Początek stosowania RODO już za niecałe 60 dni. W związku z tym, w kolejnych wpisach będziemy chcieli przybliżyć Wam tematyką samego RODO oraz tego jak przygotować firmę na wdrożenie nowych ram ochrony danych osobowych. Z racji tego, że proces legislacyjny w tym zakresie jest ciągle w toku, będziemy starali się trzymać rękę na pulsie w zakresie ewentualnych zmian w przepisach i publikowania oficjalnych wytycznych oraz zaleceń Generalnego Inspektora Ochrony Danych Osobowych.
RODO – co tak naprawdę jest?
Żeby nie tracić czasu od razu przejdźmy do omówienia wstępnych zagadnień dotyczących RODO. Czym jest? Kiedy zacznie obowiązywać? Dlaczego budzi tak duże zainteresowanie?
RODO czyli ogólne rozporządzenie o ochronie danych jest aktem prawnym instytucji Unii Europejskiej. Nadanie nowej regulacji dotyczącej ochrony danych osobowych formy rozporządzenia ma zasadnicze znaczenie z punktu widzenia ujednolicenia prawa ochrony danych osobowych we wszystkich państwach członkowskich. Rozporządzenie stosowane będzie we wszystkich państwa UE wprost i bezpośrednio. Oznacza to, że nie będą uchwalane ustawy specjalnie przenoszące przepisy tego rozporządzenia do krajowego ustawodawstwa. Nie oznacza to jednak, że krajowe ustawy znikną całkowicie z wykazu źródeł prawa o ochronie danych osobowych. RODO w kilku przypadkach pozwala na doregulowanie niektórych aspektów właśnie w rodzimych regulacjach.
Naszą ustawę o ochronie danych osobowych z 1997 r. również czeka utrata mocy obowiązującej. Na uchwalenie oczekuje nowa ustawa, której najnowszy projekt pochodzi z 16 marca tego roku.
Wracają jednak do RODO należy zauważyć, że choć początek obowiązywania tego aktu ustalono na 25 maja 2018 r., rozporządzenie weszło w życie dużo wcześniej. Jedynie doniosłość zmian w zakresie ochrony danych sprawiła, że uznano, iż właściwym będzie zastosowanie dwuletniego okresu przygotowawczego, który minie właśnie 25 maja 2018 r.
O doniosłości RODO niech świadczy również fakt, że zastępuje ono istniejącą od blisko 20 lat dyrektywę o ochronie danych osobowych, która z kolei stanowiła główne źródło przepisów obowiązującej jeszcze ustawy o ochronie danych osobowych z 1997 r. W założeniach twórców RODO, nowe przepisy mają być na tyle uniwersalne i elastyczne, aby kolejna reforma ochrony danych osobowych nie była konieczna przez co najmniej dekadę.
Administratorzy danych dużo bardziej samodzielni
Uniwersalność i elastyczność RODO to właśnie jedna z cech rozpoznawalnych tego aktu. Jeśli mielibyśmy wskazywać na pierwszą przychodzącą nam na myśl różnicę między RODO, a poprzednią dyrektywą czy polską ustawą o ochronie danych osobowych z 1997 r., to z pewnością wskazalibyśmy na fakt, że nowe przepisy nie zawierają w dużej części gotowych czy obowiązkowych rozwiązań. Taka konstrukcja przepisów znacznie odbiega od tego do czego do tej pory przyzwyczaił nas prawodawca.
W przepisach ustawy o ochronie danych osobowych z 1997 r., ustawodawca przyjął model „nakazów i zakazów”. Administratorom danych nie pozostawiono zbyt dużego pola swobody w podejściu do ochrony danych osobowych. Ingerencja ustawodawcy dotyczyła choćby tego w jakim terminie należy zmieniać hasła zabezpieczające i z ilu znaków powinny się one składać. Wraz z nadejściem RODO, do przeszłości odchodzą również znane z przepisów ustawy z 1997 r. obowiązki rejestracyjne.
RODO odchodzi od takiego sposobu formułowania przepisów, a na to miejsce wprowadza rozwiązania mające wymusić na administratorach danych większą samodzielność. Model aktu prawnego z gotowymi rozwiązaniami obarczony zostałby od początku ryzykiem szybkiej utraty jego aktualności. RODO ma być z kolei aktem inteligentnym, dostosowanym do zmieniającej się rzeczywistości i przez to zbiorem przepisów, które przynajmniej przez jakiś czas nie stracą na swojej aktualności.
Nadchodzą czasy rozliczeń
Wydawać by się mogło, że skoro RODO w wielu miejscach nie przewiduje wprost określonych obowiązków, jak miało to miejsce choćby w przypadku obowiązku rejestracji zbiorów danych, to administrator w zasadzie będzie w korzystniejszej sytuacji niż ma to jeszcze miejsce w chwili obecnej. Nic bardziej mylnego.
Po stronie administratora danych istnieje obowiązek wykazania przestrzegania przepisów rozporządzenia. Związane jest to z przyjętą w RODO zasadą rozliczalności. Zasada ta wyraża się w dwóch aspektach. Po pierwsze, na administratorze ciąży obowiązek wdrożenia środków (w tym również wewnętrznych procedur), które gwarantować będą przestrzeganie ochrony danych osobowych w związku z operacjami ich przetwarzania (jakie to będą środki zależy w dużej mierze od samego administratora, stąd wspominaliśmy o proaktywnej formie przepisów rozporządzenia). Po drugie, administrator danych zobowiązany jest do sporządzenia dokumentacji, która w założeniu ma wskazać osobom, których dane dotyczą, a także organom nadzoru, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych.
Z przepisów RODO można wychwycić co najmniej kilkanaście przypadków, gdzie sporządzenie dokumentacji będzie pożądane z punktu widzenia wywiązania się z zasady rozliczalności. Z drugiej jednak strony przepisy rozporządzenia nie przewidują szczegółowych wymogów dotyczących zarówno zakresu merytorycznego tych dokumentów, jak i ich formy. Po raz kolejny daje zatem o sobie znać wspomniana już zasada proaktywnego podejścia administratorów do ochrony danych osobowych. Zwracamy jednak uwagę, że administrator danych nie ma w założeniu zostać osamotniony w adaptacji do nowej rzeczywistości. Z pomocą przyjść ma przede wszystkim inspektor ochrony danych osobowych, którego postać przybliżymy przy okazji kolejnych wpisów.
Autorem cyklu wpisów o RODO w przedsiębiorstwie telekomunikacyjnym jest Jarosław Straś- specjalista z zakresu prawa handlowego i problematyki dotyczącej ochrony danych osobowych, a także obowiązków przedsiębiorców telekomunikacyjnych na rzecz obronności i bezpieczeństwa oraz realizacji przez nich projektów dotowanych ze środków UE.
