Zdążyłeś z RODO? Sprawdź czy Twoja firma jest na nie gotowa
Temat RODO jest na językach już od wielu miesięcy, jednak to dopiero za niecałe dwa tygodnie wejdzie ostatecznie w życie w całej Unii Europejskiej, w tym również w Polsce. Zdążyłeś przygotować swoją firmę do RODO? Masz już niezbędne dokumenty i zatwierdziłeś je pieczątką firmową? A może wcale nie musisz przejmować się RODO, bo prowadzisz jednoosobową działalność? Sprawdź, co musisz wiedzieć i jak powinieneś strzec się przed karami wynoszącymi kilkadziesiąt milionów euro!
Co to jest i o co chodzi z tym RODO
Wiele firm do tej pory zdążyło już wdrożyć procedury związane z RODO. Jeśli jesteś jeszcze przed całym procesem, zostało ci już naprawdę niewiele czasu. Zlecenie audytu i ubieganie się o pomoc zewnętrznej firmy raczej nie wchodzi w grę, gdyż kolejka oczekujących rośnie z dnia na dzień. Nie popadaj jednak w panikę – jeśli prowadzisz mikroprzedsiębiorstwo, masz działalność jednoosobową lub nawet średnią firmę, dasz sobie radę sam z wprowadzeniem procedur związanych z RODO.
Według danych GUS w Polsce niemal 4,2 mln osób ma zarejestrowaną działalność gospodarczą, z czego 2,9 mln stanowi jednoosobowe firmy. Niestety RODO, które wchodzi w życie 25 maja 2018 roku obejmuje wszystkich, nawet osoby nie prowadzące działalności, a zajmujące się przetwarzaniem danych osobowych (blogerzy, twórcy internetowi, itp.).
RODO to skrót od „Rozporządzenie o ochronie danych osobowych”, które zostało uchwalone już w 2016 roku. Jak widać było nieco czasu na przygotowanie odpowiednich procedur, ale wiele firm zwlekało z tym do ostatniej chwili. Zmiany dotyczą każdego administratora danych czyli osoby, która zajmuje się gromadzeniem i przetwarzaniem danych o osobach fizycznych.
Na start audyt wewnętrzny
Pierwszym krokiem jest analiza sytuacji panującej w firmie. Musisz zadać sobie rzetelne pytanie, w jaki sposób przetwarzasz dane osobowe i jakie to są zbiory danych. Bez tej wiedzy nie będziesz w stanie dopasować się do przepisów. W kolejnym kroku zastanów się, w jakim celu przetwarzasz dane – wymaga się, aby ich zakres był zawsze adekwatny do sytuacji. Przykładowo żądanie podania adresu domowego w przypadku zapisu do newslettera uważane jest za niepotrzebne. Wymaga się ponadto, aby każda osoba która powierza nam swoje dane była świadoma, co robimy z nimi dalej.
Naszym obowiązkiem jest również wskazanie, na jakiej podstawie przetwarzamy dane – czy otrzymaliśmy zgodę, upoważnienie wynikające z umowy lub inny sposób. Istotna jest również odpowiedź na pytanie, co dalej dzieje się z informacjami – czy przechowujemy je w plikach, w chmurze, czy tworzymy kopie zapasowe lub importujemy je np. do aplikacji.
W czasie audytu wewnętrznego związanego z RODO musimy zastanowić się także, czy profilujemy dane. Profilowanie to nic innego jak zbieranie wszelkich informacji, które bezpośrednio lub pośrednio pozwalają zidentyfikować osobę. Nawet jeśli nie robimy tego osobiście, być może korzystamy z narzędzi, które zbierają takie informacje (np. Google Analitycs)? Jeśli odpowiemy na to pytanie twierdząco, musimy określić, czy są podejmowane na tej zasadzie zautomatyzowane decyzje, gdyż z tym wiążą się kolejne niezbędne procedury.
Kim jest nasza firma w odniesieniu do zbierania danych? Czy jesteśmy administratorem, przedstawicielem administratora czy innym podmiotem? Na tej podstawie również będzie zmieniał się zakres naszych przyszłym obowiązków.
Na koniec audytu zastanówmy się, jakie stosujemy zabezpieczenia i wraz z tym, jak duży jest stopień ryzyka ich naruszenia. Co zrobimy w razie naruszenia zasad bezpieczeństwa danych?
Stwórz rejestr czynności przetwarzania danych
Gdy zakończysz audyt wewnętrzny, będziesz wiedział na czym musisz się skupić. Prowadzenie rejestrów staje się teraz obowiązkowe, jednak ich zakres jest dla każdej firmy indywidualny. Powinien on jednak skupiać się na tym, w jakich procesach przetwarzamy dane osobowe, dlaczego, kogo dotyczą oraz jak są one zabezpieczone. Warto prowadzić ten dokument rzetelnie – może on być zażądany przez GIODO w razie kontroli.
