RODO: czy wprowadziłeś niezbędne zmiany? Poradnik przedsiębiorcy

28 maja 2018 (artykuł sprzed 2 lat)

W piątek weszło w życie Rozporządzenie o Ochronie Danych Osobowych (RODO). Nieważne czy prowadzisz jednoosobową działalność, czy dużą firmę: RODO dotyczy każdego.



Jakie zmiany czekają polskich przedsiębiorców? Co należy wiedzieć o nowych zasadach przetwarzania danych osobowych? Jakie grożą kary? Postaramy się odpowiedzieć na te zagadnienia.

Czym jest Rodo?

To Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Reguluje i standaryzuje zbieranie, przetwarzanie danych osobowych.

Zwykłym ludziom uświadamia kto i w jakim celu zbiera ich dane, oraz w jaki sposób je wykorzystuje. Przedsiębiorcom nakazuje w prosty sposób udostępniać te dane użytkownikom, ale przede wszystkim dbać o ich ochronę.

Regulator nie precyzuje, jakie narzędzia muszą zostać użyte w celu ochrony danych, ale w bardzo przejrzysty sposób określił siedem zasad ich wprowadzania

1. Dane osobowe muszą być:

  • a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość");
  • b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu");
  • c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych");
  • d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość");
  • e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania");
  • f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").

Przepisy RODO wprowadzają wiele zmian w podejściu do ochrony danych osobowych między innymi:

  • konieczność uwzględnienia ochrony danych osobowych już w fazie projektowania rozwiązań informatycznych;
  • obowiązek prowadzenie rejestru czynności przetwarzania danych osobowych;
  • obowiązek przeprowadzania analizy skutków działań przedsiębiorcy pod kątem ochrony danych osobowych;
  • obowiązek  zawiadamiania organu nadzoru o naruszeniu zasad ochrony danych osobowych.

Jakie grożą kary?

Wysokość kar wynosi od 10 do 20 mln euro lub od 2 do 4 proc. obrotów firmy

Jak sprawdzić czy twoja firma jest przygotowana na wejście w życie RODO?

  • Sprawdź, jakie dane osobowe są przetwarzane w firmie i czy robisz to legalnie. Upewnij się, że masz zgodę na przetwarzanie danych od osób, których te dane dotyczą - i że przetwarzanie jest niezbędne, np. do wykonania umowy czy wypełnienia obowiązków prawnych
  • Zweryfikuj zakres i cel przetwarzania danych, a także ich merytoryczną poprawność. Sprawdź, czy pasują do celu, w jakim je przetwarzasz - np. czy nie przetwarzasz danych takich jak adres zamieszkania w sytuacji, gdy do realizacji celu potrzebny jest Ci tylko adres e-mail
  • Zweryfikuj system techniczno-organizacyjny ochrony danych osobowych. Przeanalizuj fizyczne i logiczne zabezpieczenia infrastruktury informatycznej
  • Przeanalizuj polityki bezpieczeństwa, backupu i zarządzania uprawnieniami oraz określ ich wpływ na poziom zabezpieczenia zbiorów danych przetwarzanych w formie elektronicznej
  • Zweryfikuj poziom wiedzy i świadomości pracowników w zakresie ochrony danych osobowych

Jeśli nie jesteś w stanie samodzielnie zabezpieczyć danych, skorzystaj z pomocy specjalizującej się w tym temacie firmy. To ważne.

O wdrażaniu RODO opowiada Bartosz Weiland, właściciel specjalizującej się w tym firmy Bartusz.

Czy firmy z Trójmiasta są przygotowane na wejście Rodo?

Z naszych informacji wynika, że około 10%-20% przedsiębiorstw jest przygotowanych i świadomych zmian, jakie weszły w życie 25 maja. Jest większa w dużych korporacjach, które mają swoje zespoły informatyków. W małych i średnich firmach sytuacja jest dramatyczna. Wielu nie zdaje sobie sprawy z wagi zmian, które wnosi RODO, oraz wysokości kar finansowych.

Jak wygląda wprowadzenie RODO w firmie?

Na pierwszym spotkaniu zapoznajemy się z profilem działalności klienta. Każda firma potrzebuje indywidualnego podejścia. Mamy gotowe rozwiązania dla każdej wielkości firmy, które szybko zostają wdrożone. Staramy się ujednolicić pracę wszystkich komputerów pod względem RODO. Na koniec wprowadzamy audyt wewnętrzny zabezpieczeń oraz wystawiamy certyfikat.

Ile czasu zajmuje wprowadzenie RODO w firmie i ile to kosztuje?

To zależy od wielkości firmy, profilu działalności, ilości komputerów. Zazwyczaj jest to parę dni. Staramy się nie paraliżować pracy firmy podczas wprowadzania systemu zabezpieczeń. Dostosowujemy się. Trudno podać konkretną kwotę. Wszystko zależy od ilości wprowadzanych zmian i potrzeby zakupu sprzętu. Firma posiadająca jeden komputer bez rozbudowanych baz danych nie zapłaci więcej niż kilkaset złotych.

* możliwość dodania komentarzy lub jej brak zależy od decyzji firmy zlecającej artykuł