Czym jest rozporządzenie RODO? Wyjaśniamy co wprowadza i co zmienia ustawa RODO
Z tego poradnika dowiesz się:
- Czym jest rozporządzenie RODO?
- Co grozi za nieprzestrzeganie nowego prawa?
- Jakie obowiązki dyrektywa nakłada na firmy?
- Co przysługuje konsumentom w ramach RODO?
- Jak zmodernizować sprzęt IT w obliczu obowiązywania RODO?
Czym jest RODO?
RODO jest skrótem od rozporządzenia o ochronie danych osobowych, przyjętego w kwietniu 2016 roku przez Parlament Europejski oraz Radę Unii Europejskiej. W języku angielskim dokument ten nosi miano General Data Protection Regulation (GDPR). Po kilku latach od uchwalenia prawo zaczyna obowiązywać na terenie UE, w tym rzecz jasna w Polsce. Kontrola nad respektowaniem zasad RODO w naszym kraju należy do PUODO (Prezes Urzędu Ochrony Danych Osobowych).
Nowe prawo rewolucjonizuje dotychczasowe procedury mające chronić dane osobowe konsumentów, wprowadzając szereg zmian oraz obowiązków. Dotyczą one głównie firm i innych podmiotów przetwarzających dane osobowe, lecz będąc klientem warto je poznać, choćby dla lepszej świadomości praw wynikających z nowego prawa.
Co ważne, zostało ono ujednolicone dla wszystkich 28. państw członkowskich, dzięki czemu na terenie Unii Europejskiej nie ma możliwości uniknięcia odpowiedzialności za niestosowanie się do dyrektywy GDPR.
Jak interpretować przepisy RODO?
Należy jednak podkreślić, że ustawa RODO nie jest zbiorem precyzyjnych przepisów, które w sposób jednoznaczny określają nowy sposób ochrony danych osobowych. Możemy tu mówić o otwartym modelu ochrony danych, adekwatnym do profilu danego przedsiębiorstwa.
Jak zatem się to odbywa? Otóż unijne rozporządzenie przenosi odpowiedzialność za ochronę danych osobowych bezpośrednio na podmiot, będący w ich posiadaniu (firmę lub urząd), nakładając jednocześnie obowiązek stałego monitorowania poziomu ochrony danych.
Dostosowanie się do RODO nie odbywa się zatem jednorazowo, lecz wymaga szeregu zmian (przede wszystkim w środowisku technicznym i IT), które firmy i urzędy muszą wprowadzać, gdy uznają, że dotychczasowe zabezpieczenia są niewystarczające.
To właśnie analiza ryzyka jest głównym punktem RODO. Jednocześnie jest to najważniejszy obowiązek nakładany przez dyrektywę na każdego administratora danych osobowych. Zaniedbania grożą wysokimi karami finansowymi.
Wysokość kar nakładanych przez PUODO
Jak wysokimi? Ustawodawca przewiduje możliwość nałożenia kary w wysokości do 20 milionów euro, bądź 4% wartości rocznego światowego obrotu przedsiębiorstwa. Wybór kary zależy od tego, która z tych wartości jest wyższa. Zbagatelizowanie nowych przepisów może więc drogo kosztować.
Tym bardziej, że PUODO będzie kontrolować przedsiębiorstwa pod kątem przestrzegania unijnej dyrektywy, sprawdzając, czy analiza ryzyka została przeprowadzona w dostatecznym stopniu.
Aby uniknąć kar należy przede wszystkim poznać obowiązki, jakie RODO nakłada na przedsiębiorców. Trzeba też zrozumieć potrzebę monitorowania bezpieczeństwa danych. Przy okazji warto dokonać audytu wewnętrznego firmy. W ten sposób dowiesz się, czy sprzęt oraz oprogramowanie, jakim dysponuje firma, są wystarczające do spełnienia norm wymaganych przez rozporządzenie RODO. Bez względu na to, czy prowadzisz dużą firmę z placówkami zagranicznymi, lokalne przedsiębiorstwo, czy jednoosobową działalność.
Jakie obowiązki RODO nakłada na firmy?
Ponieważ przepisy rozporządzenia nie podają wprost, co należy robić, aby odpowiednio chronić dane osobowe, proces wdrażania RODO rozpocznij od poznania obowiązków określonych dyrektywą GDPR.