Co ciekawe, rejestr jest obowiązkowy dla firm zatrudniających więcej niż 250 osób oraz w przypadku podmiotów dokonujących tego w sposób ciągły – agencje marketingowe, firmy medyczne itd. Niezależnie od rejestru, każdy przedsiębiorca jest zmuszony do poinformowania osób, których dane przetwarza, o celu i podstawie prawnej takich działań jeśli tylko zażądają takich informacji.
Przejdź do szczegółowej weryfikacji dokumentów i procedur bezpieczeństwa
W kolejnym kroku sprawdzania, czy jesteś gotowy na RODO, powinieneś przejrzeć wcześniejsze dokumenty i upewnić się, że nie wymagają naniesienia poprawek pod kątem nowej ustawy. Jeśli tak jest – zrób to jak najszybciej. Dodatkowo każda firma musi mieć procedurę na wypadek naruszeń bezpieczeństwa danych osobowych, więc należy ją szczegółowo opracować. Przygotowanie analizy ryzyka dla poszczególnych procesów i zbiorów danych to także nowy obowiązek.
Często popełnianym błędem jest przesyłanie poufnych dokumentów drogą e-mailową bez szyfrowania czy nawet wysyłanie maili do wielu odbiorców bez ukrywania pozostałych adresów. Wszelkie udostępnianie firmowej skrzynki osobom trzecim, przekazywanie dostępu do innych miejsc z dostępem do danych osobowych czy nawet, wyrzucanie dokumentów zawierających dane osobowe do kosza zamiast do niszczarki będzie naruszało zasady RODO. Przygotowując firmę do niego upewnijmy się, że posiadamy niezbędne procedury i nie przydarzają się wypadki wynoszenia informacji z firmy bez szyfrowania np. na nośnikach danych. Wszelkie wydruki z danymi osobowymi posiadające pieczątkę firmową czy nie, nie mogą być powszechnie dostępne.
Co jeszcze warto wiedzieć o RODO
- RODO nie ustala konkretnych kroków, jakie powinien podjąć każdy podmiot. Jego założeniem jest to, że organizacja musi stworzyć własny system ochrony danych.
- RODO nie dotyczy również każdego przedsiębiorcy – osoby, które wykorzystują dane osobowe do prywatnych celów lub ich działalność nie jest objęta prawem UE, nie muszą przejmować się zmianami w przepisach.
- Administratorzy danych osobowych mogą zostać zmuszeni np. do całkowitego usunięcia danych lub udostępnienia ich na życzenie. Jeśli ktokolwiek zauważy nieprawidłowości w naszym postępowaniu, może domagać się od nas odszkodowania na drodze sądowej.
- ABI – Administrator Bezpieczeństwa Informacji przestaje istnieć, a zamiast niego za bezpieczeństwo danych i raportowanie naruszeń będzie odpowiadał IOD – Inspektor Ochrony Danych. Nie musimy już zgłaszać bazy danych do GIODO.
- Jeśli odkryjemy naruszenia, powinniśmy zgłosić ten fakt do odpowiedniego organu w ciągu 72 godzin. Wszystkie nieprawidłowości muszą być ponadto odpowiednio udokumentowane, przedstawiając okoliczności zajścia, skutki i sposób naprawienia szkód.
- By przetwarzać dane osobowe osób nieletnich musimy uzyskać zgodę od opiekuna prawnego. Ta zgoda nie odnosi się do celów marketingowych i mediów społecznościowych.
- Kary za nieprzestrzeganie RODO wynoszą 10 mln Euro lub do 2% rocznego obrotu firmy oraz 20 mln euro lub do 4% rocznego obrotu firmy. Będą one nakładane proporcjonalnie do skali naruszenia nowych przepisów.
RODO i jego konsekwencje
Gdy RODO zostanie wdrożone końcem maja 2018 roku, dowiemy się biorąc przykład z innych firm, jak powinno ono wyglądać. Już teraz specjaliści dokładają wszelkich starań, by firmy były na nie przygotowane, jednak przepisy nie są tak specyficzne jak moglibyśmy oczekiwań. Istotne jest jednak to, by dbać o ochronę danych osobowych i prowadzić niezbędne rejestry, a w razie pojawienia się problemów, szybko się z nimi uporać i zgłosić je do odpowiedniego organu. Jeśli jeszcze nie wdrożyłeś RODO – nie zwlekaj! Zamów pieczątkę firmową, wyznacz firmowego Inspektora i przestań się tym martwić.
Sądzicie, że wprowadzenie RODO to dobry pomysł czy jedynie utrudnienie dla przedsiębiorców?
