Wkrótce zostanie wprowadzone nowe rozporządzenie o ochronie danych

Już teraz przygotuj się na wprowadzenie ogólnego rozporządzenia o ochronie danych na terenie Unii Europejskiej. Oto dziesięć punktów, które Ci w tym pomogą.
EU’s General Data Protection Regulation will affect many companies in Europe. Are you ready for the changes?

W maju 2016 roku Unia Europejska wydała ogólne rozporządzenie o ochronie danych. Wiemy już, że kiedy nowe regulacje wejdą w życie w maju 2018 roku, po dwuletnim okresie przejściowym, pojawią się nowe wymogi operacyjne dla firm przetwarzających dane osobowe.

Ponieważ definicja pojęcia „dane osobowe” jest bardzo szeroka, niemal wszystkie firmy będą podlegać nowym przepisom. Przed wprowadzeniem w życie regulacji o ochronie danych pozostało jedynie trochę ponad 300 dni roboczych, dlatego zebraliśmy dziesięć punktów, które pomogą Ci przygotować się już dzisiaj.

 


1. Udowodnij, że postępujesz zgodnie z nowymi przepisami
Nowe rozporządzenie wymaga, aby podmiot prowadzący rejestr danych osobowych mógł wykazać, że przetwarza dane osobowe w wymagany sposób.

W praktyce oznacza to, że należy prowadzić rejestr obsługiwanych operacji przetwarzania danych w celu udowodnienia, że są one zgodne z przepisami.

2. Upewnij się, że posiadasz zgodę
Jeśli przetwarzanie danych osobowych odbywa się w oparciu o zgodę odpowiedniej osoby, to musisz być w stanie dowieść, że taka zgoda została udzielona.

Ponadto wymagania dotyczące zgody staną się bardziej rygorystyczne w przyszłości:

  • zgoda musi zostać udzielona wyraźnie za pomocą pisemnego, elektronicznego lub ustnego oświadczenia;
  • udzielenie zgody jest jednoznaczne z tym, że osoba dobrowolnie, osobiście, świadomie i wyraźnie zaakceptowała wykorzystywanie jej danych osobowych;
  • zwykle udzielenie zgody polega na kliknięciu pola wyboru.

3. Wprowadź prawo do bycia zapomnianym
Nowy temat, który zostanie wprowadzony w rozporządzeniu, to prawo zarejestrowanej osoby do bycia zapomnianym. W praktyce oznacza to prawo osoby do usunięcia jej danych z baz danych.

Tego rodzaju sytuacja może wystąpić, kiedy osoba wycofa zgodę, której już udzieliła na wykorzystywanie jej danych osobowych. Jeśli jednak wykorzystanie danych osobowych odbywa się w oparciu o jakąś inną podstawę prawną, nie ma obowiązku usunięcia danych.

W przypadku wystąpienia obowiązku usunięcia danych należy poinformować wszystkie podmioty, które otrzymały lub opublikowały dane. Ma to na celu zapewnienie, że wszystkie łącza, duplikaty i kopie związane z materiałami zostaną również usunięte.

4. Wprowadź prawo do przenoszenia danych
Obecnie każda osoba ma prawo do otrzymania własnych danych w postaci czytelnej dla maszyn i przesłania ich do innego podmiotu prowadzącego rejestr.

Prawo to odnosi się również do danych osobowych przekazanych przez osobę w wyniku zgody lub porozumienia. Obowiązek ten nie zobowiązuje jednak do zatwierdzania lub utrzymywania systemów przetwarzania danych, które są technicznie zgodne.

5. Zakaz profilowania może dotyczyć Twojej firmy
Każda osoba ma prawo nie zgodzić się z decyzją opartą na automatycznym przetwarzaniu danych, która prowadziłaby do postępowania sądowego lub w inny sposób miałaby znaczący wpływ na nią. Innymi słowy oznacza to, że nie można podejmować ważnych decyzji, które wpływają na osobę, w oparciu o automatyczne przetwarzanie danych.

