Jedna z największych zmian dla przedsiębiorców w 2018 roku dotyczy rozporządzenia Unii Europejskiej, które standaryzuje wszystkie procesy związane z przetwarzaniem danych osobowych. Firmy muszą przygotować się i wdrożyć odpowiednie procedury do 25 maja przyszłego roku, czyli dnia w którym rozporządzenie RODO zacznie obowiązywać. Czy jest owe RODO i jakie elementy składają się na jego całość, dowiesz się z niniejszego artykułu.
Czy kwestia RODO dotknie wszystkich firm w Polsce?
RODO jest skrótem od Rozporządzenia o Ochronie Danych Osobowych. Zgodnie z powyższym, uwzględnia ono szereg czynności, które dotyczą przetwarzania danych osobowych tj. imię, nazwisko, adres zamieszkania, a nawet adres email. W związku z tym, jeżeli prowadzisz działalność i przetwarzasz w jakikolwiek sposób dane klientów (np. w celu realizacji sprzedaży) – musisz się dostosować do nowych wymogów unijnych. Co ważne, zakres RODO jest bardzo szeroki, ale jednocześnie niezbyt szczegółowy – nie uwzględnia m.in. technicznych aspektów przetwarzania informacji. Może to w pewien sposób zrodzić pytania, czy zastosowane technologie w firmie X są właściwe do uzyskania efektu, który jest przez RODO wymagany.
Zanim jednak RODO wejdzie w życie, światło dzienne ujrzy nowelizacja ustawy o ochronie danych osobowych, która wyjaśni kwestie pominięte w unijnym rozporządzeniu. Polscy przedsiębiorcy powinni ją jednak potraktować jako uzupełnienie dyrektywy UE. RODO pozostaje głównym dokumentem, wedle którego firmy powinny dostosować swoje rozwiązania.
RODO – najważniejsze zmiany
Z perspektywy właściciela polskiej firmy kluczowe są elementy, które należy niezwłocznie zmienić w obecnych procesach przetwarzania danych klientów. RODO kładzie szczególny nacisk na takie kwestie jak:
- Procedura „Privacy be design” – dotyczy ona uwzględniania ryzyka przetwarzania danych w systemach, aplikacjach i innych rozwiązaniach stosowanych w firmie. Bezpieczeństwo danych powinno być elementem wbudowanym na stałe w rozwój obecnych narzędzie oraz tworzenie nowych. Procedura ta będzie działać równolegle z inną procedurą „Privacy by default”, która nakazuje administratorowi korzystać z takich środków, które przetworzą wyłącznie niezbędne dane do osiągnięcia konkretnego celu. Polityka ta będzie dotyczyć ilości zbieranych informacji, a także przechowywania, czy dostępności.
- Utworzenie rejestru naruszeń oraz czynności przetwarzania – RODO wymagać będzie od przedsiębiorców, aby Ci prowadzili rejestr wszystkich zdarzeń, które przyczyniły się do naruszenia bezpieczeństwa przetwarzania danych. W momencie odnotowania jakiegokolwiek incydentu firmy będą mieć obowiązek wysłania do GIODO stosownego zgłoszenia (w ciągu maksymalnie 72 godzin), a w przypadku konkretnych klientów – wysłania do nich stosownej informacji.
- Rozszerzenie praw osób, których dane są przetwarzane – w skrócie, firmy będą zobowiązane do niezwłocznego udostępnienia danych zainteresowanym użytkownikom, Ci z kolei w ramach ustawowego prawa do bycia zapomnianym mogą zażądać całkowitego usunięcia danych, które przetwarza np. sklep internetowy. Dotyczy to również danych zawartych m.in. w kopiach zapasowych.
- Uwzględnienie współadministratora danych osobowych – rola współadministratora pojawia się w momencie, gdy nad celem i sposobem przetwarzania danych pracuje 2 administratorów. Taki podział obowiązków może być realizowany w firmach z tej samej grupy kapitałowej.
- Dodanie roli Inspektora Ochrony Danych Osobowych – obecne regulacje dotyczące przetwarzania danych wymagają od przedsiębiorców wyznaczenia pracowników do roli Administratora Danych Osobowych (ADO) oraz Administratora Bezpieczeństwa Informacji (ABI). RODO wprowadzi w tym zakresie zmiany, gdy ABI zostanie docelowo zastąpiony stanowiskiem Inspektora Ochrony Danych Osobowych, które to oprócz obowiązków ABI otrzyma nowe uprawnienia m.in. dotyczące egzekwowania obowiązków przy przetwarzaniu danych osobowych.
Co z GIODO?
Polscy przedsiębiorcy muszą mieć również świadomość, że wejście w życie RODO zwiększy również kompetencje GIODO w kwestii przyznawania kar. Kary mogą być nałożone w wyniku odnotowania uchybień w przetwarzaniu danych osobowych i sięgać mogą nawet kilku milionów Euro. Dlatego też warto zadbać o wprowadzenie wszystkich procedur, które dostosują firmę do wymagań RODO. Zmiany w przepisach wejdą w życie 25 maja 2018 roku.
Materiał został przygotowany we współpracy z firmą Rzetelna Grupa, która jest partnerem home.pl w dostarczaniu kompleksowych usług doradczych dla sklepów internetowych.