Stała analiza ryzyka oraz dostosowanie środowiska technicznego i IT
Jak pisaliśmy wyżej, kluczowym obowiązkiem podmiotu przetwarzającego dane osobowe jest stała analiza ryzyka. W tym miejscu trzeba określić, które obszary działalności przedsiębiorstwa są najbardziej narażone na wyciek danych osobowych:
- Czy sieć firmowa oraz routery są dostatecznie zabezpieczone?
- Czy serwery NAS dysponują odpowiednim protokołem?
- Czy dyski w komputerach i laptopach oraz pendrive’y z danymi firmy są szyfrowane?
- Czy dokumenty papierowe są niszczone w sposób nieodwracalny?
- Czy służbowe smartfony nie są narażone na wyciek informacji?
- Czy ekrany monitorów i laptopów uniemożliwiają czytanie treści osobom będącym obok?
Jak widać aspektów wymagających kontroli jest sporo, choć na pierwszy plan wysuwają się bez wątpienia urządzenia sieciowe. To właśnie one, tworząc rozgałęzione środowisko, są najbardziej narażone na zagrożenia związane z wyciekiem danych osobowych.
Nie oznacza to jednak, że pozostałe kwestie można sobie darować. Dlaczego? Sprzęt pracujący na rzecz firmy przypomina dziś naczynia połączone. Nie sposób przecież korzystać z komputera albo laptopa bez dostępu do internetu. Łączność odbywa się z kolei poprzez kabel LAN albo wi-fi.
Trzeba więc zatroszczyć się o odpowiednio zaawansowane routery, a także switche. Kolejna kwestia to serwery NAS. Faktem jest, że ich obecność znacznie ułatwia pracę, pozwalając na korzystanie z jednego zasobu danych wielu osobom. I to nie tylko w biurze, ale i poza nim. Z perspektywy elastyczności biznesu jest to kwestia pożądana.
Tyle tylko, że podczas połączenia zdalnego tworzy się pomost między komputerem/laptopem a serwerem. Jeśli nie będzie zabezpieczony odpowiednio wysokim protokołem efektów nie sposób przewidzieć. Ryzyko kradzieży danych osobowych jest w tym przypadku wysokie, a kontrola PUODO z pewnością to wykaże.
Tak samo jest z każdym innym rodzajem zagrożenia, które wymieniliśmy wyżej. Więcej o dostosowywaniu środowiska IT do przepisów RODO w rozdziale: Jak zmodernizować sprzęt w obliczu obowiązywania RODO.
Bezpośrednia odpowiedzialność przetwarzającego dane
Drugi ważny aspekt RODO to bezpośrednia odpowiedzialność przetwarzającego dane. Chodzi o to, by odpowiedzialność za ochronę danych nie ulegała rozmyciu w sytuacji niedopatrzenia obowiązku stałej analizy zagrożenia. W tym miejscu ustawodawca precyzuje, kto odpowiada za niedociągnięcia i kto poniesie za to karę – jest to firma administrująca danymi. Z punktu widzenia konsumenta jest to bardzo ważna kwestia.
Dla firm oznacza to z kolei konieczność wdrożenia odpowiednich środków technicznych i IT, które zapobiegną tego typu sytuacjom – czytaj zmodernizować wyposażenie biur. Przedsiębiorcy powinni także wdrożyć kodeks postępowań lub zatwierdzone mechanizmy certyfikacji RODO.
Konieczność zgłaszania naruszeń
W świecie idealnym wymiana sprzętu na nowocześniejszy, uaktualnienie systemów operacyjnych oraz zakup odpowiednio zaawansowanych niszczarek stanowiłby mur nie do przebicia dla osób chcących nielegalnie pozyskać dane osobowe.
Rzeczywistość jest jednak inna. Może się zdarzyć, że w wyniku ataku hakerskiego albo błędu ludzkiego dojdzie do naruszenia bazy danych osobowych.
Co robić w takim wypadku? RODO określa jasno, że w takiej sytuacji administrator danych ma 72 godziny od chwili wykrycia naruszenia, aby powiadomić PUODO.
Ograniczenia profilowania
Od chwili wejścia w życie rozporządzenia o ochronie danych osobowych kwestia założenia profilu klienta przez firmę zależy od zgody tego ostatniego. Istotą tego punktu jest obowiązek powiadomienia konsumenta o tworzeniu profilu już na początku procesu.
