Home
Internal
International
Kontakt
23 października 2017 r.
W maju 2018 roku na terenie całej Unii Europejskiej zaczną obowiązywać przepisy dotyczące ochrony i przetwarzania danych osobowych. Rozporządzenie Ogólne o Ochronie Danych Osobowych (w skrócie RODO) wprowadza wysokie kary za nieprzestrzeganie wymagań RODO oraz określa obowiązki podmiotów przetwarzających dane osobowe. Nowe obowiązki dotyczą m.in. systemu zabezpieczeń, informowania pracowników o zagrożeniach, monitorowania bezpieczeństwa oraz niezwłocznego raportowania ewentualnych incydentów związanych z utratą danych osobowych.
Celem wprowadzenia nowych regulacji było ujednolicenie prawodawstwa i procedur związanych z ochroną danych osobowych na terenie całej UE. Waga tego tematu nie ulega wątpliwości, natomiast codzienna praktyka z nim związana niejednokrotnie pozostawiała wiele do życzenia. Dlatego RODO określa jak powinno podejść do ochrony i dbania przez firmy o bezpieczeństwo przetwarzanych danych – dotyczy to nie tylko administratorów danych, lecz również firm przetwarzających dane na zlecenie administratora (tzw. podmiotów przetwarzających, np. firm outsourcingowych). Każdy podmiot przetwarzający dane będzie zobowiązany do wprowadzenia procedur administracyjnych i środków technicznych zapewniających adekwatny stopień bezpieczeństwa przetwarzanych danych – zależnie od poziomu ryzyka utraty lub ujawnienia danych w konkretnej firmie. Zmiany wprowadzone przez RODO zaczną obowiązywać od 25 maja 2018 roku, a więc czasu na przygotowanie się do nich jest niewiele. Przede wszystkim warto dowiedzieć się, jakie zmiany niesie ze sobą RODO, w jakim stopniu dotyczyć one będą konkretnego przedsiębiorstwa i co można zrobić, żeby właściwie i terminowo przygotować się do zmian.
Przy pierwszym spojrzeniu na nowe przepisy najbardziej w oczy rzucają się kary finansowe przewidziane za niedopełnienie obowiązków. Kary sięgać mogą aż 20 000 000 EUR lub do 4% całkowitego rocznego światowego obrotu firmy z poprzedniego roku, przy czym zastosowanie będzie miała kwota wyższa. Biorąc pod uwagę niebagatelną wysokość tych kar warto już dzisiaj zastanowić się nad rozwiązaniami adekwatnymi dla danego przedsiębiorstwa.
Podstawową kwestią wydaje się informowanie pracowników, jeśli chodzi o wagę ochrony danych osobowych, wprowadzone procedury, nowe obowiązki i obostrzenia z tym związane. Żaden system bowiem nie działa, jeżeli ludzie, którzy go współtworzą nie wiedzą czemu ma on służyć oraz nie wierzą w słuszność jego działania. To właśnie pracownicy, również ci niezajmujący się na co dzień danymi osobowymi i ich przetwarzaniem, powinni wiedzieć co oznacza „wyciek” danych, jak go zidentyfikować i co należy zrobić. Konieczne będzie prowadzenie cyklicznych szkoleń dla pracowników, podczas których przedstawione zostaną wewnętrzne procedury i wdrożone rozwiązania związane z cyberbezpieczeństwem i środkami organizacyjnymi w danej firmie. Warto również szerzej omówić zmiany wprowadzane przez RODO, porozmawiać na temat tego dlaczego temat jest kluczowy – nie tylko w kontekście kar grożących przedsiębiorstwu, lecz szerzej w kontekście bezpieczeństwa danych, które dotyczy bezpośrednio każdego z nas.
Zmiany dotyczące rozwiązań technicznych, które należy wprowadzić nie są ściśle określone. Prawodawca unijny nie podsuwa gotowych rozwiązań, mówi jedynie o przygotowaniu i wdrożeniu procedur i środków bezpieczeństwa, które będą adekwatne do charakteru prowadzonej w przedsiębiorstwie działalności oraz do poziomu ryzyka utraty lub ujawnienia przetwarzanych danych. Określenie poziom tego ryzyka oraz rodzaju koniecznych zabezpieczeń należą od wewnętrznej oceny firmy. Pozornie daje to sporo wolności, faktycznie jednak oznacza przede wszystkim dużą odpowiedzialność. W razie ewentualnych naruszeń każdy przedsiębiorca będzie musiał bowiem samodzielnie udowodnić organowi nadzorczemu, że dołożył wszelkich starań, aby nieprawidłowościom zapobiec.