Wyjątkiem od tego „zakazu profilowania” byłaby sytuacja, gdy tego rodzaju decyzja jest niezbędna do wypełnienia umowy pomiędzy jakąś osobą a Twoją firmą. Należy upewnić się, że modele profilowania i podejmowania decyzji są zgodne z prawem i że wszelkie konieczne zmiany są dokonywane. 

Typowym przykładem wyjątku od zakazu profilowania jest podejmowanie decyzji kredytowych. Decyzje te są często oparte na zautomatyzowanych systemach klasyfikacyjnych i zaleceniach decyzyjnych.

6. Informuj o naruszeniach w systemie zabezpieczeń danych
W przyszłości będzie istniał obowiązek informowania władz i zarejestrowanych osób o wszelkich naruszeniach bezpieczeństwa danych. Obejmuje to sytuacje, w których jakiekolwiek prawa i swobody jednostki są naruszane. W przypadku gdy takie sytuacje występują, istnieje kilka czynności, które należy wykonać:

  • należy powiadomić władze w ciągu 72 godzin od chwili naruszenia;
  • należy niezwłocznie poinformować o naruszeniu wszystkie osoby, których ono może dotyczyć, jeśli bezpieczeństwo ich praw i swobód zostanie prawdopodobnie w dużym stopniu zagrożone.

Aby spełnić te zobowiązania, ważne jest opracowanie wewnętrznych instrukcji i procedur w celu zapewnienia sprawnego i prawidłowego procesu.

7. Poinformuj o przetwarzaniu danych
Firmy na całym świecie gromadzą obecnie więcej danych osobowych niż kiedykolwiek wcześniej. Aby spełnić wymogi rozporządzenia UE w przyszłości, należy udostępnić więcej informacji o przetwarzaniu danych niż było to wymagane wcześniej.

Oznacza to, że konieczne jest podanie czasu przechowywania danych osobowych. Ewentualnie, jeśli nie jest to możliwe, należy poinformować o kryteriach stosowanych do ustalania czasu przechowywania.

W praktyce oznacza to, na przykład, zaktualizowanie rejestru i dokumentów dotyczących bezpieczeństwa danych, a także zastanowienie się, jak informowanie zarejestrowanych osób będzie realizowane w praktyce.

8. Rola nowego funkcjonariusza ds. ochrony danych
Ze względu na coraz większy nacisk kładziony na ochronę danych konieczne może być powołanie funkcjonariusza ds. ochrony danych odpowiedzialnego za obsługę danych osobowych. Na przykład organizacje, które wymagają wyznaczenia funkcjonariusza ds. ochrony danych, są firmami, w których obowiązuje szeroko zakrojony, regularny i systematyczny monitoring osób lub ich podstawowa działalność opiera się na takim monitoringu.  Mając to na uwadze, zalecamy dokonanie oceny tego, czy wymóg powołania funkcjonariusza ds. ochrony danych ma zastosowanie w Twoim przypadku.

9.Outsourcing przetwarzania danych osobowych będzie wymagać powzięcia działań ochronnych
Jeśli jakakolwiek część procesu przetwarzania danych została zlecona innemu podmiotowi, który będzie przetwarzać dane osobowe w imieniu Twojej firmy, istnieje wymóg podjęcia pewnych działań:

  • należy zapewnić odpowiednie techniczne i organizacyjne środki ochronne spełniające wymagania przepisów;
  • należy zapewnić ochronę praw zarejestrowanych osób.

W praktyce oznacza to, że należy zidentyfikować sytuacje, w których outsourcing jest odpowiedni oraz upewnić się, że wszystkie umowy są prawidłowo sporządzone. Na przykład przechowywanie danych w usługach typu cloud jest uważane za outsourcing, pomimo że usługodawca nie przetwarza danych w sposób aktywny.

10. Naruszenie przepisów może pociągnąć za sobą ogromną karę pieniężną
Istotne jest również to, że oprócz ostrzeżenia można otrzymać ogromną grzywnę za naruszenie rozporządzenia o ochronie danych. Grzywna może wynosić maksymalnie 20 milionów euro lub 4 procent całkowitych obrotów firmy.