Jesteś gotowy na RODO?

RODO_flaga

Od 25 maja 2018 roku zaczną obowiązywać bezpośrednio w Polsce przepisy europejskiego rozporządzenia o ochronie danych osobowych (RODO). Przepisy ogólnego rozporządzenia będą dotyczyć wszystkich podmiotów, które na terenie UE przetwarzają dane osobowe w sposób zautomatyzowany. RODO zmienia dotychczasowe podejście do zagadnień związanych z ochroną danych. Zmieniają się zasady, które doprowadzą do bezpośredniego zwiększenia samodzielności i odpowiedzialności Administratorów Danych. Ogólne rozporządzenie o ochronie danych rozszerza również pojęcie danych osobowych – dotychczas pojęcie to obejmowało głównie imiona i nazwiska, adresy, daty urodzenia, e-mail itp. – a po 25 maja 2018 roku pojecie to obejmować będzie także numery ID, informacje dotyczące lokalizacji, wskaźniki zdrowia fizycznego i psychicznego, statusu majątkowy i społeczny, dane genetyczne i biometryczne, które mogą zidentyfikować konkretną osobę.

Po rozpoczęciu stosowania przepisów RODO Administratorzy Danych nie będą już musieli zawiadamiać o przetwarzaniu danych osobowych, czy też zgłaszać do rejestracji swoje zbiory danych osobowych. Jednakże zostaną zobowiązani do dokonywania tzw. analizy ryzyka, w każdym przypadku zbierania i przetwarzania danych osobowych.

Kolejną nowością wprowadzoną przez ogólne rozporządzenie o ochronie danych będzie stosowanie w ochronie danych osobowych zasady rozliczalności (ang. acountability), która sprowadza się do tego, iż dany Administrator Danych będzie musiał wykazać, że przetwarza dane osobowe w sposób zgodny z przepisami prawa, w szczególności z postanowieniami RODO. Przyjęte przez Administratora Danych formalne procedury i rozwiązania techniczno-organizacyjne powinny realizować wszystkie cele ochrony danych osobowych wynikające z przepisów prawa.

Trudność w przestrzeganiu zasady rozliczalności w procesie przetwarzania danych osobowych może polegać na tym, że zasadniczo ani RODO ani projektowana nowa ustawa o ochronie danych osobowych nie narzucają Administratorom Danych środków lub metod ochrony danych osobowych, nie nakazuje opracowania konkretnych dokumentów czy też procedur. Tylko z nielicznych przepisów RODO można wnioskować o bardziej konkretnych aspektach zasady rozliczalności. Przykładowo art. 30 ust. 1 RODO nakazuje Administratorowi Danych prowadzenie rejestru czynności przetwarzania danych osobowych i określa minimalną treść tego rejestru. Jednocześnie do decyzji Administratora Danych pozostawiono formę rejestru, metodę zakładania i aktualizowania rejestru, poziom szczegółowości tego rejestru itp. Wydaje się więc, że fakt prowadzenia rejestru czynności przetwarzania danych osobowych może stanowić dowód dla potrzeb zasady rozliczalności.

Podsumowując, począwszy od 25 maja 2018 roku każdy Administrator Danych będzie mógł swobodnie organizować przetwarzanie danych osobowych, ustalać własne procedury i wybierać adekwatne środki techniczne pod warunkiem, że zachowane zostaną ujęte w RODO zasady ochrony danych osobowych. Każdy Administrator Danych powinien mieć własne, indywidualne podejście do przetwarzania danych osobowych. Rozwiązania przyjęte w jednej organizacji nie muszą bowiem odpowiadać potrzebom innej organizacji.