RODO wprowadza ścisłe wymogi dotyczące prywatności i bezpieczeństwa

Co zmienią przepisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych?

Zdaniem dr Łukasza Olejnika wdrożone w piątek przepisy unijnego Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) dają szansę na korzystne zmiany w praktykach przetwarzania danych osobowych nie tylko dla użytkowników, ale też firm i organizacji.

Polecamy: Multipakiet RODO 2018 dla kadrowych i HR

RODO to zbiór przepisów wspólnych dla wszystkich 28 państw Unii Europejskiej. Rozporządzenie stosowane jest bezpośrednio i dotyczy wszystkich firm, które gromadzą i przetwarzają dane osób będących obywatelami państw członkowskich UE. Reguły ustanawiane przez RODO będą stosowane zatem również do firm zza oceanu, takich jak Facebook czy Google.

Zdaniem niezależnego eksperta ds. cyberbezpieczeństwa i prywatności "RODO to konstytucja dla ochrony prywatności i danych. Ustanawia zasady ochrony prywatności dla użytkownika, a także wymogi dla firm i instytucji". Jak zauważa badacz, "te zasady przenikają już poza Unię Europejską. Z punktu widzenia państwa natomiast, RODO jest także istotnym filarem dla cyberbezpieczeństwa. Wdrożenie reformy jest korzystne zwłaszcza dla Polski, bo w ciągu ostatnich piętnastu lat nie udało się wypracować w kraju spójnej koncepcji w tym temacie".

Z perspektywy firm przetwarzających dane, RODO wprowadza ścisłe wymogi dotyczące prywatności i bezpieczeństwa.

"Chodzi tu przede wszystkim o analizę ryzyka i konieczność wykonywania ocen skutków dla ochrony danych oraz wdrożenie metodologii Privacy by Design (prywatność na etapie projektowania produktu bądź usługi - PAP)" - mówi ekspert. "Dla nowoczesnych firm RODO to szansa na odniesienie korzyści, bo pozwoli zachować bądź wytworzyć konkurencyjność na rynku międzynarodowym" - dodaje.

Podmioty, które nie dostosują się do nowego prawa i nie będą potrafiły wykazać zgodności z przepisami, narażone są na karę grzywny w wysokości do 20 mln euro, bądź 4 proc. rocznego globalnego przychodu (którakolwiek liczba wyższa). Olejnik zauważa jednak, że maksymalny wymiar kary w przypadku RODO ma oddziaływać na wyobraźnie i stymulować do zmian w myśleniu o ochronie danych. Ekspert zaznacza jednak, że nie oznacza to, iż maksymalny wymiar kary nie zostanie nałożony w wyniku rażącej niezgodności z nowym rozporządzeniem.

W myśl przepisów RODO, podmioty przetwarzające dane obywateli państw Unii Europejskiej zobowiązane są do wyjaśnienia prostym i zrozumiałym językiem tego, w jakim celu dane są gromadzone, jak są przetwarzane i w jakich celach wykorzystywane. Choć większość firm nie zmieni sposobu pracy z danymi, przed 25 maja modyfikowały swoje polityki prywatności tak, aby były łatwiejsze w odbiorze przez użytkowników.

"Użytkownicy dzięki RODO zyskują kontrolę nad danymi, a także wiele nowych praw, takich jak do bycia zapomnianym, do wniesienia sprzeciwu, czy do informacji o tym, w jaki sposób i kto przetwarza ich dane" - wylicza ekspert. "W pewnym stopniu już teraz mamy do czynienia ze swego rodzaju terapią szokową, gdy strony internetowe zaczynają na szeroką skalę informować o tym, co dzieje się z danymi internautów, a także pytać o zgody na przetwarzanie danych" - stwierdza w rozmowie z PAP dr Olejnik.

Podmioty przetwarzające dane zobowiązane są także do udostępnienia swoim klientom i użytkownikom usług możliwości dostępu do danych, a także żądania ich usunięcia z systemów. Muszą także w klarowny sposób informować na temat tego, jak długo dane użytkowników są przechowywane wewnątrz systemów administratora. Jedną z nowości wprowadzanych przez unijne prawo jest zasada stanowiąca, że dane użytkowników mogą być przechowywane nie dłużej, niż wymagają tego ściśle określone cele i działania prowadzone z ich wykorzystaniem.

W przypadku naruszenia bezpieczeństwa danych osobowych, administrator zobowiązany jest do powiadomienia o tym fakcie w ciągu 72 godzin właściwego organu ochrony danych. To poważne zobowiązanie dla wielu administratorów danych - takich jak Yahoo, któremu poinformowanie o gigantycznym wycieku danych obejmującym 3 mld użytkowników zajęło dwa lata. Zdaniem eksperta, "użytkownicy w końcu będą mieli szansę na dostęp do wiedzy o wyciekach danych, gdy zdarzenia tego rodzaju będą miały miejsce. Będą też mogli samodzielnie i świadomie ocenić bezpieczeństwo oferowane im przez dostawców usług internetowych".

Podmioty przetwarzające dane zlokalizowane na terenie Unii Europejskiej będą zobowiązane do zaoferowania tych samych zasad ochrony danych wszystkim użytkownikom - nie tylko obywatelom państw członkowskich UE. Otwartym pytaniem pozostaje to, w jaki sposób zasady RODO będą stosowane wobec osób wizytujących państwa unijne - zdaniem przedstawicieli brytyjskiej organizacji pozarządowej Privacy International, działającej na rzecz ochrony danych i prywatności, sprawy tego rodzaju mogą być ostatecznie dyskutowane w sądach.

Zdaniem dr Olejnika pierwsze skargi na nieprzestrzeganie przepisów RODO wpłyną do właściwych organów niedługo po 25 maja. "Wielu krajom, w tym niestety Polsce, nie udało się w pełni zdążyć z przygotowaniem do nowych przepisów, m.in. w kwestiach właściwego przygotowania organu odpowiedzialnego za ochronę danych i nie chodzi tu wyłącznie o kwestię przeznaczanych środków finansowych" - ocenia ekspert.

Małgorzata Fraser (PAP)

mfr/ lm/

Polecamy serwis: Ochrona danych osobowych