KTO SIĘ BOI RODO ?
Od kilku tygodni, gorącym tematem, zwłaszcza w kręgach biznesowych, jest RODO, które weszło już w życie od 25 maja br. Najwięcej emocji wywołuje wysokość kar, które mogą zostać nałożone w przypadku braku przestrzegania zasad RODO. Mowa tu o karach do 20 milionów EURO lub do 4% światowego obrotu za rok poprzedni. Jest się czym martwić ! Czas najwyższy zatem odpowiedzieć sobie na kilka podstawowych pytań:
- Po co to RODO?
- Czy mnie to dotyczy?
- Czy jestem przygotowany na RODO?
- Kto może mi pomóc?
Spróbuję pokrótce odpowiedzieć na te pytania poniżej.
Grafika jest własnością firmy C&F Sp z o.o. i pochodzi ze strony www.adaptiverodo.pl
Po co to RODO?
Otóż RODO jest po to, aby lepiej chronić nasze dane osobowe, nasze podstawowe prawa i wolności, w tym tak ważne dla nas prawo do prywatności. Poprzednie przepisy, czyli przede wszystkim ustawa z roku 1997, nie były dość skuteczne. Raczej nie czytaliśmy o odstraszająco wysokich karach za brak zachowania podstawowych zasad ochrony danych osobowych lub zatrzymaniach osób za kradzież tych danych. Ja w każdym razie nie słyszałam o takich sytuacjach.
Ponadto, obowiązujące do 24 maja br. przepisy bardzo się zdezaktualizowały. Z uwagi przede wszystkim na rozwój nowoczesnych technologii w ostatnim dwudziestoleciu, odejście od tradycyjnej formy danych (tzw. papierowych) do elektronicznych, rozwój Internetu, powstanie portali społecznościowych itp. Każdy, kto doświadczył na własnej skórze tzw. „kradzieży tożsamości”, wie jak ważna jest ochrona danych i szybka informacja o zaistniałym incydencie, aby zminimalizować skutki tego zdarzenia.
Właśnie po to Unia Europejska ustaliła jednolite zasady ochrony danych osobowych dla wszystkich przedsiębiorców działających na terenie Wspólnoty i przetwarzających dane osobowe.
Czy Ciebie RODO dotyczy?
Jeśli prowadzisz działalność gospodarczą, bez względu na formę (np. jako osoba fizyczna lub spółka z o.o.) to z dużym prawdopodobieństwem odpowiedź brzmi TAK ! Zwykle zatrudniasz pracowników, przetwarzasz dane osobowe klientów lub innych kontrahentów. Nie unikniesz zatem obowiązków, które RODO nakłada na przedsiębiorcę – zwanego w RODO Administratorem. Jakie to obowiązki, dowiesz się w kolejnych moich artykułach.
Czy jesteś przygotowany na RODO?
W dużej mierze ma znaczenie w jaki sposób dotychczas troszczyłeś się o dane osobowe w swojej firmie. Wbrew obiegowej opinii RODO to nie rewolucja w odniesieniu do ustawy z 1997r. Pewne zasady obowiązywały już poprzednio np. uzyskiwanie zgody na przetwarzanie danych osobowych, czy też obowiązek informacyjny wobec pracowników i klientów. Obecnie zakres tych informacji został znacznie poszerzony.
Jeśli dotychczas nie wdrożyłeś zasad ochrony danych osobowych w swojej firmie, lub robiłeś to niejako intuicyjnie, kierując się tylko tzw. zdrowym rozsądkiem, to musisz poznać podstawowe wymagania RODO, a zatem raczej nie obejdzie się bez szkolenia!
RODO ma około 100 stron tekstu, a wytyczne do poszczególnych punktów liczą po kilkadziesiąt stron, więc przebrnąć przez to samodzielnie, to naprawdę jest spore wyzwanie!
Warto zastanowić się nad wyznaczeniem do procesu wdrożenia zaufanego i rzetelnego pracownika, który dobrze zna firmę i zachodzące w niej procesy, abyś Ty mógł spokojnie zająć się tym co robisz najlepiej, czyli zarabianiem pieniędzy.
Pracownik taki powinien pozyskać potrzebną wiedzę o RODO np. na szkoleniu, a następnie przy Twoim wsparciu rozpocząć wdrażanie RODO w przedsiębiorstwie. Niezbędna będzie ścisła współpraca z informatykiem, który między innymi oceni poziom stosowanych zabezpieczeń informatycznych (firewalle, antywirusy, backupy) i określi potencjalne zagrożenia z tym związane. W większych firmach sugeruję utworzyć Zespół składający się dodatkowo z przedstawicieli takich obszarów jak HR, marketing, księgowość, administracja itp.
Źródło: www.doxinfo.com
Harmonogram RODO
Po zapoznaniu się z podstawowymi wymaganiami RODO, warto opracować krótki harmonogram, który rozpocznie się od swego rodzaju inwentaryzacji, która udzieli odpowiedzi na poniższe pytania:
- jakie procesy zachodzą w firmie, w ramach których przetwarzane są dane osobowe,
- czyje dane są przetwarzane,
- jakie kategorie danych są przetwarzane w Twojej firmie np. imię i nazwisko, pesel, adres do korespondencji, nr telefonu, email itd,
- czy oprócz danych zwykłych występują też dane wymagające szczególnej ochrony tzw. dane szczególne nazywane też wrażliwymi,
- w jakim celu przetwarzane są te dane,
- co daje podstawę do ich przetwarzania (np. przepisy prawa, zgoda, umowa itd.),
- w jaki sposób dane te są pozyskiwane (od kogo),
- czy te dane są niezbędne, w tym czy ich zakres nie jest zbyt szeroki,
- jak długo dane są przetwarzane (w tym archiwizowane) i z czego to wynika,
- w jaki sposób są przetwarzane (np. elektronicznie w systemach informatycznych),
- gdzie są przechowane dane i jakie stosowane są zabezpieczenia (fizyczne, techniczne, organizacyjne),
- komu je przekazujesz (powierzasz lub ujawniasz),
- kto w Twoim imieniu przetwarza dane osobowe.
