O tym, jak spełnić wymogi GDPR i uniknąć kar, rozmawiamy z Beatą Marek (Pomocnik RODO), prawnikiem i ekspertem w dziedzinie bezpieczeństwa danych. 

GDPR: Czy Twojej firmie grozi kara?

Niewiele ponad rok mają firmy na wdrożenie w życie nowych procedur przetwarzania i ochrony danych osobowych. Wszystko za sprawą unijnego rozporządzenia GDPR (General Data Protection Regulation), które będzie obowiązywać na terenie całej Unii Europejskiej od maja 2018 roku. Za działanie niezgodne z GDPR grożą wysokie kary. W ekstremalnych przypadkach nawet 20 mln EUR lub wartość równa 4 % światowego obrotu grupy kapitałowej z poprzedniego roku.

Pani Beato, spróbujmy odczarować pojęcie GDPR (General Data Protection Regulation). O co chodzi? Co tak naprawdę się zmienia w porównaniu do dotychczasowych przepisów o ochronie danych osobowych? I dla kogo jest to największa zmiana?  

Największa zmiana dotyczy samego podejścia do zarządzania ochroną danych osobowych. Wynika to z szeregu ogólnych wytycznych, które są zapisane w rozporządzeniu. Dotyczą one m.in. zarządzania procesami przetwarzania danych osobowych w kontekście ryzyka wystąpienia zdarzenia czy incydentu bezpieczeństwa, jak i wdrożenia procedur zapewniających ochronę danych, adekwatnie do charakteru, zakresu, kontekstu i celu ich przetwarzania. Rozporządzenie GDPR  to z jednej strony szansa na lepsze dostosowanie procedur do realiów, w jakich działa firma  – np. może oprzeć się bardziej na procesach digital, bez gromadzenia papierowej dokumentacji czy upoważnień – z drugiej jednak strony wprowadza też nowe obowiązki. Odnoszą się one np.  do mechanizmów ochrony prywatności, profilowania danych, powierzenia przetwarzania danych czy obowiązków notyfikacji.

Sygnał dla firm jest jasny. Ustawodawca daje ogólne wskazówki, jak zorganizować przetwarzanie danych osobowych, ale decyzje co wdrożyć i w jakim zakresie, ma podjąć samodzielnie Administrator Danych. Jeśli jednak organ uzna, że ochrona nie została zapewniona, ma prawo do egzekwowania naruszenia za pomocą np. kar.

Kto będzie w Polsce organem weryfikującym i za co dokładnie będą  przyznawane? W jaki sposób będzie wyliczana ich wysokość?

Organ nadzorczy będzie decydował o wymierzeniu kary i tym czy poprzestać na upomnieniu czy wymierzyć większą karę. Wyliczenie wysokości kary będzie zależne od wielu czynników np. charakteru, wagi i czasu trwania naruszenia w odniesieniu do danego przetwarzania, liczby poszkodowanych podmiotów danych czy choćby rozmiaru poniesionej przez nie szkody. Istotna będzie też odpowiedź na pytanie, czy to było naruszenie lekkomyślne czy umyślne.

Wysokość kar będzie natomiast zależeć od rodzaju naruszenia. W skrajnych przypadkach Administrator Danych lub procesor będzie podlegał grzywnie administracyjnej sięgającej 20 000 000 EUR, a w przypadku przedsiębiorstwa – nawet 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Kara tej wysokości może być np. przyznana za naruszenia podstawowych zasad przetwarzania, w tym warunków zgody.

Prześledźmy w takim razie hipotetyczną sytuację. Załóżmy, że mamy firmę logistyczną, która przetwarza duże ilości danych osobowych klientów, zatrudnia Administratora Bezpieczeństwa Informacji. Do tej pory spełniała wszystkie wymogi GIODO. Ze strony IT korzysta np. z łącza VPN, firewalla, programu antywirusowego. Regularnie aktualizuje system i stosuje zasadę ograniczonego dostępu do wrażliwych danych. Jednak pomimo wdrożonych procedur i rozwiązań IT, jeden z pracowników kradnie dane z systemu i udostępnia je w Internecie. Co w takiej sytuacji? Czy firmie grozi kara?

To się może zdarzyć każdemu. Wszystko zależy od tego, co dokładnie jest ujawniane. W takiej sytuacji należy przeprowadzić postępowanie poincydentalne i określić rozmiar szkody oraz oczywiście zabezpieczyć materiał dowodowy, by ustalić historię wycieku, jak i samego naruszyciela, a także rozważyć zasadność powiadomienia podmiotu danych. Niezbędne jest tutaj posiadanie procesu do zarządzania incydentem.

Nowe przepisy będą zakładały oczywiście, że należy o takiej sytuacji zawiadomić organ nadzorczy, ale co ważne jeśli naruszenie ochrony danych osobowych może nieść duże zagrożenie dla praw i wolności osób fizycznych, administrator bez zbędnej zwłoki jest zobowiązany do zawiadomienia także o tym podmiotu danych. To jest duża nowość. Mówiąc wprost, jeśli doszło do takiego naruszenia i wyciekły np. dane naszych klientów, to będziemy musieli ich o tym poinformować.

To, co należy zrobić? Od czego zacząć, jakie kroki podjąć teraz, żeby dobrze przygotować się do zmiany GDPR? Co radziłaby Pani firmom?

Proponowałabym zacząć od edukacji i wdrożenia kierowników działów w nowe przepisy. Trzeba dokładnie wyjaśnić, co się zmienia i w jakim zakresie, a także przenieść to na grunt konkretnej firmy. Warto skorzystać ze szkoleń z ekspertami. Ostatnio np. prowadziłam takie warsztaty dla klientów firmy Orange i Integrated Solutions. Wiele informacji można znaleźć także w Pomocniku RODO. Po rozpoznaniu tematu i poznaniu przepisów kolejny krok to rewizja własnych procedur i dostosowanie się do nowych ram prawnych. Pamiętajmy, że wszystkie umowy powierzenia trzeba zrewidować. Systemy muszą spełniać wymogi  privacy by design i by default. W wielu firmach dostosowuje się też systemy do zarządzania upoważnieniami oraz zmienia się klauzule zgód. To wszystko wymaga czasu, więc najlepiej przygotowania zacząć już teraz.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn