Loading Posts...

25 maja 2018 r. wejdą w życie nowe przepisy regulujące ochronę danych osobowych. Unia Europejska wprowadza wiele zmian i obowiązków ujednolicających przepisy we wszystkich państwach członkowskich. Niestosowanie się do nich może skutkować surowymi karami. Co warto wiedzieć o RODO?

RODO obejmie każdego przedsiębiorcę – od jednoosobowych działalności gospodarczych po międzynarodowe korporacje. Jednym słowem – każdego, kto przetwarza dane osobowe klientów, kontrahentów i pracowników. Celem RODO jest rzetelna ochrona tych danych, m.in. umożliwienie wglądu, uzyskiwanie dokładnych informacji o celu i zakresie ich przetwarzania i możliwości usunięcia z konkretnej bazy danych.

W związku z tym na przedsiębiorcach spoczywa obowiązek wprowadzenia wielu usprawnień w firmach, aby do 28 maja funkcjonować zgodnie z przepisami. Lepiej nie odkładać tego na ostatnią chwilę – zmian jest sporo, a czasu niewiele.

Regulacje, jakie wprowadza RODO, to mi.in.:

  • ocena ryzyka przetwarzania danych,
  • rozszerzenie formuły zgody na przetwarzanie danych,
  • zmiana statusu Administratora Bezpieczeństwa Informacji na Inspektora Ochrony Danych, profilowanie,
  • raportowanie o własnych naruszeniach,
  • przetwarzania danych dziecka tylko za zgodą opiekuna.

Od czego zacząć? Przede wszystkim od zapoznania się z przepisami. Nie wszystkie będą przecież dotyczyć danego przedsiębiorstwa, np. ochrona danych dzieci niekoniecznie będzie miała zastosowanie w wielu firmach.

Pierwszym krokiem powinna być analiza posiadanych i przetwarzanych danych.

Należy dokładnie przeanalizować gdzie są przetrzymywane – jedynie online, kopie na dyskach twardych, kopie papierowe. W jaki sposób firma je pozyskuje – bezpośrednio od klientów? Kto ma do nich dostęp – jedynie pracownicy? Jeżeli tak, to ilu? Jaka jest podstawa prawna do ich przetwarzania? Wszystko powinno być udokumentowane, zaś zgody osób fizycznych na przetwarzanie danych – zaktualizowane.

Polityka prywatności to kolejny punkt, który trzeba wziąć pod uwagę. Dokument informujący o polityce prywatności musi zostać dostosowany do RODO. To samo tyczy się zbierania danych na stronach internetowych czy w bezpośrednim kontakcie z klientem. Informacje muszą być przekazywane zrozumiale przy zastosowaniu prostego języka. Trzeba także uczulić pracowników na stosowanie się do nowych wytycznych.

Dostosowanie systemów IT

RODO ma zapewnić osobom fizycznym, których dane będą w bazie danej firmy, możliwość ich korekty lub usunięcia (tzw. „prawo do bycia zapomnianym”), niestosowania marketingu bezpośredniego oraz automatycznego podejmowania decyzji i profilowania lub przenoszenia danych. Systemy stosowane w danej firmie muszą więc być współmierne z nowymi przepisami. Z pewnością najbardziej problematyczne może okazać się udostępnienie klientom dostępu do usuwania lub zmieniania danych.

Firmy będą musiały także ograniczyć liczbę nośników, na których będą przechowywane dane kontrahentów. Pracownicy nie będą mogli ich przenosić na inne urządzenia oraz kopiować.

Kwestia bezpieczeństwa danych jest nieco swobodniej potraktowana. RODO nie narzuca przedsiębiorcom sposobu postępowania – muszą stosować system współmierny z wymaganiami danej organizacji. Pojawi się także obowiązek monitorowania, raportowania i badania naruszeń ochrony danych osobowych. Każde naruszenie należy zgłaszać do organów nadzorczych w ciągu 72 godzin od wykrycia.

Marketing bezpośredni

Rozporządzenie wpływa również na procesy związana z marketingiem bezpośrednim, pozyskiwaniem danych czy uzyskiwanie zgody na przetwarzanie danych. Na firmie będzie obowiązek tworzenia m.in. cyklicznych analiz ryzyka przetwarzania danych czy ocen skutków przetwarzania, prowadzenia rejestru czynności przetwarzania oraz informowania o wyciekach danych. Często konieczne będzie więc stworzenie nowej posady dla pracownika, który będzie wykonywał te czynności.

RODO reguluje także ochronę danych dzieci. Wiek dziecka będzie weryfikowany, natomiast zgodę na przetwarzanie danych przedsiębiorca będzie musiał uzyskać od rodziców lub opiekunów prawnych.

RODO wymaga zatrudnienia osoby, której głównym zadaniem w firmie będzie przestrzeganie danych osobowych. Ma to być odpowiednik Administratora Bezpieczeństwa Danych. Obecność Inspektora w będzie obligatoryjna w firmach, w których będzie to konieczne z uwagi na zakres i charakter przetwarzania danych.

Kary

Niedostosowanie się do przepisów wiąże się oczywiście z określonymi karami. Ich maksymalny poziom wynosi aż 20 mln euro lub  4% całkowitego rocznego światowego obrotu przedsiębiorcy z roku obrotowego poprzedzającego naruszenie. Kary będą nałożone na przedsiębiorstwa, które nie stosują się do przepisów lub nagminnie nie naruszają.

RODO obejmuje niemal każdą sferę działalności firmy – pracowników, klientów, sektor IT, prawników. W dodatku cała odpowiedzialność za wdrażanie nowych procedur chroniących dane osobowe oraz związane z tym koszty leży po stronie przedsiębiorców. Z drugiej jednak strony, biorąc pod uwagę niebezpieczeństwo wynikające z cyberzagrożeń, nowe regulacje mogą być bardzo przydatne. RODO wspomoże procesy zapobiegania wyciekania danych i pozwoli skutecznie na nie reagować.

 

Cały tekst rozporządzenia dostępny tu.

Jakie inne zmiany czekają na nas w 2018 r.?

 

0.00 śr ocena (0% wynik) - 0 liczba głosów

Kamila Horodecka

Studentka kierunku Finanse w Przedsiębiorstwach na Wydziale Ekonomicznym Uniwersytetu Gdańskiego. Obecnie przygotowująca się do egzaminów ACCA w zakresie rachunkowości i finansów, w tym kontrolingu oraz audytu przedsiębiorstw. Prywatnie miłośniczka kotów i ciężkich brzmień.

Leave a Comment

Loading Posts...