Zebrane dane, w przypadku większych przedsiębiorstw (zatrudniających powyżej 250 pracowników) zostaną wykorzystane do opracowania rejestru czynności przetwarzania danych osobowych. Jest to jeden z najważniejszych dokumentów wymaganych przez RODO.
Wracając do harmonogramu, zwykle składa się z kilkunastu punktów i czas na jego wdrożenie to minimum kilka tygodni.
Zależy to przede wszystkim od:
- rozmiaru przedsiębiorstwa, w tym liczbie lokalizacji,
- rodzaju działalności, w tym jakie procesy związane z przetwarzaniem danych osobowych zachodzą w firmie,
- czy zlecasz procesy na zewnątrz np. obsługa informatyczna, rekrutacja pracowników, biura rachunkowe, outsourcing zarządzania kadrami itp.
Istotne znaczenie ma znajomość wymagań RODO przez pracowników biorących udział we wdrożeniu oraz poziom ich zaangażowania w proces wdrożenia, a także świadomość konsekwencji niespełnienia wymagań. Ułatwieniem będzie wdrożony w firmie system zarządzania tzw. ISO, który opisuje realizowane procesy w przedsiębiorstwie.
Kto może mi pomóc?
Jeśli podejmiesz decyzję, że samodzielne wdrożenie to dla Ciebie zbyt duże wyzwanie lub zwyczajnie nie masz na to czasu, oczywiście możesz skorzystać z dostępnych na rynku konsultantów.
Pamiętaj jednak, że ochrona danych to proces ciągły i na wdrożeniu się nie kończy. Wszelkie zmiany mające wpływ na przetwarzanie danych osobowych (np. zakup nowego systemu informatycznego, nowy proces) wymagają każdorazowej oceny pod kątem spełnienia wymagań RODO. Wprowadzenie choćby monitoringu wizyjnego wymaga prawidłowego poinformowania osób znajdujących się w zasięgu kamery. Konieczność przeprowadzenia oceny, czy incydent (naruszenie danych osobowych), który wystąpił wymaga zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych. W tym przypadku kara za niezgłoszenie zdarzenia do 72h od momentu stwierdzenia incydentu też jest bardzo wysoka. Wynosi ona nawet do 10 milionów EURO lub do 2% obrotu przedsiębiorstwa.
Dlatego też taka współpraca nie może zakończyć się tylko na wdrożeniu. Chyba, że w tzw. między czasie uzupełnisz swoją wiedzę w tym zakresie lub wyznaczysz w firmie kompetentną osobę – Inspektora Ochrony Danych (IOD), który będzie „ogarniał” te tematy.
Źródło: Pexels.com
Inspektor Danych Osobowych (IOD)
Może się zdarzyć, że będziesz musiał powołać IOD, dziś tylko krótko wspomnę, że zgodnie z RODO dotyczy to przedsiębiorstw, których główna działalność polega na:
- operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę np. firmy świadczące usługi ochrony mienia z zastosowaniem monitoringu, banki, ubezpieczyciele,
- przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (np. szpitale) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Dla pozostałych firm powołanie Inspektora Ochrony Danych jest dobrowolne, reasumując większości branż ten obowiązek nie dotyczy. W jednym z kolejnych artykułów rozwinę szerzej temat IOD.
Wracając do tematu, podjęcie decyzji o tak zwanym zewnętrznym wsparciu we wdrożeniu RODO i ewentualnym nawiązaniu stałej współpracy z konsultantem należy dokładnie przemyśleć. Uwzględniając oczywiście związane z tym koszty takich usług. Być może też spotkałeś się z ostrzeżeniem w mediach, że na rynku pojawiają się oferty wdrożenia RODO potwierdzone Certyfikatem. Na chwilę obecną nie ma takich certyfikatów, które mogłyby zagwarantować Ci ochronę przed kontrolą lub ewentualnymi karami, ktoś kto to oferuje jest zwykłym naciągaczem i oszustem.
Podsumowując, po wdrożeniu RODO, powinniśmy wszyscy zauważyć realne korzyści, wynikające z podniesienia standardów ochrony naszych danych osobowych. Choć pozornie będzie można odnieść wręcz przeciwne wrażenie. Dowiemy się np. o wycieku naszych danych, a dotychczas firmy niechętnie informowały o takich incydentach, obawiając się utraty reputacji i wiarygodności w oczach swoich klientów i opinii publicznej.
Jako przedsiębiorcy, bo do Was skierowany jest ten artykuł, macie aktualnie bez wątpienia więcej obowiązków, które, jeśli wejdą Wam w nawyk, to uchronią Was przed ewentualnymi skargami do Prezesa Urzędu Ochrony Danych Osobowych i dotkliwymi karami. Na koniec przytoczę dwie bardzo ważne definicje z RODO, od których edukację należy zacząć cdn. J
Dane osobowych wg RODO
„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Przetwarzanie danych osobowych wg RODO
„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Jest to zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.