RODO – najważniejsze zasady
W maju bieżącego roku w życie wchodzą nowe przepisy unijne, dotyczące ochrony danych osobowych. Do tego czasu wiele firm będzie musiało wprowadzić istotne zmiany w swoim funkcjonowaniu. Jeśli tego nie zrobią, narażą się na niemałe kary.
Rozporządzenie o Ochronie Danych Osobowych (ang. General Data Protection Regulation – GDPR), przygotowywano przez niemal cztery lata, a Parlament Europejski w obecnej formie przyjął je ostatecznie w kwietniu 2016 roku. RODO obejmie swoim zasięgiem właściwie wszystkie firmy, które w toku swojej działalności gromadzą i wykorzystują dane dotyczące osób fizycznych. Będą to więc nie tylko duże firmy, posiadające dane niezbędne do zawierania umów, np. towarzystwa ubezpieczeniowe, ale i małe przedsiębiorstwa, tj. apteki, salony kosmetyczne, czy sklepy internetowe, które takimi danymi się posługują.
Wprowadzenie zmian wynika z potrzeby ujednolicenia przepisów dotyczących danych osobowych we wszystkich państwach członkowskich. Poprzednie wprowadzono bowiem w 1995 roku. Odtąd wiele się zmieniło, a obrót danymi osobowymi przybrał nieznane wówczas postaci. Konieczne było więc znowelizowanie obowiązujących regulacji. Nowe przepisy skonstruowano w taki sposób, aby nie dezaktualizowały się wraz z postępem technologicznym.
Rozporządzenie nie zawiera przy tym konkretnych instrukcji, jak dane te należy zabezpieczyć, ponieważ musiałyby być one inne w zależności od branży, i stale ulepszane, co jest oczywiście niewykonalne. Obowiązek usystematyzowania tego problemu prawodawca przerzuca więc na przedsiębiorcę, który sam będzie musiał stworzyć system, pozwalający na posługiwanie się danymi w sposób bezpieczny. Będzie to wymagało pewnej dozy kreatywności i stworzenia całego systemu procedur, uwzględniające różnorodność procesów zachodzących w danej firmie.
Przedsiębiorcy mogą liczyć na pomoc urzędników, którzy będą zobowiązani do udzielania wszystkich niezbędnych informacji oraz wskazówek, czy kierunek ochrony, w którym zmierza dana firma jest prawidłowy. Ostateczna ocena tego, czy dane są zabezpieczone w odpowiedni sposób, będzie należała do urzędu ochrony danych osobowych.
Konsument będzie mógł w każdym czasie żądać udostępnienia mu danych osobowych, ale również usunięcia ich z bazy danych. Pojęcie danych osobowych zostanie przy tym rozszerzone o adresy IP oraz pliki cookies, które gromadzone są przez przeglądarki internetowe. Przedsiębiorca, prosząc klienta o podanie danych osobowych, będzie miał natomiast obowiązek poinformowania go o celu, zakresie oraz czasie ich przetwarzania. Będzie to wymagało rozszerzenia klauzul przedkładanych klientom do podpisania.
W przypadku gdy dojdzie do wycieku danych, np. w wyniku ataku hakerskiego, przedsiębiorstwo będzie miało 72 godziny na zgłoszenie tego faktu do generalnego inspektora ochrony danych osobowych.
Niestosowanie nowych przepisów może okazać się dla firmy bardzo kosztowne. Wysokość nałożonej kary może wynosić nawet 4% rocznego obrotu, albo do 20 milionów euro. Zastosowana będzie tu kwota wyższa. Kary będą nakładane proporcjonalnie do skali naruszenia przepisów.