PwC: Nowe unijne przepisy o ochronie danych osobowych wyzwaniem dla biznesu

466
(www.bigdatapartnership.com)

Ogólne rozporządzenie o ochronie danych osobowych będzie stosowane od 25 maja 2018 r. Eksperci formy konsultingowej PwC ostrzegają, że tylko pozornie jest jeszcze sporo czasu na przygotowanie się do nowych przepisów, albowiem wynika z nich ogrom obowiązków i działań, jakie muszą podjąć przedsiębiorstwa. Będą one wymagały zarówno wydatków, jak i zaangażowania pracowników.

Tzw. RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, wprowadza wielkie zmiany.

Ludzie coraz częściej udostępniają informacje osobowe publicznie i globalnie za pośrednictwem Internetu. RODO to odpowiedź Unii Europejskiej na wynikający z szybkiego rozwoju technologicznego wzrost skali zbierania, wykorzystywania i wymiany takich danych, zarówno przez przedsiębiorstwa prywatne, jak i organy publiczne.

Dane osobowe według RODO

O tym, jak wielkie znaczenie ma nowa regulacja dla przedsiębiorstw i prowadzenia biznesu, przekonywali eksperci firmy doradczej PwC podczas konferencji zorganizowanej 27 października 2016 r.

RODO zastępuje unijną dyrektywę z 1995 r. Ma zharmonizować prawo ochrony danych osobowych w Europie. Będzie stosowane bezpośrednio w państwach członkowskich UE – w Polsce w miejsce przepisów krajowej ustawy.

– RODO rozszerza definicję danych osobowych. Są to wszystkie dane, które pozwalają określić i scharakteryzować konkretną osobę – mówiła Sylwia Pusz, partner w PwC – RODO szczegółowo opisuje, jak je pozyskiwać i jak się z nimi obchodzić. Dotyka nie tylko obszaru prawnego, ale praktycznie wszystkich działów w firmie – personalnego, marketingu, informatycznego, obsługi klienta.

Dane osobowe zatem to, według RODO, informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej – nie tylko jej imię i nazwisko, ale także takie, które choćby pośrednio określają osobę, np. płeć, wiek, używany telefon, fryzura, zegarek czy wybierana marka ubrań.

Kary i ryzyka

Według ekspertów PwC, RODO nakłada na firmy nowe obowiązki, a dostosowanie się do jego wymagań powinno być dla nich zadaniem priorytetowym. Za niewypełnienie zaleceń rozporządzenia grożą bowiem ogromne kary finansowe – do 20 mln euro lub do 4 proc. wartości rocznego obrotu przedsiębiorstwa.

Sylwia Pusz wymieniła cztery rodzaje ryzyka, jakie niosą nowe przepisy dla przedsiębiorstw: reputacyjne (skaza na wizerunku, która może skutkować utratą klientów), finansowe (kary, odszkodowania), operacyjne (ograniczenie działalności zakaz transferu danych) i regulacyjne (kontrole organów nadzoru).

Swoista metoda regulacji

A wdrożenie wymogów RODO nie będzie  proste.  – Praktycznie nie ma takiej branży, w której nie przetwarza się danych osobowych. Tymczasem RODO to niemała zmiana jakościowa. Nowa regulacja określa tylko wyznaczony cel – bezpieczeństwo tych danych, ale już nie dokładną ścieżkę postępowania, by go osiągnąć. Ustawodawca przestaje prowadzić  za rękę – trzeba iść samemu. W Polsce nie jesteśmy przyzwyczajeni do tak skonstruowanych przepisów – wyjaśniała adwokat Anna Kobylańska z kancelarii PwC Legal.

RODO zakłada podejście do kwestii danych osobowych od strony stałej oceny ryzyka naruszeń prawa i – w miejsce jednorazowych działań ustanawiających system ochrony – ciągłość tego procesu. Nowością ma być też obowiązek dokumentowania w firmie wszystkich operacji przetwarzania danych.

–  Kontrola ochrony danych będzie procesem ciągłym. Konieczność analizy ryzyka pojawi się już na etapie projektowania rozwiązań informatycznych. Będzie wprawdzie mniej obowiązków biurokratycznych niż dzisiaj, ale za to więcej organizacyjnych. W dodatku dotychczas sankcje za naruszenie przepisów były mało realne, ale teraz możliwości egzekwowania przewidzianych wysokich kar pieniężnych będą większe  – mówiła Anna Kobylańska.

Tym bardziej, że – jak podkreślają eksperci PwC – RODO ogranicza sposobności do podejmowania, po wykryciu nieprawidłowości, wewnętrznych działań korygujących, które oddalałaby zagrożenie karą. A jest jeszcze przewidziany mechanizm samodonoszenia  – administratorzy danych osobowych będą musieli zawiadamiać organ nadzoru o naruszeniu przepisów, oczywiście pod groźbą ukarania za zaniechanie.

Nowe poletko compliance

Od strony informatycznej wymagania RODO wobec biznesu przedstawił Łukasz Ślęzak, menedżer do spraw  cyberbezpieczeństwa w PwC. – Rozporządzenie nie opisuje konkretnych mechanizmów bezpieczeństwa w warstwie technologicznej, proceduralno-procesowej i organizacyjnej, które muszą być wdrożone, a jedynie ogólne wymagania w zakresie ochrony danych osobowych. W różnych firmach sposoby ich spełnienia mogą być inne – stwierdził.

Według ekspertów PwC punktem wyjścia do rozpoczęcia przygotowań do zapewnienia zgodności działania przedsiębiorstwa z RODO jest ustalenie zakresu oraz sposobów wykorzystania, przenoszenia i udostępniania przetwarzanych danych. Proces prowadzi od etapu inwentaryzacji danych do kolejnego – oceny zagrożeń, poprzez następny – weryfikację istniejących zabezpieczeń i dalej wdrożenie programu naprawczego, przygotowanie do kontroli oraz systematyczny monitoring.

Ireneusz Walencik

i.walencik@rynekprawniczy.pl