Jak wprowadzić RODO w firmie?
E-biznes

Jak wdrożyć RODO w firmie – 10 faktów, o których warto wiedzieć

Już 25 maja obowiązywać będzie nowe Rozporządzenie Ochrony Danych Osobowych, w wyniku którego polskie firmy muszą dostosować swoje systemy informatyczne do wymogów Unii Europejskiej oraz ustawy o ochronie danych, uchwalonej przez Sejm. Na co zwrócić uwagę przy wprowadzaniu zasad nakreślonych przez RODO i od czego w ogóle zacząć?

1. Sprawdź, gdzie i w jaki sposób Twoja firma przetwarza dane osobowe

Podstawową czynnością, jaką powinna wykonać każda firma jest sprawdzenie, gdzie i w jaki sposób przetwarzane są dane klientów. Możliwości jest tutaj wiele, ponieważ uzależnione jest to od zastosowanych przez firmę technologii oraz systemów, służących do obsługi użytkowników. Zebranie jak największej ilości informacji ułatwi Ci wdrożenie zmian związanych z RODO i uniknięcie w ten sposób kar finansowych.

2. RODO to nie to samo co ustawa o ochronie danych

Rozporządzenie Ochrony Danych Osobowych to główne źródło nadchodzących zmian, jednakże nie można go mylić z ustawą o ochronie danych osobowych, która zostanie przedstawiona przez Urząd Ochrony Danych Osobowych (wcześniej Głównego Inspektora Ochrony Danych Osobowych – GIODO). Wynika to z faktu, że ustawa jedynie doprecyzuje obszary, dla których RODO pozostawiło taką ewentualność.

3. Zwróć uwagę, jak zbierasz w swojej firmie zgodę na przetwarzanie danych

RODO bardzo poważnie podchodzi do kwestii procesu udzielania zgody na przetwarzanie danych przez użytkownika. Mechanizm udzielania zgody powinien być czytelny i jasny np. w postaci odpowiedniego checkboxa przy rejestracji. Dodatkowo Administrator Danych Osobowych (czyli firma) powinien zadbać, aby opcja wycofania zgody na przetwarzanie była równie klarowna i dostępna. Ważne jest również to, że firmy, które zbierały zgody na podstawie zasad zawartych w RODO już wcześniej – nie muszą ponownie o to pytać użytkowników po 25 maja tego roku.

Jak wdrożyć RODO w e-sklepie i firmie – zarejestruj się na szkolenie internetowe

4. Osobna procedura zgody na przetwarzanie danych dla osób poniżej 13 roku życia

Firmy muszą przygotować swoje systemy na wypadek korzystania z ich usług przez osoby, które nie ukończyły 13 roku życia. Administrator Danych Osobowych musi wykazać, iż w tym przypadku korzysta ze zgody wyrażonej przez rodzica bądź opiekuna prawnego (np. na podstawie elektronicznego dokumentu), jak również musi wykazać, że posiada narzędzie/mechanizm do weryfikacji wieku użytkownika (np. odpowiednie pole w formularzu rejestracji).

5. Obowiązki informacyjne i klauzule na które trzeba zwrócić uwagę

Jako Administrator Danych Osobowych musisz zadbać o właściwe poinformowanie użytkowników, w jakim celu i przez kogo przetwarzane są dane osobowe. Niezbędne jest uwzględnienie w klauzulach danych swojej firmy, danych do kontaktu. Jeżeli wyznaczyłeś w firmie Inspektora Ochrony Danych (znany wcześniej jako Administrator Bezpieczeństwa Informacji – ABI), informacje o nim również powinny się w klauzuli znaleźć. Co ważne, RODO nakazuje, aby w klauzulach zawrzeć odbiorców danych osobowych lub kategorię odbiorców. Ma to fundamentalne znaczenie, gdy prowadzisz sklep internetowy i wykonujesz wysyłkę towarów poprzez firmy logistyczne – bez przetworzenia danych klienta taka wysyłka nie byłaby możliwa.

