Generalne podejście
Ponieważ dotychczasowa ustawa ze względu na swoją szczegółowość zdążyła się zdezaktualizować, nowa celowo będzie nieraz ogólniejsza. W wymaganiach wobec przetwarzających dane bardziej skupiono się nie na mogących się zestarzeć metodach, tylko celach, jakie mają być dzięki nim osiągane.
Koniec ewidencjonowania upoważnionych
W dotychczasowym kształcie regulacji podmiot administrujący danymi był zobowiązany prowadzić pewnego rodzaju listę, na której wymienione są osoby posiadające dostęp do poszczególnych fragmentów danych. Ponieważ RODO „woli” bieżącą świadomość odnośnie danych od zwykle w praktyce nieistniejącej lub nieuzupełnianej listy, ten obowiązek zniknie.
Usunięcie obowiązków
Podobnie sytuacja będzie wyglądać w zakresie innych obowiązków, które w większości wypadków dotąd były martwe. Wielu przedsiębiorców nie wiedziało na przykład, że prawo o danych osobowych narzuca im, z ilu i jakiego rodzaju znaków ma składać się hasło oraz jak często ma być zmieniane. I ponownie – obowiązek zniknie, bo w RODO chodzi o cel bez narzucania środków.
Zgłaszanie zbioru danych
Wielu przedsiębiorcom kwestia danych osobowych kojarzy się przede wszystkim z uciążliwym obowiązkiem wypełniania formularza zgłaszającego zbiór danych do GIODO. W RODO zostanie on zastąpiony posiadaniem rejestru, którego już nie trzeba zgłaszać.
Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym.
Równie wielu przedsiębiorców nawet zgłaszając zbiór, wcześniej nie dopełniało obowiązku posiadania tych dwóch wewnętrznych dokumentów. Powodowało to częstą fikcję oświadczenia w zgłoszeniu, że dokumenty istnieją przy jednoczesnym ich nieposiadaniu. RODO likwiduje obowiązek ich posiadania, co powinno być bliższe realiom.
Certyfikaty i kodeksy postępowania
RODO kładzie nacisk na wykazanie, że przetwarzający dane robi to zgodnie z pewnymi powszechnymi praktykami. Stąd warto skorzystać z możliwości certyfikacji lub przyjęcia kodeksu postępowania danej organizacji w tym zakresie.
Prawo do sprzeciwu, prawo do sprostowania
Te prawa osób przetwarzanych nie zawsze jednoznacznie wynikały z dotychczasowych regulacji – teraz będą określone wprost. A więc nie będziemy mieć tylko prawa do oglądania swoich danych, ale także sprzeciwu wobec ich przetwarzania i sprostowania treści.
ABI a IOD
Często nie zgłaszano zbioru danych do GIODO, gdy „posiadało” się Administratora Bezpieczeństwa Informacji. Zastąpi go jednak nowy organ – Inspektor Ochrony Danych. Będzie posiadał szersze kompetencje i większe możliwości sankcjonowania. No i nie będzie „wytrychem” do niezgłaszania zbiorów, bo ten obowiązek zniknie, zastąpiony koniecznością posiadania rejestru.
Rejestr czynności przetwarzania
W przeważającym zakresie zastąpi zgłoszenie zbioru danych osobowych do GIODO. Jego istotą będzie wyliczenie miejsc w przedsiębiorstwie, gdzie dane są przetwarzane oraz metod, jakimi jest to dokonywane. Choć w większości przypadków nie jest to dokument obowiązkowy, dla wewnętrznego uporządkowania tych kwestii oraz łatwiejszej reakcji na kontrolę zalecane jest jednak jego posiadanie.
Biometria
RODO z większą niż dotychczasowe regulacje uwagą zajmuje się problemem danych biometrycznych. Dotąd obszar ten był pewną „szarą strefą” danych osobowych. Z jednej strony było sugerowane przynależenie danych biometrycznych do danych osobowych, z drugiej nie do końca było wiadomo, w jaki sposób przetwarzający powinien się nimi zająć i na jakich zasadach. RODO jednoznacznie wpisuje dane biometryczne w katalog danych osobowych i określa, pod jakimi warunkami możliwe jest ich przetwarzanie.
Prawo do bycia zapominanym
Nieco podobna sytuacja ma miejsce w kwestii słynnego swego czasu prawa do bycia zapomnianym. Był to okres wydania przez sądownictwo unijne wyroku pozwalającego oczekiwać od wyszukiwarek internetowych usunięcia określonych danych na nasz temat z wyników wyszukiwania. Na podstawie tego wyroku między innymi Google wprowadziło taką możliwość. Obecnie będzie ona jednoznacznie wynikać z prawa unijnego, czyli właśnie RODO – które oczywiście każde z państw członkowskich powinno wdrożyć.
