679, każda firma, która odnotuje kradzież informacji na temat klientów, ma obowiązek zgłoszenia tego faktu do właściwej jednostki nadzorującej (prawdopodobnie będzie to Urząd Ochrony Danych Osobowych). Instytucja będzie miała 72 godziny na podjęcie odpowiednich działań. Przedsiębiorstwo również ma możliwość (ale nie nakaz) poinformowania o danym incydencie osoby bezpośrednio zainteresowanej.
• Silniejsza ochrona praw dzieci – szczegółowe zapisy rozporządzenia 2016/679 dotyczą szczególnej potrzeby ochrony praw dzieci. Wynikają one z faktu, iż najmłodsi mogą nie być świadomi różnego rodzaju zagrożeń, wynikających z procedury przetwarzania danych osobowych. Zwykle nie znają oni również swoich praw i obowiązków w takim zakresie, który umożliwiałby im swobodne podejmowanie rozmaitych czynności prawnych.
• Lepsza egzekucja rozwiązań prawnych – organy zajmujące się ochroną danych będą miały możliwość nakładania wysokich kar na podmioty, które nie stosują się do najnowszych zaleceń unijnych. Pojedyncza kara pieniężna może wynieść nawet 20 milionów euro (lub 4% całkowitego rocznego obrotu światowego).
• Konieczność wczesnego wdrożenia mechanizmów ochrony klienta – już na etapie projektowania danej usługi. Jest to szczególnie istotne ze względu na fakt, że rozwój sektora Big Data (oraz tzw. chmury internetowej) znacząco wpłynął na różnego rodzaju rozwiązania ekonomiczne i możliwość swobodnego przepływu danych pomiędzy instytucjami.

Ochrona danych osobowych w dyrektywie policyjnej

Analizując zmiany związane z wprowadzeniem RODO, należy również zwrócić uwagę na dyrektywę 2016/680, czyli tzw. dyrektywę policyjną. Jej głównym założeniem jest zapewnienie odpowiedniej ochrony informacji, które dotyczą zarówno ofiar, sprawców, świadków, jak również innych uczestników postępowania.

Dzięki harmonizacji przepisów ogólnych we wszystkich państwach Unii Europejskiej, komunikacja pomiędzy poszczególnymi organami ścigania została znacząco usprawniona. Wspomniana dyrektywa zastąpiła decyzję ramową 2008/977/WSiSW, która obecnie standaryzuje większość regulacji, stosowanych w ramach współpracy sądów i służb policyjnych (w obrębie spraw karnych)[3].

RODO a GIODO - nowe zadania Generalnego Inspektora Ochrony Danych Osobowych

Dotychczas, wszelkimi aspektami związanymi z ochroną danych osobowych zajmował się GIODO – Generalny Inspektor Ochrony Danych Osobowych. Organ został powołany na bazie ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych[4]. Zarząd GIODO jest powoływany na czteroletnią kadencję i podlega tylko i wyłącznie odpowiedniej ustawie. Przysługuje mu również bezwzględny immunitet. Jednostką wspierającą GIODO jest Biuro Generalnego Inspektora Ochrony Danych Osobowych. Głównym zadaniem GIODO jest kontrola zgodności przetwarzania danych z konkretnymi przepisami ustawy.

Najważniejsze kompetencje GIODO:

• wydawanie decyzji administracyjnych;
• rozpatrywanie skarg dotyczących wykonywania poszczególnych przepisów o ochronie danych osobowych;
• prowadzenie tzw. rejestru zbiorów danych;
• opiniowanie aktów prawnych, które dotyczą ochrony danych osobowych;
• podejmowanie przedsięwzięć w zakresie doskonalenia ochrony wrażliwych danych osobowych;
• uczestniczenie w pracach międzynarodowych instytucji oraz organizacji, które zajmują się ochroną danych osobowych.
GIODO wraz z wejściem w życie RODO wprowadziło w swojej strukturze wiele zmian. Instytucja jest przygotowana na realizację zadań, które wynikają z nowej dyrektywy unijnej.

Najważniejsze zmiany wynikające z wprowadzenia RODO

• Stworzenie (lub przebudowanie) odpowiednich systemów informatycznych.
• Przeprowadzenie szkoleń (np. językowych).
• Wprowadzenie nowych procedur postępowania.
• Zwiększenie zatrudnienia.
• Zapewnienie odpowiedniego sprzętu oraz przestrzeni dla pracowników.