Zmiany w ochronie danych będą całkiem spore! Rozporządzenie unijne (zwane GDPR), zacznie obowiązywać od 25 maja 2018r. Z pozoru jest jeszcze trochę czasu. Ale jednak nie! Otóż wszystkie wdrożenia, które teraz przeprowadzasz (np. tworzysz systemy informatyczne albo dla Ciebie są tworzone) powinny być już teraz zgodne z nową leglisacją, żebyś nie musiał/a za 2 lata wydawać pieniędzy na dostosowanie systemów i przestoje. Zatem jak nie stracić? Na co zwrócić uwagę już teraz?
Zmiany w ochronie danych: kluczowe kierunki
Już teraz powinieneś pomyśleć jak dane oprogramowanie przetwarza dane osobowe i z jakimi ryzykami się to wiąże. W tym celu powinna zostać przeprowadzona analiza. Nowe przepisy nie będą narzucały formy takiego audytu, ale będą nakładały obowiązek podejścia opartego na ryzyku i oceny skutków pod kątem ochrony danych, przenoszenie danych i wiele innych. Więcej o tym możesz przeczytać w Pomocniku RODO, a także w jednym z raportów, który przygotowaliśmy. Projektując jakiekolwiek rozwiązania czy procesy przetwarzania już dzisiaj już teraz trzeba mieć na uwadze przepisy rozporządzenia.
Nowością będzie możliwość zwrócenia się o uprzednie konsultacje do organu oraz generalnie współpraca z organem nadzorczym co należy ocenić pozytywnie choć istnieją pewne obawy praktyczne z tym związane. W dużej mierze wiążą się one z zasobami liczbowymi GIODO. Otóż mam dla Ciebie informację, że GIODO wnioskuje o zwiększenie budżetu na stworzenie delegatur w co najmniej każdym mieście wojewódzkim wzorem UOKiK. Z dużym prawdopodobieństwiem tak się stanie. Zwiększą się zatem zasoby kadrowe. Kontakt z organem nadzorczym będzie zatem częstszy co wiąże się też z większą ilością inspektorów terenowych. Jeśli dodamy do tego, że GIODO otrzyma narzędzie w postaci możliwości nakładania kar finansowych i część z nich zapewne będzie zasilać budżet organu nadzorczego to łatwo zorientować się, że warto już teraz zobaczyć jak przestrzegane są przepisy o ochronie danych w organizacji by zacząć robić porządki.
Najważniejsze jest to by zmienić swoje podejście z myślenia “wdrożę dokumenty, zgłoszę zbiory i zapomnę o ochronie danych” na “wdrożę standardy ochrony danych dopasowane do mojej organizacji, opracuje jak są połączone systemy i co jest najsłabszym ogniwem, będę analizował na bieżąco co się dzieje z danymi i jak zwiększyć poziom ochrony”. Tylko takie podejście bowiem pozwoli uniknąć nałożenia kar i co najważniejsze zwiększy Twoją konkurencyjność bo będziesz mógł lepiej utrzymać swoją ciągłość działania i lepiej reagować na potrzeby rynku oraz ewentualne zagrożenia.
Jeżeli Twój biznes polega na przetwarzaniu danych Użytkowników – np. dostarczasz usługę chmurową typu system do przetwarzania danych to będzie bardzo opłacało się powołać Inspektora Ochrony Danych (odpowiednik obecnego ABI). To ta osoba będzie dbała o poprawność przetwarzania danych, będzie rekomendowała Ci zmiany oraz będzie uprawniona do komunikacji z inspektorami GIODO co nierzadko może wystarczyć do tego by kontrola nie była przeprowadzona.
Jeżeli w Twojej firmie jest już ABI i jest on np. w departamencie bezpieczeństwa to po wejściu w życie rozporządzenia taki stan rzeczy może nie być już tolerowany. Inspektorzy GIODO będą mogli zarzucić bowiem brak niezależności bo już teraz jest to podkreślane. Zalecam Ci zatem by już teraz pomyśleć o stworzeniu dedykowanego wydziału, a dotyczy to zwłaszcza sektora publicznego oraz podmiotów z sektora ubezpieczeń, bankowości, telekomunikacji czy firm przetwarzających dane wrażliwe.
A skoro jesteśmy już przy danych wrażliwych to warto wiedzieć, że GDPR mocno przyczyni się do rozwoju telemedycyny. Wkrótce napiszę o tym więcej na blogu 🙂
Ale wracając jeszcze do kar to będą one nakładane na podmioty, które nie przestrzegają przepisów rozporządzenia i nie robią nic w kierunku zapewnienia poziomu ochrony danych. Wszystkie te podmioty, które będą miały np. wdrożone kodeksy postępowania, certyfikacje albo Inspektorów Ochrony Danych będą w lepszej sytuacji prowadzącej do zmniejszenia kary albo wręcz wydania tylko upomnienia (co oczywiście ostatecznie będzie zależeć od rodzaju naruszenia danych i stopnia zawinienia nierespektowania określonego obowiązku prawnego. Wiążące będą także opinie Europejskiej Rady lub/i Europejskiego Rzecznika.
Już wkrótce powstanie także 15 osobowa grupa Rady ABI, która będzie działać przy GIODO. Będą to ABI z różnych branż. Bardzo mnie cieszy, że wreszcie Inspektor Ochrony Danych stanie się odrębnym zawodem.
Po wakacjach szykuje się szersza dyskusja nad nowymi regulacjami polskich przepisów, które będą wymagały zmian. Negocjowane będzie choćby czy w przypadku zgody dzieci utrzymać wiek na poziomie 16 czy 13 lat. Do końca tego roku powinny pojawić się także 4 duże opinie na temat nowych przepisów. Użytkownicy Pomocnika RODO oczywiście będą o nich poinformowani.
A ja na blogu będę dodawać infografiki byś lepiej poznał zmiany, które zaczną obowiązywać i są istotne dla Twojej firmy.
—
Autor grafiki promującej wpis: James Boorman