6. Prawo do bycia zapomnianym – kiedy ma ono zastosowanie?

RODO w swoich zapisach wyjaśnia, że Administrator Danych Osobowych powinien respektować możliwość żądania usunięcia danych przez osobę, jeżeli zachodzi jedna z poniższych sytuacji:

  • dane osobowe nie są potrzebne podmiotowi do realizacji celów, do których zostały zebrane,
  • użytkownik cofnął zgodę na przetwarzanie danych i nie istnieje inna  podstawa prawna do ich przetwarzania,
  • użytkownik wnosi sprzeciw wobec przetwarzania jego danych osobowych,
  • dane osobowe były przetwarzane w niewłaściwy, niezgodny z prawem sposób,
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego
    w prawie Unii lub prawie państwa członkowskiego, któremu podlega ADO;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

7. Nowe umowy powierzenia danych np. hosting

Bardzo popularnym rozwiązaniem były do tej pory umowy powierzenia danych dla GIODO, które wyczerpywały temat zabezpieczenia danych, w tym zastosowanych rozwiązań technicznych, do których Administrator Danych Osobowych nie miał dostępu (np. centrum danych firmy hostingowej). Zgodnie z RODO niezbędne jest wykonanie analizy czy tzw. procesorzy (firmy oferujące usługi informatyczne, które przechowują dane) zapewniają wystarczające bezpieczeństwo zgodne z RODO.

8. Pseudonimizacja i szyfrowanie danych

Firmy przetwarzające dane muszą mieć wprowadzić odpowiednie narzędzia do szyfrowania i pseudonimizacji danych. O procesie pseudonmizacji, czym jest i jakie są przykłady tego rozwiązania dowiesz się z TEGO ARTYKUŁU. RODO wymaga również, aby firma miała możliwość szybkiego przywrócenia dostępności danych na wypadek np. awarii fizycznej komputerów lub błędów w oprogramowaniu. Procedury odzyskiwania danych powinny być również przetestowane i w razie konieczności aktualizowane na bieżąco.

9. Prowadzenie rejestru czynności przetwarzania

Każda firma przetwarzająca dane powinna prowadzić rejestr, który zawierać będzie wszystkie kategorie czynności przetwarzania, dokonywane w imieniu administratora. RODO nie określa dokładnie, w jakiej formie taki rejestr musi zostać sporządzony – wybór między elektroniczną a papierową należy już do danej firmy. Ważne, aby był on odzwierciedleniem stanu faktycznego i zawierać powinien:

  • nazwę podmiotu (lub podmiotów), który przetwarza dane oraz administratorów, w imieniu których działa podmiot przetwarzający,
  • listę kategorii przetwarzań, wykonywanych w imieniu administratorów,
  • informację o przekazaniu danych osobowych do państwa trzeciego  – tylko jeżeli taka sytuacja ma miejsce,
  • opis środków technicznych, związanych z bezpieczeństwem tj. pseudonimizacja i szyfrowanie danych osobowych itd.

10. Jakie kary będą nakładane za naruszenia RODO?

Wymiar kary może być różny, w zależności od liczby zaniedbań firmy w kontekście procedur wymaganych przez RODO. Maksymalnie może to być jednak 4% rocznych obrotów przedsiębiorstwa lub 20 milionów Euro, jednakże te kwoty są bardzo elastyczne i nie wiadomo do końca jak na ewentualne uchybienia będzie patrzeć audytor. Największą stratą dla firmy może być jednak utrata dobrego wizerunku w oczach klientów. Bezpieczeństwo danych jest bowiem jednym z ważniejszych czynników przy budowaniu reputacji wiarygodnej marki.

Przeczytaj również:

Kiedy należy stosować zgody na przetwarzanie danych według RODO

Rozporządzenie RODO a profilowanie klientów w sklepach internetowych

Rozporządzenie RODO – czym jest pseudonimizacja?