Obecnie skrzynki pocztowe są zalewane informacjami o szkoleniach z RODO oraz karach za nieprzestrzeganie nowych przepisów. Czy zmiany w tym zakresie są, aż tak rewolucyjne, a kary mogą realnie dotknąć przedsiębiorców?
Obecnie podstawowym aktem prawnym, który reguluje ochronę danych osobowych w naszym kraju jest UODO, czyli Ustawa o Ochronie Danych Osobowych. Taki stan rzeczy będzie musiał się zmienić, ponieważ obecna ustawa będzie musiała być zastąpiona nowym aktem prawnym, który będzie współgrał z postanowieniami unijnego rozporządzenia.
Na mocy nowej ustawy GIODO przestaje istnieć, a na jego miejscu pojawi się UODO, czyli Urząd Ochrony Danych Osobowych. Co natomiast zmienia z punktu widzenia przedsiębiorcy prowadzącego sklep internetowy?
Zgodnie z obecnie obowiązującą ustawą o ochronie danych osobowych (dalej: UODO), każdy przedsiębiorca ma obowiązek dokonać rejestracji zbioru baz danych w GIODO. Dodatkowo, jeżeli dane osobowe są wykorzystywane w różnych celach istnieje obowiązek zgłoszenia kilku zbiorów danych. W związku z powyższym jeśli dane osobowe klientów e-sklepu są przetwarzane w różnych celach, np. w celu realizacji zamówień, statystyk, czy marketingu trzeba zgłosić dwa lub nawet trzy zbiory.
Po 25 maja 2018 roku znika obowiązek rejestrowania zbiorów danych. Obowiązkiem stanie się prowadzenie rejestru czynności przetwarzania, o którym mowa więcej w pkt. 5.
Na chwilę obecną każdy przedsiębiorca, przetwarzający dane osobowe, ma obowiązek wdrożyć dokumenty związane z ich ochroną, a są to polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym oraz ewidencja osób upoważnionych do przetwarzania danych osobowych.
Zgodnie z nowym rozporządzeniem obowiązek posiadania wyżej wymienionych dokumentów odpada! Natomiast przedsiębiorca, który przetwarza dane osobowe, będzie miał obowiązek wprowadzić takie mechanizmy organizacyjne oraz techniczne w zakresie ochrony danych osobowych, które będą adekwatne do ryzyka naruszenia danych osobowych – co to oznacza? Czy dalsze stosowanie zaktualizowanej polityki bezpieczeństwa oraz instrukcji zarządzania w sklepie internetowym będzie wystarczającym środkiem ochrony danych osobowych? Wydaje się, że tak. Jednak dopiero czas oraz kolejne komentarze do rozporządzenia oraz nowej ustawy dadzą 100% pewność.
Informacja o ochronie danych osobowych w sklepie internetowym jest zawarta w regulaminie sklepu albo osobnym dokumencie jakim jest polityka prywatności. Z informacji zawartych w tych dokumentach musi wynikać np. kto jest administratorem danych osobowych, w jakim celu są przetwarzane oraz gdzie należy się zwrócić jeżeli użytkownik chce usunąć dane osobowe.
Po 25 maja 2018 r. w dokumencie dotyczącym ochrony danych osobowych oprócz informacji, które są obecnie wymagane należy określić m.in na jaki okres dane osobowe będą archiwizowane przez przedsiębiorcę oraz gdzie należy złożyć skargę jeżeli przedsiębiorca narusza. Dodatkowo należy podać informację, że dane osobowe klienta sklepu będą przetwarzane także w sposób zautomatyzowany w formie profilowania. Należy jednak pamiętać, że przetwarzanie takich danych będzie możliwe wyłącznie po wcześniejszym wyrażeniu przez klienta zgody np. w formie checkboxa.
Następną zmianą na karcie rewolucji będzie zastąpienie stanowiska Administratora Bezpieczeństwem Informacji – Inspektorem Ochrony Danych Osobowych.
Prowadzenie tego rejestru będzie obowiązkiem przede wszystkim podmiotów zatrudniających powyżej 250 pracowników oraz podmiotów przetwarzających tzw. dane wrażliwe.
W rejestrze czynności przetwarzania danych osobowych zamieszcza się następujące informacje:
1) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
2) cele przetwarzania;
3) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
4) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
5) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej;
6) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
7) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa tj.: pseudonimizacja i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularność testowania i oceniania skuteczności ww. środków.
Nowe przepisy podwyższają system kar za naruszanie przepisów o ochronie danych osobowych. Kary mogą wynosić do 20 000 000 euro lub do 4% całkowitego obrotu przedsiębiorstwa za rok poprzedni.
Po wejściu RODO, Administrator Danych Osobowych jest również zobowiązany do zgłoszenia jednostce nadzorującej wszystkich incydentów, które spowodowały wyciek danych osobowych, bądź godziły w bezpieczeństwo ich przechowywania. Co więcej, gdy dane klientów wyciekną – podmiot będzie zobowiązany do powiadomienia wszystkich osób, których ten incydent dotyczył.
Jak widać zmian jest naprawdę sporo. Jednak powyższe zmiany nie stanowią rewolucji, która wymaga ciągłego szkolenia oraz podejmowania pochopnych decyzji. Nowe przepisy zaczną obowiązywać 25 maja 2018 r., a ostateczny sposób rozumienia niektórych postanowień zawsze jest wypracowywany w drodze komentarzy oraz orzeczeń.
Komentarze