Materiał Partnera

Czym jest RODO, ogólne rozporządzenie o ochronie danych?

Czym jest RODO, ogólne rozporządzenie o ochronie danych?

Ogólne rozporządzenie o ochronie danych wywołało spore zamieszanie wśród przedsiębiorców. Termin wprowadzenia niezbędnych zmian upłynął 25 maja 2018. Obecnie wszystkie firmy zobowiązane są do przestrzegania oraz wdrożenia wytycznych GDPR. Za nieprzestrzeganie przepisów grożą dotkliwe kary – dlatego warto wiedzieć, czym jest RODO i jak wdrożyć zmiany w firmach, w których gromadzone są dane osób fizycznych.

 

Krótko o RODO: Ogólnym rozporządzeniu o ochronie danych

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Tak w całości brzmi rozporządzenie, które określa się skrótem GDPR lub RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych). Regulacja weszła w życie 25 maja 2018, po dwuletnim okresie przejściowym. Przepisy są wiążące dla każdego przedsiębiorcy, który oferuje produkty lub usługi osobom fizycznym na terenie Unii Europejskiej. Nie musi przy tym posiadać siedziby swojego przedsiębiorstwa na terenie UE – wystarczy, że jego oferta kierowana jest do osób tu mieszkających.

Wprowadzenie RODO miało na celu ujednolicenie, a także aktualizację przepisów. Dzięki temu osoby udostępniające swoje dane mogą je łatwiej kontrolować. Jednocześnie dane osobowe są lepiej chronione, a przepisy uwzględniają zagrożenia XXI wieku, związane z użyciem nowoczesnych technologii. Administratorzy Danych Osobowych zobowiązani są do zgłaszania incydentów związanych z naruszeniem danych poufnych, a w przypadku niezastosowania się do przepisów mogą zostać obciążeni wysokimi karami finansowymi – nawet do 2% wartości obrotów za poprzedni rok.

 

Obowiązki przedsiębiorców związane z wdrożeniem wytycznych RODO

Przepisy ogólnego rozporządzenia o ochronie danych dotyczą nie tylko danych klientów. Do wdrożenia wytycznych RODO zobowiązane są wszystkie firmy, które zbierają, przechowują oraz przetwarzają dane osobowe pracowników, współpracowników oraz kontrahentów. Warto dodać, że według wytycznych RODO za dane osobowe uznać można połączenie imię i nazwisko. Tym samym konieczne jest uzyskanie zgody na ich przetwarzanie, a upoważnienia obowiązujące przed RODO przestają obowiązywać.

Każda firma zobowiązana jest do prowadzenia Rejestru czynności przetwarzania danych osobowych oraz Rejestru kategorii przetwarzania danych osobowych. Dotyczy to, jak już wspomnieliśmy, nie tylko końcowych klientów detalicznych, ale również listy pracowników, współpracowników, kontrahentów lub dostawców, czyli wszystkich zbiorów, które zawierają przynajmniej imię i nazwisko.

W przedsiębiorstwach, w których przetwarzanie danych stanowi podstawę działalności, konieczne jest powołanie Inspektora Ochrony Danych. W przypadku wycieku danych lub wykrycia innych nieprawidłowości firma ma 72h na zgłoszenie tego incydentu odpowiednim organom oraz ujawnienie informacji o możliwym naruszeniu prawa osobom, których to bezpośrednio dotyczy.

Firmy zobowiązane są również do wprowadzenia odpowiednich zabezpieczeń, a także przechowywanie dokumentów potwierdzających wyrażenie zgody na przetwarzanie danych. Zasada privacy by default zakłada wykorzystanie wyłącznie danych niezbędnych do przeprowadzenia danej operacji. RODO wprowadziło również konieczność zastosowania technologii, takich jak pseudonimizacja i szyfrowanie, a także szczególną ochronę komputerów firmowych oraz urządzeń mobilnych. W przypadku urządzeń, które mają zostać poddane likwidacji, niezbędne jest trwałe usunięcie wszystkich znajdujących się na nich informacji. Wszystko po to, by dane były chronione w sposób szczególny, a osoby wyrażające zgodę na ich przetwarzanie były świadome celu, w jakim zgoda została udzielona.

