Co zmienią przepisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych?

25 maja 2018, 09:15
fingerprint-979598_1280
Fot. Kalhh/Pixabay

Zdaniem dr Łukasza Olejnika wdrożone w piątek przepisy unijnego Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) dają szansę na korzystne zmiany w praktykach przetwarzania danych osobowych nie tylko dla użytkowników, ale też firm i organizacji.

RODO to zbiór przepisów wspólnych dla wszystkich 28 państw Unii Europejskiej. Rozporządzenie stosowane jest bezpośrednio i dotyczy wszystkich firm, które gromadzą i przetwarzają dane osób będących obywatelami państw członkowskich UE. Reguły ustanawiane przez RODO będą stosowane zatem również do firm zza oceanu, takich jak Facebook czy Google.

RODO to konstytucja dla ochrony prywatności i danych. Ustanawia zasady ochrony prywatności dla użytkownika, a także wymogi dla firm i instytucji. Te zasady przenikają już poza Unię Europejską. Z punktu widzenia państwa natomiast, RODO jest także istotnym filarem dla cyberbezpieczeństwa. Wdrożenie reformy jest korzystne zwłaszcza dla Polski, bo w ciągu ostatnich piętnastu lat nie udało się wypracować w kraju spójnej koncepcji w tym temacie

dr Łukasz Olejnik - niezależny ekspert ds. cyberbezpieczeństwa i prywatności 

Z perspektywy firm przetwarzających dane, RODO wprowadza ścisłe wymogi dotyczące prywatności i bezpieczeństwa.

"Chodzi tu przede wszystkim o analizę ryzyka i konieczność wykonywania ocen skutków dla ochrony danych oraz wdrożenie metodologii Privacy by Design (prywatność na etapie projektowania produktu bądź usługi - PAP)" - mówi ekspert. "Dla nowoczesnych firm RODO to szansa na odniesienie korzyści, bo pozwoli zachować bądź wytworzyć konkurencyjność na rynku międzynarodowym" - dodaje.

Podmioty, które nie dostosują się do nowego prawa i nie będą potrafiły wykazać zgodności z przepisami, narażone są na karę grzywny w wysokości do 20 mln euro, bądź 4 proc. rocznego globalnego przychodu (którakolwiek liczba wyższa). Olejnik zauważa jednak, że maksymalny wymiar kary w przypadku RODO ma oddziaływać na wyobraźnie i stymulować do zmian w myśleniu o ochronie danych. Ekspert zaznacza jednak, że nie oznacza to, iż maksymalny wymiar kary nie zostanie nałożony w wyniku rażącej niezgodności z nowym rozporządzeniem.

W myśl przepisów RODO, podmioty przetwarzające dane obywateli państw Unii Europejskiej zobowiązane są do wyjaśnienia prostym i zrozumiałym językiem tego, w jakim celu dane są gromadzone, jak są przetwarzane i w jakich celach wykorzystywane. Choć większość firm nie zmieni sposobu pracy z danymi, przed 25 maja modyfikowały swoje polityki prywatności tak, aby były łatwiejsze w odbiorze przez użytkowników.

Użytkownicy dzięki RODO zyskują kontrolę nad danymi, a także wiele nowych praw, takich jak do bycia zapomnianym, do wniesienia sprzeciwu, czy do informacji o tym, w jaki sposób i kto przetwarza ich dane" - wylicza ekspert. "W pewnym stopniu już teraz mamy do czynienia ze swego rodzaju terapią szokową, gdy strony internetowe zaczynają na szeroką skalę informować o tym, co dzieje się z danymi internautów, a także pytać o zgody na przetwarzanie danych

dr Łukasz Olejnik - niezależny ekspert ds. cyberbezpieczeństwa i prywatności 

Podmioty przetwarzające dane zobowiązane są także do udostępnienia swoim klientom i użytkownikom usług możliwości dostępu do danych, a także żądania ich usunięcia z systemów. Muszą także w klarowny sposób informować na temat tego, jak długo dane użytkowników są przechowywane wewnątrz systemów administratora. Jedną z nowości wprowadzanych przez unijne prawo jest zasada stanowiąca, że dane użytkowników mogą być przechowywane nie dłużej, niż wymagają tego ściśle określone cele i działania prowadzone z ich wykorzystaniem.

W przypadku naruszenia bezpieczeństwa danych osobowych, administrator zobowiązany jest do powiadomienia o tym fakcie w ciągu 72 godzin właściwego organu ochrony danych. To poważne zobowiązanie dla wielu administratorów danych - takich jak Yahoo, któremu poinformowanie o gigantycznym wycieku danych obejmującym 3 mld użytkowników zajęło dwa lata. Zdaniem eksperta, "użytkownicy w końcu będą mieli szansę na dostęp do wiedzy o wyciekach danych, gdy zdarzenia tego rodzaju będą miały miejsce. Będą też mogli samodzielnie i świadomie ocenić bezpieczeństwo oferowane im przez dostawców usług internetowych".

Podmioty przetwarzające dane zlokalizowane na terenie Unii Europejskiej będą zobowiązane do zaoferowania tych samych zasad ochrony danych wszystkim użytkownikom - nie tylko obywatelom państw członkowskich UE. Otwartym pytaniem pozostaje to, w jaki sposób zasady RODO będą stosowane wobec osób wizytujących państwa unijne - zdaniem przedstawicieli brytyjskiej organizacji pozarządowej Privacy International, działającej na rzecz ochrony danych i prywatności, sprawy tego rodzaju mogą być ostatecznie dyskutowane w sądach.

Zdaniem dr Olejnika pierwsze skargi na nieprzestrzeganie przepisów RODO wpłyną do właściwych organów niedługo po 25 maja. "Wielu krajom, w tym niestety Polsce, nie udało się w pełni zdążyć z przygotowaniem do nowych przepisów, m.in. w kwestiach właściwego przygotowania organu odpowiedzialnego za ochronę danych i nie chodzi tu wyłącznie o kwestię przeznaczanych środków finansowych" - ocenia ekspert.

Małgorzata Fraser (PAP)

PAP - mini

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 0
No results found.