Coraz większa ilość danych, w tym danych poufnych, umieszczanych w sieci, wymaga od jej administratorów podejmowania coraz to nowych starań zmierzających do ich właściwego zabezpieczenia. Od maja 2018 roku ich obowiązki związane z ochrona danych osobowych regulować będzie unijne rozporządzenie RODO.
Czy modyfikacja przepisów dotyczących bezpieczeństwa danych jest naprawdę konieczna?
Zdecydowanie tak. Nawet jeżeli nowe prawo wiąże się z pewną uciążliwością dla firm zmuszonych do wdrożenia nowych reguł, należy zdawać sobie sprawę, że w obecnych czasach, czasach rozwoju technologii teleinformatycznych, coraz więcej poufnych danych jest umieszczanych w internecie (zwłaszcza biorąc pod uwagę sektor usług hostingowych i cloud computing) bądź udostępnianych różnym podmiotom. Dlatego też przepisy dotyczące ich odpowiedniego zabezpieczenia muszą nadążać za rozwojem technologii. Temu w założeniu ma służyć RODO.
Czym jest RODO?
„RODO”, czy tez inaczej „GDPR” albo „Ogólne Rozporządzenie o Ochronie Danych” to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Co prawda rozporządzenie weszło w życie 17 maja 2016 r. ale zacznie obowiązywać bezpośrednio w poszczególnych krajach UE dopiero od dnia 25 maja 2018 r. Rozporządzenie dotyczyć będzie wszystkich, przetwarzających dane osobowe w związku z prowadzoną działalnością gospodarczą.
Jakie nowe obowiązki spoczną na instytucjach gromadzących i przetwarzających dane?
Jest ich całkiem sporo, ale do najważniejszych można zaliczyć nałożenie na takie instytucje konieczności zatroszczenia się o bezpieczeństwo danych już w fazie projektowania rozwiązań mających na celu ich przetwarzanie; np. portali społecznościowych, aplikacji, konkursów internetowych itp. To administrator będzie musiał opracować takie rozwiązania, które zapewnią bezpieczeństwo danych w maksymalny możliwy sposób. Kolejna zmiana dotyczy informowania klientów co do zasad obejmujących gromadzenie i przetwarzanie danych. Firma będzie zobowiązana do o wiele bardziej szczegółowego wyjaśnienia swoim kontrahentom reguł związanych z bezpieczeństwem udostępnianych przez nich informacji. Dotychczasową, znaną wszystkim krótką formułkę dotycząca ochrony danych i zgody na ich przetwarzanie zastąpią nowe, dłuższe formularze dokładniej pouczające klienta o nowych procedurach. Inna rzecz; od maja bieżącego roku, zgodę na przetwarzanie danych osobowych będzie mogła wyrazić osoba, która ukończyła zaledwie 16 rok życia. Jeżeli chodzi o osoby młodsze, to konieczna będzie zgoda rodzica lub opiekuna prawnego, zaś administrator będzie musiał potwierdzić wiarygodność takiej zgody. Nowe przepisy umożliwią potwierdzenie wieku użytkowników konkretnych portali internetowych (np. gier internetowych, portali społecznościowych).
Gdyby pomimo zaostrzonego prawa doszło jednak do wycieku danych, administrator w ciągu maksymalnie 72 godzin ma obowiązek poinformować właściwy organ nadzoru przypadków naruszeń (w Polsce jest to GIODO), a w niektórych sytuacjach także klientów. RODO wprowadza ponadto różne obowiązki dotyczące ochrony danych w stosunku do małych i średnich przedsiębiorstw oraz wielkich firm i korporacji. Dotychczas obowiązki te były jednakowe dla obu powyższych kategorii podmiotów biznesowych.
Czy to całość zmian przewidywanych przez unijnych legislatorów?
Nie. RODO to największa modyfikacja prawa dotyczącego ochrony danych osobowych od 20 lat. Modyfikacji jest znacznie więcej. Np. te dotyczące rozszerzenia praw klientów korzystających z usług firm gromadzących i przetwarzających poufne informacje; będą oni mogli skorzystać z tzw. „prawa do bycia zapomnianym”, czyli zażądać usunięcia swoich danych z konkretnych serwerów, przeniesienia ich danych oraz uzyskają łatwiejsze możliwości dostępu do tychże informacji, a ponadto będzie im przysługiwać prawo do sprzeciwu wobec ich przetwarzania – co z kolei może stanowić spory problem dla firm zajmujących się tworzeniem i sprzedażą baz danych. Organizacje zajmujące się przetwarzaniem danych osobowych innych podmiotów (np. administratorzy chmur) poniosą bezpośrednią odpowiedzialność w przypadku naruszenia przepisów RODO. Może ona przyjąć postać kary finansowej. Nowe prawo ograniczy możliwości profilowania – przede wszystkim administrator będzie musiał uzyskać zgodę na profilowanie jeszcze przed rozpoczęciem gromadzenia danych, oraz podlegać bezwzględnemu obowiązkowi informowania o profilowaniu oraz wymogowi podporządkowania się brakowi zgody na profilowanie. Niektóre firmy będą musiały powołać nowe stanowisko – Inspektora Ochrony Danych Osobowych – czyli osobę wyspecjalizowaną w zagadnieniach dotyczących ochrony danych.
Jakie konsekwencje grożą za złamanie nowego prawa?
Bardzo poważne, a dokładnie: wysokie kary finansowe. Mogą one sięgać do 20 bądź do 40 mln euro albo w przypadku przedsiębiorców 2–4 proc. rocznego światowego obrotu przedsiębiorstwa. O jej dokładnej wysokości zadecyduje organ nadzorujący bezpieczeństwo danych w konkretnym kraju (czyli w Polsce GIODO). Ponadto wysokie kary będą grozić za transfer niewłaściwie zabezpieczonych danych poza granice Unii Europejskiej.
Autor: Niko Bałazy S-Net Sp. z o.o.