General Data Protection Regulation (GDPR) wprowadza duże zmiany w sposobie zarządzania danymi osobowymi przetwarzanymi przez firmy. Podczas spotkania zorganizowanego przez firmę Findwise – we współpracy z kancelarią Sołtysiński, Kawecki & Szlęzak – poruszane były zarówno aspekty prawne, jak i kwestie technologiczne związane z regulacją, która weszła w życie już pół roku temu. Od maja 2018 roku znajdzie zaś zastosowanie w całej Unii Europejskiej.
Ogólne Rozporządzenie o Ochronie Danych Osobowych weszło w życie 25 maja 2016 roku. Uchyla ono obecnie obowiązującą dyrektywę 65/46/WE. Celem rozporządzenia jest zapewnienie jednolitego poziomu ochrony danych osobowych na terenie całej Unii Europejskiej. Firmom, które nie dostosują się do wymogów nowego prawa grozi kara do 2% – a w niektórych przypadkach nawet 4% – globalnego obrotu przedsiębiorstwa. Maksymalnie ma to być 20 mln euro. Mimo, że nowe regulacje zaczną obowiązywać niec ponad 18 miesięcy, już teraz warto przygotować się do nowych regulacji zarówno pod względem prawnym, jak i technologicznym. Do dostosowania firmy niezbędna jest bliska współpraca tych dwóch stron.
General Data Protection Regulation od strony prawnej
Rozporządzenie nakłada szereg obowiązków na podmioty, które przetwarzają dane. To również konieczność wykonania szeregu działań przez państwa członkowskie. Wśród nich jest m.in. podjęcie decyzji o obniżeniu do 13 – ze standardowych 16 lat – granicy wiekowej dla dzieci wyrażających zgodę na przetwarzanie danych osobowych w usługach społeczeństwa informatycznego. To także kwestia doprecyzowania warunków przetwarzania danych biometrycznych, genetycznych i informacji dotyczących ochrony zdrowia. Wymagać to będzie zmian w funkcjonowaniu w Polsce Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Ministerstwo Cyfryzacji zapowiada przedstawienie do końca 2016 roku dokumentu kierunkowego dotyczącego wdrożenia w Polsce Ogólnego Rozporządzenia o Ochronie Danych Osobowych (General Data Protection Regulation). Jednak nowa Ustawa o ochronie danych – oraz niezbędne zmiany w wielu innych ustawach i aktach wykonawczych do niej – spodziewane są dopiero w II połowie 2017 roku. Finalnie, więc firmy nie będą miały wiele czasu na dostosowanie się do nowych wymogów.
Realizacja obowiązków nakładanych przez GDPR będzie wymagała wprowadzenia nowych rozwiązań organizacyjnych i informatycznych. W przypadku skorzystania przez daną osobę z prawa dostępu do danych, administrator będzie bowiem musiał przekazać jej nie tylko informacje o kategoriach zbieranych danych osobowych, jak to jest obecnie, ale również przekazać jej kopię danych podlegających przetwarzaniu. Będzie on musiał zatem dysponować narzędziami, które pozwolą mu w prosty i rzetelny sposób zebrać takie informacje.
Rozporządzenie GDPR wymaga od firm dostosowania polityki danych do takich aspektów, jak prawo do: wyrażenia i cofnięcia zgody na przetwarzanie danych osobowych; otrzymania kopii danych przetwarzanych dotyczących wnioskującej osoby oraz bycia zapomnianym przez firmę posiadającą dane osobowe. Co ważne z tytułu wykonania tych praw, administrator nie może co do zasady pobierać żadnych opłat, a jednocześnie powinien ułatwiać ich wykonywanie. Dane użytkownikom powinny być też przekazane w sposób ustrukturyzowanym w powszechnie używanym formacie nadającym się do odczytu maszynowego.
