Administratorzy mają już bardzo mało czasu, by przygotować się do unijnej reformy w ochronie danych osobowych. Jeśli posiadają zgody na przetwarzanie danych osobowych, to powinni przeanalizować, czy są wyrażone dobrowolnie, w precyzyjnie określonych celach. Jeśli nie - trzeba będzie uzyskiwać je od nowa - ostrzega Generalny Inspektor Ochrony Danych Osobowych.

Stosowanie przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych, zwanego w Polsce w skrócie RODO, rozpocznie się 25 maja 2018 roku.

RODO przyniesie nowe uprawnienia dla osób, których dane są przetwarzane i zmiany dla administratorów, a więc przedsiębiorców, banków, organizacji czy innych instytucji zarządzających danymi. - To nowe obowiązki i większa odpowiedzialność, ale z drugiej strony - większa samodzielność i elastyczność w działaniu - mówi Generalny Inspektor Ochrony Danych Osobowych dr Edyta Bielak-Jomaa.

Unijne rozporządzenie zakłada, że kary za niedostosowanie się do przepisów wyniosą nawet 10 mln euro albo 2 proc. obrotu firmy. Naruszenie przepisów (np. prawa do sprostowania czy usunięcia danych) będzie jeszcze bardziej dotkliwe finansowo, ponieważ kary mogą sięgnąć nawet 20 mln euro albo 4 proc. rocznego, światowego obrotu przedsiębiorstwa.

Edyta Bielak-Jomaa zaznacza, że administratorom przetwarzającym nasze dane nie zostało wcale tak dużo czasu na przygotowanie się do RODO.

- Zwlekanie z przygotowaniem się do RODO działa na niekorzyść przedsiębiorców, gdyż przeprowadzenie odpowiednich analiz, opracowanie i wdrożenie nowych procedur czy na przykład dokonanie oceny ryzyka jest czasochłonne - zauważa.

Zgoda na przetwarzanie danych

Jak polscy administratorzy danych powinni przygotowywać się do RODO?

- Jeśli jeszcze dotąd tego nie zrobili, to w pierwszej kolejności powinni dokonać wewnętrznego audytu, przeglądu procesów i działań, które podejmują w związku z przetwarzaniem danych osobowych. Powinni sprawdzić, jakie dane przetwarzają, na jakiej podstawie prawnej, czy te dane są nadmiarowe, czy adekwatne do celów - radzi Generalny Inspektor Ochrony Danych Osobowych.

Dr Bielak-Jomaa zwraca również uwagę na bardzo ważny element zgód na przetwarzanie danych. Jeśli przesłanką uprawniającą do przetwarzania danych osobowych są zgody, to podmioty, które się na nie powołują, powinny przeanalizować, czy spełniają one warunki wskazane w rozporządzeniu, a więc czy są wyrażone dobrowolnie, na przetwarzanie konkretnych danych w precyzyjnie określonych celach. Czy były podejmowane świadomie i wyrażone w sposób niebudzący wątpliwości? Jeśli tak, to co do zasady zachowują one swoją ważność. Jeśli nie - trzeba będzie uzyskiwać je od nowa - ostrzega.

GIODO przypomina, że dla wszystkich, którzy borykają się z problemami przy dostosowaniu swoich procedur do wymogów RODO, urząd przygotowuje specjalne publikacje mające zwiększać rozumienie nadchodzących zmian, w szczególności - uczyć podejścia opartego na ryzyku.

- Szacowanie ryzyka to proces ciągły, który powinien być przeprowadzany przy użyciu konkretnej metody, zapewniającej stosowanie jednolitych definicji i pojęć - mówi dr Bielak-Jomaa.

Zmiana prawa

Dr Edyta Bielak-Jomaa zwraca także uwagę na konieczność dalszej pracy przy przepisach wdrażających RODO w Polsce.

- Do projektów polskich ustaw związanych z reformą prawa ochrony danych osobowych zgłosiliśmy ponad 140 stron uwag, wskazując, że wiele proponowanych rozwiązań obniża poziom ochrony danych osobowych obywateli, który - zgodnie z rozporządzeniem - miał ulec wzmocnieniu - mówi. - Dlatego na kolejnych etapach procesu legislacyjnego będziemy zabiegać o zapewnienie spójności przyszłego systemu ochrony danych osobowych w Polsce z założeniami unijnej reformy ochrony danych, o to, by prawa i wolności osób, których dane są przetwarzane, były w polskim prawie odpowiednio zagwarantowane - deklaruje GIODO.