Czy przepisy RODO mają wpływ na pracę sektora IT?
Rozporządzenie wprowadzające zmiany w ochronie danych osobowych wchodzi w życie 25 maja 2018 roku. Zmiany mogą być na tyle poważne, a ich wdrożenie na tyle czasochłonne, że ich wprowadzania nie należy odkładać na ostatnią chwilę. Zwłaszcza, że za niedostosowanie lub nieprzestrzeganie przepisów grożą ogromne kary.
RODO – Rozporządzenie o Ochronie Danych Osobowych (ang. GDRP – General Data Protection Regulation) reguluje ochronę osób fizycznych w związku z przetwarzaniem ich danych osobowych. Zapewnia także przepływ danych osobowych pomiędzy państwami, będącymi członkami Unii Europejskiej w oparciu o jednolite zasady. Czyli, tak naprawdę, przepisy tego rozporządzenia dotyczą każdej organizacji, która wykorzystuje lub gromadzi dane osób fizycznych, nawet zbierane automatycznie. Nie ma znaczenia wielkość firmy czy charakter działalności. Przepisy mają zastosowanie zarówno w przypadku dużych firm, międzynarodowych korporacji, urzędów, jak i małych firm czy rodzinnych przedsiębiorstw, jeśli tylko ze świadczonych usług korzystają mieszkańcy UE.
RODO wprowadza sporo zmian tak o charakterze prawnym, jak i informatycznym. Nowe przepisy są wyzwaniem nie tylko dla działów prawnych, ale też sektora IT. RODO stanowi, że przetwarzanie danych będzie możliwe tylko po przeprowadzeniu wcześniejszych analiz przetwarzania i ochrony danych osobowych. Najistotniejsza jest tu ocena ryzyka i prywatności zebranych danych. Przedsiębiorcy – jako ostateczni administratorzy danych – będą musieli samodzielnie zadbać o wykonanie ww. analiz i na ich podstawie ocenić z jakimi danymi mają do czynienia, jakie są procesy przetwarzania i przetrzymywania tychże danych i jakie jest związane z tym ryzyko. Następnie będą musieli wybrać i wdrożyć adekwatne do posiadanych danych środki dla ich zabezpieczenia. Ponadto, ze względu na to, że cyberzagrożenia są formami niezwykle dynamicznymi, procesy ochrony danych mają być regularnie monitorowane. Oceną czy dane są zabezpieczone we właściwy i wystarczający sposób ma się zajmować pracownik urzędu ochrony danych osobowych.
Każdy administrator danych będzie też zobligowany do monitorowania incydentów naruszania bezpieczeństwa danych i każdy taki incydent będzie musiał zgłosić w ciągu 72 godzin od jego zauważenia do organu nadzorującego (w Polsce to Generalny Inspektor Danych Osobowych). W poważniejszych w skutkach wypadkach będzie musiał także powiadomić osoby fizyczne, których incydent może dotyczyć, a w ekstremalnych sytuacjach może być zobligowany do ogłoszenia wycieku danych w mediach.
Na przedsiębiorstwa, które nie dostosują się do postanowień RODO lub je naruszą mogą zostać nałożone kary cywilnoprawne lub administracyjne. Kary administracyjne mogą sięgać do 20 mln euro albo do 4% całkowitego rocznego globalnego obrotu w poprzednim roku.
Z pozostałymi postanowieniami RODO można się zapoznać na stronie Głównego Inspektora Danych Osobowych.