Privacy by design
Zgodnie z tą wprowadzoną przez RODO zasadą, o materię danych osobowych należy zadbać już na etapie tworzenia danego rozwiązania czy produktu. Może to być istotne na przykład dla start-upów tworzących aplikacje mobilne na etapie tak zwanego MVP – Minimal Viable Product. To etap, gdy przykładowo aplikacja będzie już gotowa do „wypuszczenia” i będzie satysfakcjonująca dla pierwszych użytkowników. Zgodnie z RODO o kwestie danych osobowych należy zadbać już na tym etapie i przy tworzeniu, nie uznając ich za wtórne i do uzupełnienia w dalszych etapach kształtowania produktu.
Privacy by default
Obecnie niejednokrotnie otrzymując jakąś usługę dzielimy się większą częścią naszych danych, niż wynikałoby to z jej funkcji. Po co do doręczenia e-booka nasz adres fizyczny? Dlaczego ściągając aplikację do edycji zdjęć mamy zgodzić się na dostęp do naszego mikrofonu? Pewnym rozwiązaniem będzie zasada privacy by default. Zgodnie z nią prywatność będzie niejako domyślna, a każde konieczne uzyskanie naszych danych będzie musiało być uzasadnione potrzebą funkcjonowania określonej usługi.
Przenoszenie danych
Prawo do przenoszenia będzie sporym ułatwieniem wprowadzanym przez RODO. Da nam ono możliwość oczekiwania, na przykład, od dotychczasowego dostawcy usług, aby umożliwił przekazanie danych nowemu. To wielka wygoda m.in. odnośnie outsourcingu usług księgowych, ponieważ unikniemy konieczności czasochłonnego podawania wszelkich informacji, którymi już wcześniej się podzieliliśmy.
Doniesienie o nieprawidłowościach
W tym przypadku nie można mówić o ułatwieniu dla przetwarzającego, z pewnością jednak będzie to uproszczenie dla zwykłych użytkowników. Nieraz dotąd słyszeliśmy np. o wyciekach danych z banków, gdzie informacja była wielokrotnie potwierdzana przez różne źródła, a sam bank ze względów wizerunkowych zaprzeczał tak długo, jak się dało. Regulacje RODO nakazują przyznanie się do wycieku w ciągu 72 godzin oraz współpracę z organami i mediami, co na pewno ukróci szum komunikacyjny wobec konsumentów. Ponadto tego rodzaju działanie z pewnością będzie mieć wpływ na obniżenie ewentualnych grożących kar.
Kary
To jedna z kwestii, o których słyszy się najczęściej. Liczne podmioty próbujące sprzedać swoje usługi wdrożeniowe lub szkolenia rozpoczynają wątek RODO od straszenia karami. Są t: 20 milionów euro lub 4% rocznego obrotu przedsiębiorstwa. Z tych dwóch musi zapaść wyższa – mimo wszystko celowo pomijane są kwestie tego, że kara powinna być proporcjonalna. Stąd trudno oczekiwać tak wysokich kwot dla polskich jednoosobowych działalności, a z pewnością „okolicznością łagodzącą” będzie prawidłowe wdrożenie RODO czy współpraca z organami przy likwidacji skutków wycieku. Wielkie kwoty dotyczyć będą raczej międzynarodowych operatorów komórkowych i tak dalej, aby również dla nich stanowiły pewne zagrożenie i dolegliwość.
Osoby niepełnoletnie
Dla użytkowników poniżej 16 lat (a prawdopodobnie na mocy polskiego wdrożenia nawet poniżej 13 lat) konieczna będzie zgoda przedstawiciela ustawowego na przetwarzanie danych osobowych. To bardzo ciekawe rozwiązanie, które w teorii może spowodować na przykład niemożność posiadania kont na portalach społecznościowych przez dzieci.
Profilowanie
Pojęcie to rozumiemy w największym uproszczeniu jako wnioskowanie o jednych cechach osoby na podstawie innych – na przykład preferencjach żywieniowych na podstawie dochodów i miejsca zamieszkania. To oczywiście ma już miejsce, ale według RODO zostanie uregulowane precyzyjniej – na przykład wymagać będzie jednoznacznej zgody osoby profilowanej.
Na koniec dodam, że przygotowując się do wdrożenia RODO w swojej firmie należy to zrobić w czterech krokach.
1. Audyt przedsiębiorstwa
2. Stworzenie procedur
3. Szkolenie pracowników
4. Weryfikacja
I to punkt drugi jest najważniejszy. Bo w wielu wypadkach RODO jest okazją do przyjrzenia się naszemu biznesowi i stworzeniu poprawnych procedur bezpieczeństwa danych. Zapraszam również na mojego bloga www.tomaszpalak.pl gdzie można znaleźć szczegółowe artykuły na temat RODO.
Tomasz Palak
www.eprofitplus.pl