Przygotowanie IT do nowej regulacji
Regulacja GDPR niesie wiele wyzwań od strony technicznej. Realizacja tych obowiązków będzie często wymagała wprowadzenia nowych rozwiązań organizacyjnych i informatycznych, a to oznacza także dodatkowe nakłady finansowe. Przykładowo w przypadku skorzystania przez daną osobę z prawa dostępu do danych, administrator będzie musiał przekazać jej nie tylko informacje o kategoriach zbieranych danych osobowych, jak to jest obecnie, ale również przekazać jej kopię danych podlegających przetwarzaniu. Będzie on musiał zatem dysponować narzędziami, które pozwolą mu w prosty i rzetelny sposób zebrać takie informacje. Wyzwaniem też będzie wykonanie prawa do bycia zapomnianym, zwłaszcza w odniesieniu do starszych zbiorów, czy prawa do przenoszenia danych.
Paweł Wróblewski, Regional Manager Findwise w Polsce przedstawił koncepcję rozwiązania technicznego, które byłoby w stanie sprostać takim wymaganiom. Zachęcał też do jak najszybszego rozpoczęcia prac nad inwentaryzacją informacji przetwarzanych w firmie. Celem tych prac byłoby zlokalizowanie wszystkich potencjalnych źródeł informacji. Określić trzeba także to, jakie dane osobowe mogą się tam znajdować. Ustalić należy również właścicieli biznesowych oraz określić cykl życia takich informacji – od jej utworzenia, poprzez udostępnianie aż do usunięcia lub archiwizacji. Zdaniem Pawła Wróblewskiego to podstawa do rozpoczęcia prac wdrożeniowych dla technologii wyszukiwania, które pozwolą szybko i precyzyjnie odnaleźć informacje osobowe w wielu różnych źródłach jednocześnie, a następnie pozwolą automatycznie wygenerować raport dla osób żądających dostępu do tych danych, ich usunięcia lub anonimizacji.
Na spotkaniu przedstawiono także proces inwentaryzacji informacji przetwarzanej. Proces ten podzielono na trzy fazy: zakres – identyfikację źródeł, właścicieli i priorytetyzację treści (gdzie i czego szukać?); odkrywanie – badanie posiadanych informacji przy pomocy odpowiednich mechanizmów; analizę – pozwalającą na ocenę pozyskanych danych.
W drodze do skutecznej ochrony danych osobowych
Wdrożenie unijnego rozporządzenia General Data Protection Regulation jest dużym wyzwaniem zarówno dla przedsiębiorstw, jak i krajów członkowskich. Firmy muszą liczyć się z dodatkowymi nakładami finansowymi, aby zapewnić odpowiednie rozwiązania techniczne i prawne. Natomiast w przypadku niezastosowania się do nowych przepisów przedsiębiorstwo może spotkać wspomniana już kara. Cel tych regulacji jest jednak słuszny. Chodzi o podniesienie poziomu ochrony naszych danych osobowych, a te w chwili obecnej nie zawsze są chronione w należyty sposób. Ogólne Rozporządzenie o Ochronie Danych Osobowych, które znajdzie zastosowanie w 2018 roku powinno poprawić tę ochronę w wielu aspektach. Choć czasu jest sporo firmy już teraz powinny zacząć prace po stronie prawnej i technologicznej, aby przygotować odpowiednie rozwiązania.
Prawa użytkowników wg rozporządzenia GDPR- · Prawo do informacji.
- · Prawo do dostępu do danych.
- · Prawo do sprostowania danych.
- · Prawo do bycia zapomnianym (obowiązuje dziś: Prawo do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia.).
- · Prawo do ograniczenia przetwarzania danych (obowiązuje dziś: Prawo żądania zaprzestania przetwarzania ze względu na szczególną sytuację.).
- · Prawo do przenoszenia danych.
- · Prawo do sprzeciwu wobec przetwarzania.
- · Prawo do sprzeciwu wobec profilowania i zautomatyzowanego podejmowania decyzji.