Obowiązek powołania Inspektora Ochrony Danych
RODO nakłada na firmy obowiązek stworzenia stanowiska Inspektora Ochrony Danych. Ma on zastąpić Administratora Bezpieczeństwa Informacji, otrzymując znacznie rozszerzone obowiązki. Musi jednak dysponować stosownym doświadczeniem. Z nim należy się kontaktować w sytuacji wykrycia naruszenia.
W przypadku grup przedsiębiorstw, gdzie dane są współadministrowane, zachodzi możliwość wspólnego ustalania celów oraz sposobów przetwarzania danych. Istnieje ponadto możliwość powołania jednego Inspektora Ochrony Danych. Tym sposobem przedsiębiorstwa działające w Unii Europejskiej będą mogły załatwiać formalności wynikające z RODO w jednym kraju.
Rozszerzona formuła zgody na przetwarzanie danych
Dobrze znane formularze zgody na przetwarzanie danych ulegają rozbudowaniu. Muszą zawierać więcej informacji, między innymi o prawie do przenoszenia danych, czasie ich przechowywania, jak również planach przekazywania poza granice kraju.
Są to ważne szczegóły, które pojawią się w miejscu formułki o dość ogólnym znaczeniu, a co za tym idzie, dużym polu do popisu przy ich interpretacji. Mamy więc kolejny ukłon w stronę konsumenta ze strony dyrektywy unijnej.
Jakie prawa i udogodnienia wynikają z RODO dla konsumenta?
Obowiązki nakładane na firmy to lwia część RODO. Niemniej równie istotne są nowe prawa konsumenta, będące pokłosiem wejścia w życie rozporządzenia o ochronie danych osobowych. Oto najważniejsze z nich:
Wiedza o miejscu przechowywania danych oraz ich administrowaniu
Jako konsument co rusz wyrażasz zgodę na przetwarzanie oraz administrowanie danymi osobowymi. Często jest to często warunek niezbędny do sfinalizowania rejestracji na portalu, wzięcia udziału w rekrutacji, bądź dokonania zakupów online.
Robisz to machinalnie, bo wiesz, że jest to konieczne. Ale co dalej dzieje się z przekazanymi informacjami? Tego niestety nie wiesz, lecz RODO zmienia to diametralnie.
Wraz z wejściem w życie dyrektywy zyskujesz dostęp do wiedzy o miejscu przechowywania Twoich danych osobowych oraz ich administrowaniu. Krótko mówiąc, nic nie stanie się z nimi bez Twojej wiedzy.
Możliwość przenoszenia danych między usługodawcami
Dotychczas sprawa wyglądała tak – podczas zmiany banku, dostawcy internetu, prądu lub gazu, czy operatora komórkowego zachodziła konieczność każdorazowego wypełniania formularzy, celem podania niezbędnych danych osobowych.
Wejście w życie RODO zmienia również ten aspekt. Rozporządzenie wprowadza zasadę przenoszenia danych między instytucjami, czyli możliwość wystąpienia do administratora (czyli firmy zarządzającej aktualnie danymi) z żądaniem przekazania danych w formie pliku pdf.
Atutem tego rozwiązania jest skrócenie formalności, wynikających z potrzeby szukania różnych danych w różnych punktach. Teraz powstała możliwość zawnioskowania o wymianę niezbędnych informacji pomiędzy przedsiębiorstwami, przy Twojej zgodzie i za Twoją wiedzą. Dotychczas nie istniał taki mechanizm kontroli.
Prawo do bycia zapomnianym
Prawo do bycia zapomnianym to kolejny ważny punkt RODO. Możesz wymagać od firmy lub innej instytucji nie tylko udostępnienia Ci informacji o danych osobowych, ale i całkowitego ich usunięcia z bazy. Warunkiem spełniania żądania przez firmę jest nieużywanie danych.
W kwestii informowania o danych osobowych firma na Twój wniosek będzie musiała przedstawić cel, zakres oraz czas przetwarzania danych osobowych. Przy okazji termin „dane osobowe” rozbudowano o adres IP, jak również pliki cookies, zbierane przez przeglądarkę internetową.