Przed wdrożeniem systemu bezpieczeństwa sieci wysoce wskazane jest przeprowadzenie analizy ryzyka danych osobowych w firmie. Choć obowiązek przeprowadzenia formalnej oceny ryzyka dotyczyć będzie jedynie niektórych podmiotów, warto przeprowadzić analizę ryzyka przez każdą firmę. Poza potencjalnie większą skutecznością systemu zabezpieczeń, przeprowadzenie analizy ryzyka będzie dobrym argumentem wobec organu nadzorczego, wskazującym na wysoki poziom dbałości o zabezpieczenie danych osobowych w firmie.
Równocześnie zostanie wprowadzony wymóg regularnego testowania bezpieczeństwa systemu związanego z ochroną danych osobowych. Dotychczasowe doświadczenie pokazuje, że większość firm nie weryfikowała systematycznie, a często wręcz w ogóle, funkcjonowania własnych systemów zabezpieczeń sieci. Również w tej kwestii administrator ma wolną rękę, to od niego zależeć będzie zarówno częstotliwość, jak i metody prowadzenia takich testów. Podejmując decyzje należy brać pod uwagę liczbę operacji na danych osobowych oraz ewentualne monitorowanie incydentów.
Kluczowym obowiązkiem związanym jest także monitorowanie i raportowanie „wycieków” danych. Raport dotyczący utraty, bądź ujawnienia danych osobowych powinien trafić do organów nadzorczych niezwłocznie, nie później niż w ciągu 72 godzin po stwierdzeniu incydentu. Oznacza to konieczność natychmiastowego działania, które możliwe jest jedynie w przypadku sprawnie funkcjonującego systemu bezpieczeństwa, adekwatnych procedur oraz wysokiego poziomu wiedzy i świadomości pracowników na ten temat. Jeżeli z jakiegoś powodu nie uda się złożyć raportu w wyznaczonym terminie, konieczne jest dołączenie do niego wyjaśnienia z jakiego powodu doszło do opóźnienia.
Zmiany wprowadzone przez RODO niewątpliwie wymagają dużego nakładu pracy i sporej uważności ze strony przedsiębiorców przetwarzających dane osobowe. Rozporządzenie wprowadza oczywiście znacznie więcej rozwiązań, niż powyższe sześć podstawowych punktów. W szerszej perspektywie ściślejsza ochrona danych osobowych może służyć nam wszystkim, tak osobom fizycznym, których dane osobowe dotyczą, jak i osobom prawnym, które przetwarzają dane. Jednak diagnoza aktualnego stanu zabezpieczeń oraz wdrożenie przyjętych rozwiązań jest procesem wymagającym starania, nakładu czasu i środków. Mimo wszystko warto przyłożyć się do tego procesu właśnie teraz, jeszcze przed obowiązywaniem RODO – właściwie przeanalizować ryzyka, skonstruować system bezpieczeństwa odpowiadający dokładnie charakterowi podmiotu, włączyć w ten proces wszystkich pracowników, skonsultować się z ekspertami, którzy na co dzień zajmują się dokumentacją i systemami cyberbezpieczeństwa. Biorąc pod uwagę złożoność wymogów i zmian wprowadzanych przez RODO w roku 2018, adekwatne przygotowanie się dzisiaj może pomóc zaoszczędzić wielu kłopotów i środków w przyszłości.
W przypadku gdyby byli Państwo zainteresowani naszą pomocą w przeanalizowaniu praktyk stosowanych w Państwa przedsiębiorstwie oraz dokumentacji dotyczącej ochrony danych osobowych pod kątem ich zgodności z obecnymi, a także nadchodzącymi regulacjami, służymy wsparciem i doradztwem prawnym. Nasi adwokaci jak i radcowie prawni oferują doradztwo prawne także w innych dziedzinach. Są dostępni dla Państwa w biurach Rödl & Partner: Gdańsk, Gliwice, Kraków, Poznań, Warszawa, Wrocław.
Jarosław Kamiński
adwokat
Associate Partner
Wyślij zapytanie
Profil
