Ogólne rozporządzenie o ochronie danych osobowych będzie stosowane od 25 maja 2018 r. Eksperci formy konsultingowej PwC ostrzegają, że tylko pozornie jest jeszcze sporo czasu na przygotowanie się do nowych przepisów, albowiem wynika z nich ogrom obowiązków i działań, jakie muszą podjąć przedsiębiorstwa. Będą one wymagały zarówno wydatków, jak i zaangażowania pracowników.
Tzw. RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, wprowadza wielkie zmiany.
Ludzie coraz częściej udostępniają informacje osobowe publicznie i globalnie za pośrednictwem Internetu. RODO to odpowiedź Unii Europejskiej na wynikający z szybkiego rozwoju technologicznego wzrost skali zbierania, wykorzystywania i wymiany takich danych, zarówno przez przedsiębiorstwa prywatne, jak i organy publiczne.
Dane osobowe według RODO
O tym, jak wielkie znaczenie ma nowa regulacja dla przedsiębiorstw i prowadzenia biznesu, przekonywali eksperci firmy doradczej PwC podczas konferencji zorganizowanej 27 października 2016 r.
RODO zastępuje unijną dyrektywę z 1995 r. Ma zharmonizować prawo ochrony danych osobowych w Europie. Będzie stosowane bezpośrednio w państwach członkowskich UE – w Polsce w miejsce przepisów krajowej ustawy.
– RODO rozszerza definicję danych osobowych. Są to wszystkie dane, które pozwalają określić i scharakteryzować konkretną osobę – mówiła Sylwia Pusz, partner w PwC – RODO szczegółowo opisuje, jak je pozyskiwać i jak się z nimi obchodzić. Dotyka nie tylko obszaru prawnego, ale praktycznie wszystkich działów w firmie – personalnego, marketingu, informatycznego, obsługi klienta.
Dane osobowe zatem to, według RODO, informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej – nie tylko jej imię i nazwisko, ale także takie, które choćby pośrednio określają osobę, np. płeć, wiek, używany telefon, fryzura, zegarek czy wybierana marka ubrań.
Kary i ryzyka
Według ekspertów PwC, RODO nakłada na firmy nowe obowiązki, a dostosowanie się do jego wymagań powinno być dla nich zadaniem priorytetowym. Za niewypełnienie zaleceń rozporządzenia grożą bowiem ogromne kary finansowe – do 20 mln euro lub do 4 proc. wartości rocznego obrotu przedsiębiorstwa.
Sylwia Pusz wymieniła cztery rodzaje ryzyka, jakie niosą nowe przepisy dla przedsiębiorstw: reputacyjne (skaza na wizerunku, która może skutkować utratą klientów), finansowe (kary, odszkodowania), operacyjne (ograniczenie działalności zakaz transferu danych) i regulacyjne (kontrole organów nadzoru).
Swoista metoda regulacji
A wdrożenie wymogów RODO nie będzie proste. – Praktycznie nie ma takiej branży, w której nie przetwarza się danych osobowych. Tymczasem RODO to niemała zmiana jakościowa. Nowa regulacja określa tylko wyznaczony cel – bezpieczeństwo tych danych, ale już nie dokładną ścieżkę postępowania, by go osiągnąć. Ustawodawca przestaje prowadzić za rękę – trzeba iść samemu. W Polsce nie jesteśmy przyzwyczajeni do tak skonstruowanych przepisów – wyjaśniała adwokat Anna Kobylańska z kancelarii PwC Legal.
RODO zakłada podejście do kwestii danych osobowych od strony stałej oceny ryzyka naruszeń prawa i – w miejsce jednorazowych działań ustanawiających system ochrony – ciągłość tego procesu. Nowością ma być też obowiązek dokumentowania w firmie wszystkich operacji przetwarzania danych.
– Kontrola ochrony danych będzie procesem ciągłym. Konieczność analizy ryzyka pojawi się już na etapie projektowania rozwiązań informatycznych. Będzie wprawdzie mniej obowiązków biurokratycznych niż dzisiaj, ale za to więcej organizacyjnych. W dodatku dotychczas sankcje za naruszenie przepisów były mało realne, ale teraz możliwości egzekwowania przewidzianych wysokich kar pieniężnych będą większe – mówiła Anna Kobylańska.
Tym bardziej, że – jak podkreślają eksperci PwC – RODO ogranicza sposobności do podejmowania, po wykryciu nieprawidłowości, wewnętrznych działań korygujących, które oddalałaby zagrożenie karą. A jest jeszcze przewidziany mechanizm samodonoszenia – administratorzy danych osobowych będą musieli zawiadamiać organ nadzoru o naruszeniu przepisów, oczywiście pod groźbą ukarania za zaniechanie.
Nowe poletko compliance
Od strony informatycznej wymagania RODO wobec biznesu przedstawił Łukasz Ślęzak, menedżer do spraw cyberbezpieczeństwa w PwC. – Rozporządzenie nie opisuje konkretnych mechanizmów bezpieczeństwa w warstwie technologicznej, proceduralno-procesowej i organizacyjnej, które muszą być wdrożone, a jedynie ogólne wymagania w zakresie ochrony danych osobowych. W różnych firmach sposoby ich spełnienia mogą być inne – stwierdził.
Według ekspertów PwC punktem wyjścia do rozpoczęcia przygotowań do zapewnienia zgodności działania przedsiębiorstwa z RODO jest ustalenie zakresu oraz sposobów wykorzystania, przenoszenia i udostępniania przetwarzanych danych. Proces prowadzi od etapu inwentaryzacji danych do kolejnego – oceny zagrożeń, poprzez następny – weryfikację istniejących zabezpieczeń i dalej wdrożenie programu naprawczego, przygotowanie do kontroli oraz systematyczny monitoring.
Ireneusz Walencik
