Czy powinniśmy się bać RODO?

Nowością z pewnością jest również podejście oparte na ryzyku. RODO wymaga, aby każdy podmiot przetwarzający dane osobowe zidentyfikował zagrożenia, oszacował skutki, a także prawdopodobieństwo ich wystąpienia. Jest to typowa analiza ryzyka, która powinna być punktem wyjścia w dostosowaniu się do nowych wymogów. Dopiero na tej podstawie przedsiębiorca powinien wdrożyć odpowiednie środki organizacyjne, np. procedury postępowania, a także techniczne, informatyczne, które będą zabezpieczały dane osobowe przed ujawnieniem, udostępnieniem, utratą lub zniszczeniem. I tu RODO w pewnym zakresie jest bardziej liberalne od poprzednich przepisów o ochronie danych. Analiza ryzyka ma zapewnić wdrożenie wyłącznie niezbędnych i adekwatnych środków, które będą zabezpieczały przetwarzane dane osobowe. Obecnie nie narzuca się już sztywnych zabezpieczeń. Teraz mają być dobierane według ryzyka i kategorii danych objętych ochroną. Dodatkowo, zgodnie z zasadą rozliczalności, która pojawia się w RODO, wymagane jest nie tylko wprowadzenie zabezpieczeń gwarantujących przestrzeganie nowych przepisów, ale także sporządzenie polityk wewnętrznych, które będą je opisywały i wykazania w praktyce, że to wszystko rzeczywiście w przedsiębiorstwie działa i zapewnia właściwą ochronę.

Kolejny obowiązek, niezależnie od rodzaju naszego działania, to zgłaszanie naruszenia danych do GIODO. Jeśli takie zdarzenie będzie mogło spowodować wysokie ryzyko utraty praw i wolności osoby fizycznej, np. kradzież jej tożsamości, starty materialne lub niematerialne, to przedsiębiorca będzie miał 72 godziny od chwili stwierdzenia naruszenia na poinformowanie o tym organu nadzorczego, a także osoby, której dane dotyczą. W związku z tym będą musiały w firmach istnieć procedury postępowania, które pozwolą na sprawną komunikację i ustalenie tego, jakie będą skutki takiego naruszenia, czy do utraty prawa do wolności rzeczywiście może dojść.

Warto dodać, że większość pozostałych obowiązków z RODO powinna być już przedsiębiorcom znana. Niektóre z nich ulegają lekkiej modyfikacji, np. zamiast zgłaszania zbiorów do GIODO niektórzy przedsiębiorcy będą musieli prowadzić podobny wykaz we własnym zakresie. Nazywa się to rejestrem czynności przetwarzania, ale informacje, które mają być w nim zawarte nie są skomplikowane. Jest to między innymi cel przetwarzania, okres przechowywania czy wymienienie podmiotów, którym dane są lub mogą zostać ujawnione. Inne obowiązki uległy poszerzeniu, np. obowiązek informacyjny. Jest to zestaw informacji, który powinien zostać przekazany osobie, której dane dotyczą, np. przed zebraniem jej danych.