 

W jaki sposób wdrożyć wytyczne RODO w przedsiębiorstwie?

Brak zgodności z RODO będzie widoczny na pierwszy rzut oka. Dodatkowo każdy może zgłosić skargę o naruszenie przepisów do Prezesa Ochrony Danych Osobowych. Dlatego ogólnego rozporządzenia o ochronie danych nie należy lekceważyć. Konieczne jest wprowadzenie w firmie niezbędnych zmian, a także wprowadzeniu szeregu rozwiązań formalnych.

Pierwszym krokiem jest identyfikacja miejsc oraz zbiorów, w których dane są przetwarzane. Analizą objęte są działy kadr, HR., administracji, sprzedaży, logistyki, obsługi klienta i inne, w których mogą być przetwarzane dane, a także próbki dokumentów. Na tej podstawie można szczegółowo określić miejsca przetwarzania danych osobowych: dokumenty, systemy, monitoring wizyjny – mówi specjalista z Nova Praxis, firmy oferującej m.in. optymalizację procesów biznesowych i organizacji firm, audyty oraz szkolenia. – Na podstawie tych danych możliwe jest opracowanie dokumentacji formalnej, opisującej zasady ochrony oraz przetwarzania danych osobowych w firmie.

Rozporządzenie unijne nie wskazuje ani narzędzi, ani obligatoryjnych dokumentów służących do ochrony danych osobowych. Każdorazowo wprowadza się środki techniczne i organizacyjne proporcjonalne w stosunku do czynności przetwarzania. W ramach wdrożenia wytycznych RODO przygotowuje się następujące dokumenty: informujące o przetwarzaniu danych osobowych, zawierające politykę bezpieczeństwa informacji, zasadę ochrony danych osobowych, procedury oraz klauzule przetwarzania danych, a także wspomniane już rejestry: kategorii oraz czynności przetwarzania danych osobowych. Konieczne mogą być również zmiany w treści umów.

Ostatnim krokiem niezbędnym do wdrożenia wytycznych RODO w firmie są szkolenia dla pracowników oraz opracowanie i wdrożenie procedur związanych z czynnościami przetwarzania danych osobowych.

 

Nowe prawa dla obywateli przekazujących swoje dane

Szkolenie pracowników jest szczególnie ważne, biorąc pod uwagę możliwości, które RODO daje obywatelom. Rozporządzenie wprowadza bowiem łatwiejszy dostęp do danych, a także prawo do bycia zapomnianym. Każdy, kto udostępnia swoje dane, może żądać ich zmiany, usunięcia, przekazania danych innemu administratorowi, a także wycofania zgody na ich przetwarzanie. Oświadczenie o udzieleniu zgody na przetwarzanie danych osobowych powinno być proste i zrozumiałe, a także dobrowolne.

Oczywiście wiąże się to z koniecznością wdrożenia zmian w firmie, a tym samym poniesieniem pewnych wydatków. Nie znaczy to jednak, że wdrożenie wytycznych RODO przynosi przedsiębiorcom jedynie problemy. Klasyfikacja danych może nieść ze sobą znaczne korzyści. Zwiększenie bezpieczeństwa zmniejszy ryzyko utraty danych, a tym samym zaufania klientów. Co więcej, uporządkowane informacje gwarantują większą efektywność działań. RODO nie należy się bać. Wystarczy jedynie wiedzieć, jak skutecznie wdrożyć wytyczne zawarte w rozporządzeniu.

Podziel się:

Ogólna ocena artykułu

Dziękujemy za ocenę artykułu

Błąd - akcja została wstrzymana

Polecane firmy

Pliki cookies (tzw. "ciasteczka") stanowią dane informatyczne, w szczególności tekstowe, które przechowywane są w urządzeniu końcowym Użytkownika Serwisu i przeznaczone są do korzystania ze stron internetowych Serwisu. Cookies zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania na urządzeniu końcowym oraz unikalny numer.

Dowiedz się więcej Akceptuję