Prawo do ograniczenia przetwarzania danych
Przekazując danej firmie lub instytucji swoje dane osobowe masz prawo zaznaczyć chęć ograniczenia ich przetwarzania. W efekcie administrator danych będzie mógł je przechowywać, ale nie zrobi z nimi nic poza tym dopóki nie wyrazisz na to zgody. Zabieg ten oznacza większe poszanowanie praw konsumenta. Twoich praw.
Możliwość niewyrażenia zgody na profilowanie, o którym konsument musi wiedzieć
Wprawdzie tworzenie profilu konsumenta nie jest zjawiskiem nowym, to warto jednak omówić je nieco szerzej. Opiera się ono na analizie zachowań użytkownika w sieci, by na podstawie zgromadzonych danych móc lepiej dopasować ofertę do jego oczekiwań.
Choć profilowanie stosowane jest powszechnie, nie powstała jednolita definicja tego zjawiska. Nie zostało również sklasyfikowane jako kategoria przetwarzania danych osobowych, a przecież podczas twojego pobytu na stronie zbierane są informacje o adresie IP, preferowanych podstronach, oglądanych produktach i inne.
RODO definiuje dokładnie, czym jest profilowanie, określając je dosłownie jako: „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.
Mówiąc po ludzku, chodzi o przekazanie konsumentowi prawa do tego, by nie podlegać automatycznego profilowaniu przez systemy badające sposób poruszania się po witrynie. W sytuacji, gdy strona korzysta z takich sposobów zbierania danych, administrator ma obowiązek poinformować Cię o tym fakcie. Ty możesz wyrazić zgodę lub nie.
Jeśli jednak zbieraniem takich informacji będzie się zajmował człowiek – przeznaczony do tego analityk, wówczas przepisy RODO nie znajdują zastosowania.
Zwiększona ochrona dzieci do 16. roku życia
RODO i wynikające z rozporządzenia prawa mają na celu objęcie większą ochroną również dzieci oraz młodzież. W ich przypadku, tj. osób poniżej 16. roku życia, zgody na przetwarzanie danych osobowych udziela rodzic lub opiekun prawny.
Jest to o tyle ważne, że zmianom ulegną wszelkie regulaminy dotyczące choćby zbierania informacji w ramach cookies. Wspomniane zmiany spowodują wydłużenie tekstu, który przez młodych ludzi jest najczęściej ignorowany i nieczytany, byle szybko przejść do przycisku ‘Akceptuję’.
Powiększenie katalogu danych wrażliwych o dane biometryczne i genetyczne
Poprzednia ustawa określała mianem danych wrażliwych informacje dotyczące przekonań religijnych, poglądów politycznych, a także stanu zdrowia. Rozporządzenie o ochronie danych osobowych rozszerza tę definicję o dane biometryczne oraz genetyczne.
Danymi biometrycznymi (czyli odciskiem palca) autoryzowane są obecnie min. wejścia do pływalni lub klubów fitness. RODO nakłada na administratora takich informacji obowiązek szczególnej ochrony podczas przetwarzania.
Dostosowanie środowiska IT do przepisów RODO
Wiesz już czym jest RODO i jakie zmiany zachodzą 25 maja 2018. Pora omówić kwestię modernizacji środowiska technicznego i IT, żeby móc mówić o zgodności z wytycznymi dyrektywy.
Ważna rzecz – o zgodności. Nie o gwarancji. Nie istnieje bowiem jednoznaczne kryterium dające danemu urządzeniu 100% skuteczność ochrony danych.
Temat jest bardzo obszerny i obejmuje szereg sprzętów: drukarki, skanery i niszczarki, urządzenia sieciowe (m.in.: switche, routery, dyski sieciowe, serwery itd.), nośniki pamięci (pendrive’y, dyski zewnętrzne, dyski SSD), laptopy, komputery, komponenty komputerowe, smartfony, tablety, oprogramowanie antywirusowe, kwestia systemów operacyjnych, a także specjalistycznych akcesoriów. Zmian nie należy więc wprowadzać pochopnie.
Jeśli nie wiesz, które urządzenia pozwolą przestrzegać zaleceń stałej analizy zagrożenia, przeczytaj nasze poradniki sprzętowe:
Pamiętaj, RODO obowiązuje od 25 maja 2018. Przygotuj się do tego wydarzenia wspólnie z x-kom