W trakcie otwartego spotkania dla przedsiębiorców dotyczącego reformy prawa ochrony danych osobowych, które odbyło się na początku lutego w Ministerstwie Cyfryzacji, poinformowano, że do przedstawienia projektu nowej ustawy dopełniającej obowiązujące na terytorium UE ogólne rozporządzenie o ochronie danych osobowych powinno dojść w kwietniu 2017 r.
Co więcej, z powyższą regulacją ma być związany cały pakiet legislacyjny dotyczący zmiany poszczególnych przepisów ustaw określających zasady przetwarzania danych osobowych w ramach takich sektorów jak bankowy czy ubezpieczeniowy.
W tym samym terminie należy spodziewać się zaprezentowania projektu ustawy o krajowym systemie cyberbezpieczeństwa, która będzie dotyczyć zdefiniowanych w dyrektywie NIS operatorów tzw. usług kluczowych (np. przedsiębiorstwa energetyczne, instytucje kredytowe) oraz dostawców usług cyfrowych (np. podmioty świadczące usługi przetwarzania w chmurze). Z kolei 13 stycznia 201 8 r . upływa termin implementacji w ustawodawstwach krajowych dyrektywy PSD II, która będzie dotyczyć m.in. banków, SKOK-ów oraz krajowych instytucji płatniczych.
Dostosowanie się do powyższych regulacji będzie wymagało od poszczególnych kategorii przedsiębiorców wprowadzenia zmian nie tylko o charakterze prawnym (jak na przykład zmiana treści umów o powierzenie przetwarzania danych osobowych), ale przede wszystkim technicznym (np. zabezpieczenie systemu teleinformatycznego, wprowadzenie silnego uwierzytelnienia transakcji) i organizacyjnym (np. ustanowienie odpowiednich procedur dotyczących np. informowania o incydentach bezpieczeństwa). Co ciekawe, będziemy mieć również do czynienia z podmiotami, które będą zmuszone dostosować się np. do dwóch z trzech wymienionych powyżej nowych regulacji jednocześnie.
Przykładowo podmiot świadczący usługi przetwarzania w chmurze będzie zobowiązany do zgłaszania bez zbędnej zwłoki incydentów mających istotny wpływ na świadczenie usługi (taki obowiązek ma wynikać z ustawy o krajowym systemie cyberbezpieczeństwa) oraz równocześnie do zgłaszania naruszenia ochrony danych osobowych w ciągu 72 godzin (ten obowiązek z kolei wynika z ogólnego rozporządzenia o ochronie danych osobowych). W wielu przypadkach obydwa obowiązki będą związane z zaistnieniem tego samego zdarzenia. Po stronie przedsiębiorstwa będzie zatem leżało zorganizowanie swojej działalności w taki sposób, aby pokrywające się obowiązki były realizowane w ramach np. jednej wewnętrznej procedury.
W konsekwencji nadchodzące zmiany wymuszą na przedsiębiorcach stworzenie, a w niektórych sytuacjach rozwinięcie ich wewnętrznych systemów kontroli zgodności z prawem (system compliance). W przypadku większych organizacji będzie to wymagało szczegółowego planu działania, wyznaczenia odpowiedzialnych za dany obszar zespołów oraz precyzyjnego wskazania rezultatów, jakie powinny zostać osiągnięte (np. konkretne procedury, które uwzględniają wiele regulacji równocześnie). Dodatkowo będzie istniała możliwość uzyskania odpowiedniego certyfikatu w zakresie ochrony danych osobowych, jaki będzie przyznawany przez specjalnie akredytowane do tego celu podmioty (również te pochodzące spoza Polski). Powyższe będzie tym bardziej uzasadnione, iż np. odnośnie do ochrony danych osobowych prz yjęto zasadę, w myśl której to na przedsiębiorcach będzie spoczywał obowiązek dokonania oceny tego, jakie środki zapewnią wymagany poziom ochrony ww. danych. Stworzony w ramach przedsiębiorstwa wewnętrzny system kontroli zgodności z prawem powinien zatem służyć do dynamicznego zarządzania ryzykiem praw nym, a nie tylko dostosowywania określonych aktywności przedsiębiorcy do obowiązujących przepisów.