Bądź mądry przed szkodą – nadchodzi RODO

Generalne Rozporządzenie o Ochronie Danych Osobowych – w skrócie RODO – wchodzi w życie już 25 maja 2018 roku. Oznacza to szereg obligatoryjnych zmian, które będą dotyczyć wszystkich przedsiębiorców – od wielkich korporacji po najmniejsze rodzinne firmy. To już najwyższy czas, by przygotować się na nowe regulacje.

Rozporządzenie, przyjęte w kwietniu 2016 roku przez Parlament Europejski i Radę Unii Europejskiej, w jednolitej formie obowiązywać będzie we wszystkich krajach członkowskich UE, a stosować będą się do niego musieli także kontrahenci spoza Unii.

 

Wyzwanie dla przedsiębiorców

Próżno jednak szukać w treści rozporządzenia szczegółowych wytycznych, których wdrożenie w firmie wystarczyłoby, aby dane osobowe były właściwie przechowywane. Ustawodawca – biorąc pod uwagę dynamiczny rozwój technologii, a także różnorodność przedsiębiorstw, uniemożliwiającą stworzenie wyczerpującego zbioru zasad – postawił na ogólne wskazania, które w ciągu lat nie będą tracić aktualności, a więc i wymuszać wprowadzania coraz nowszych poprawek.

Dla przedsiębiorców oznacza to jednak niemały ból głowy – interpretacja przepisów będzie indywidualną kwestią każdej firmy i to właściciele będą musieli zadecydować, jakie działania wdrożyć, aby w niczym nie uchybić prawu.

 

Dane według RODO

Kluczowym pojęciem w rozporządzeniu są oczywiście „dane osobowe”, definiowane jako „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować na podstawie:

  • imienia i nazwiska,
  • numeru identyfikacyjnego,
  • danych o lokalizacji,
  • identyfikatora internetowego
  • jednego bądź kilku szczególnych czynników określających: fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

W praktyce oznacza to, że każdy przedsiębiorca, który gromadzi lub w jakikolwiek inny sposób przetwarza powyższe dane – nawet w tak ograniczonym stopniu, jak np. prowadząc stronę internetową, która za pomocą plików cookies rejestruje numery IP odwiedzających ją gości – będzie musiał wykonać szereg czynności związanych z implementacją RODO.

 

Lepiej zapobiegać…

Czyli… właściwie co?

Przede wszystkim, każdy przedsiębiorca musi przeprowadzić w swojej firmie audyt, który zweryfikuje aktualną sytuację w zakresie przetwarzania danych osobowych – tłumaczy Monika Puszkarska, prawnik firmy Comarch SA.Należy zbadać, jakie konkretnie dane przetwarzamy, w jakim celu to robimy i czy zakres, w którym je zbieramy, jest faktycznie niezbędny dla deklarowanego celu. Tam, gdzie audyt wykaże naruszenia, należy oczywiście jak najszybciej wdrożyć działania korygujące.

Wszyscy przedsiębiorcy będą musieli się także zatroszczyć o zabezpieczenie danych – przed ewentualnym ich wyciekiem w wyniku np. hakerskiego ataku. – Jeśli dojdzie do takiego incydentu – dodaje Puszkarska – będziemy musieli sami go zgłosić do GIODO w ciągu 72 godzin od wystąpienia.

 

… niż płacić

Wśród nowości, które przyniesie ze sobą RODO, warto wspomnieć jeszcze o „prawie do bycia zapomnianym”, na mocy którego każda osoba, której dotyczą przetwarzane dane, będzie mogła zażądać natychmiastowego ich usunięcia, a administrator danych zobowiązany będzie takie żądanie spełnić.

Pamiętajmy także o prowadzeniu tzw. „rejestru czynności przetwarzania”, do którego prawnie zobligowane będą wszystkie firmy zatrudniające powyżej 250 pracowników, ale także te mniejsze, w których przetwarzanie danych nie ma sporadycznego charakteru.

Z RODO lepiej nie igrać i lepiej sumiennie rozsądzić, które czynności powinniśmy wykonywać – uzupełnia Monika Puszkarska. – W przypadku naruszenia prawa, przewidziano poważne kary, których wysokość sięgać może nawet 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa. Systemy IT będą kluczowe w dostosowaniu przedsiębiorstwa do wymogów RODO, w kwestiach takich jak np. odpowiednie przechowywanie danych czy wyegzekwowanie prawa do bycia zapomnianym. Przewagą systemów Comarch zawsze było bezpieczeństwo i zgodność z przepisami. Pracujemy nad uzupełnieniem naszych systemów o elementy, które pomogą klientom w pełni zrealizować wymogi RODO.