W ostatnim czasie wiele się słyszy i czyta, że wielkimi krokami zbliża się rewolucja w zakresie bezpieczeństwa informatycznego i ochrony danych osobowych. Według ostatnich danych podawanych przez „Rzeczpospolitą” z 9 maja 2017 r., czyli na rok przed wejściem nowych przepisów, aż 57% przedsiębiorstw w Polsce nie słyszało o ochronie danych osobowych, a tylko 15% dostrzega problem z tym związany.

Rodzi się oczywiście pytanie, o co w tym wszystkim chodzi, co to jest, to magiczne RODO, o którym jest coraz głośniej i mówi się o nim z coraz większym niepokojem. Niepokój ten rośnie, kiedy padają informacje o wielkości kar, jakie grożą za naruszenie przepisów. A są one niebagatelne. Przewidziane w RODO administracyjne kary pieniężne mają być w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Mogą one sięgnąć nawet do 20.000.000 euro, a gdy naruszenia dopuścił się przedsiębiorca, to kara może wynosić nawet do 4% całkowitego rocznego obrotu z poprzedniego roku.

Przejdźmy do konkretów. Wspomniane RODO to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Sam skrót RODO to po prostu Rozporządzenie w sprawie Ochrony Danych Osobowych. Jako rozporządzenie Parlamentu Europejskiego i Rady (UE) – od dnia 25 maja 2018 r. będzie obowiązywało w Polsce bez konieczności jego implementacji.

Aktualnie trwają prace nad przygotowaniem nowej ustawy o ochronie danych osobowych i przepisów ją wprowadzających. Powinny one łącznie z RODO tworzyć pakiet przepisów w tej sprawie. Drugi projekt ww. ustawy powstał we wrześniu 2017 r. Zgłoszono do niego około 1.700 poprawek. Trudno obecnie ocenić, czy kontynuowane będą prace nad tym projektem, czy też powstanie całkiem nowa ustawa.

Pomijając sposób, w jaki parlament rozwiąże sprawę wprowadzenia nowej ustawy, warto poznać przynajmniej wybrane szczegóły dotyczące RODO. Mając na uwadze niewielką objętość niniejszego materiału, w dalszej części tekstu podane zostaną wyłącznie najważniejsze i wybrane informacje.

RODO będzie miało zastosowanie do każdego podmiotu przetwarzającego dane osobowe, może to być: osoba fizyczna, prawna, organ publiczny, jednostka lub inny podmiot przetwarzający dane. Nie ma znaczenia rozmiar i zakres działalności przedsiębiorcy, czy jest to duża korporacja, bank, czy też mała firma prowadzona przez jedną osobę. Nie będzie miało także znaczenia, kto jest właścicielem danej organizacji: osoba prawna, fizyczna, kapitał zagraniczny, czy też rodzinny kapitał polski.

Przetwarzanie od maja 2018 r. będzie oznaczało operacje na danych osobowych, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Dane objęte ochroną będą obejmowały m.in.: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Przedsiębiorca zobowiązany będzie do zapewnienia odpowiednich zabezpieczeń. Co to może oznaczać? Przykładowo, jeśli przechowujemy dane osobowe w pamięci zwykłego telefonu komórkowego, który de facto jest mini-komputerem podłączonym do serwera, na którym mamy pocztę elektroniczną, to również ten aparat jest elementem naszego systemu przetwarzania danych. Zagubienie, kradzież, zniszczenie go może oznaczać wystąpienie tzw. incydentu bezpieczeństwa związanego z danymi osobowymi. A zgłoszenie naruszenia danych winno nastąpić niezwłocznie, najpóźniej w ciągu 72 godzin.

Obecnie najbardziej istotne jest ustalenie, czy i jakie zabezpieczenia posiadamy aktualnie w naszej organizacji. Jakie dane przechowujemy, jakie mamy źródła (miejsca, zbiory) przechowywania danych, jakie procesy przechodzi w naszej strukturze organizacyjnej informacja zawierająca dane osobowe (przez kogo do kogo wysyłana jest ona wewnątrz organizacji i na zewnątrz), kto ma dostęp do informacji i procedur, w jaki sposób zabezpieczamy informacje i obieg informacji wewnątrz i na zewnątrz naszej struktury, czy mamy system informowania o pojawiających się incydentach, wreszcie – czy w naszej organizacji jest inspektor ochrony danych osobowych. Taka identyfikacja stanu zabezpieczeń w firmie jest podstawą do podjęcia kolejnych kroków przygotowawczych do RODO.

Chyba każdy po zrozumieniu czym jest RODO może poczuć niepokój… Najpierw – kto w naszej firmie miałby się tym zająć i ile to będzie kosztowało? Trzeba jednak od razu zadać sobie pytanie – a ile może kosztować niepodjęcie tych działań? Niestety odpowiedź jest niezbyt pocieszająca, może bowiem okazać się, że konsekwencje braku przestrzegania przepisów RODO będą dużo bardziej bolesne, niż wydatki na wprowadzenie ochrony. Przede wszystkim narażamy się na konieczność zapłaty kary (ich maksymalne progi podane zostały na wstępie) czy konieczność zapłaty odszkodowania osobie, której dane zostały naruszone. Dalsze konsekwencje mogą wiązać się chociażby ze stratami dla naszej organizacji, jakie wynikają z wycieku danych np. do konkurencji. Kontrolujący będą sprawdzać, czy dana organizacja podjęła możliwe, logiczne i adekwatne środki w celu minimalizacji ryzyka w każdym indywidualnym przypadku. Czy można zatem liczyć na liberalizację wymagań w ustawie? Raczej nie, bo RODO jest to przepis UE implementowany wprost w krajach członkowskich, a więc czy tego chcemy, czy nie – i tak będziemy musieli stworzyć bezpieczny system ochrony danych.

Trudno obecnie ocenić, jakie mechanizmy kontrolne zostaną wprowadzone w ustawie, czy i kiedy zostaną wszczęte kontrole i jak będą one przebiegały. Tym niemniej warto już teraz uświadomić sobie skalę wyzwań i wraz z nowym rokiem podjąć działania w kierunku przygotowania się na moment wejścia RODO w życie.