Najpopularniejszy w Polsce portal o finansach i biznesie
RODO już od maja. Dlaczego taki "diabeł straszny"?

RODO już od maja. Dlaczego taki "diabeł straszny"?

Fot. ESB Professional, Shutterstock

W maju wchodzi w życie RODO, a więc rozporządzenie unijne o ochronie danych osobowych, które przyznaje wszystkim osobom, których dane dotyczą, ponad dwadzieścia nowych uprawnień. Każde z nich nakłada na przedsiębiorcę dodatkowy obowiązek.

RODO to powszechnie używany skrót na określenie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, które od dnia 25 maja br, zgodnie z ogólną zasadą prawa Unii Europejskiej będzie bezpośrednio stosowane we wszystkich państwach członkowskich UE i od tego dnia stanie się częścią prawa krajowego czyli częścią m.in. polskiego porządku prawnego. Oznacza to, iż dotychczas stosowana polska ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz.U. z 2016 r. poz. 922) utraci moc obowiązywania a wprost będą stosowane przepisy RODO. Do przepisów RODO polski ustawodawca uchwali przepisy prawa polskiego, które jedynie obejmą te zagadnienia, które nie zostały uregulowane przez RODO. Obecnie jest przygotowany projekt nowej ustawy o ochronie danych osobowych.

"Diabeł straszny" i wszyscy nim straszą przede wszystkim ze względu na przewidziane w RODO sankcje dla administratorów danych osobowych, górna ich granica: to 20 mln euro bądź 4 proc. rocznego światowego obrotu danego przedsiębiorcy, ale także ze względu na wyzwania przed którym obecnie stoją przedsiębiorcy i inne podmioty przetwarzające dane osobowe: wyzwania głównie zmiany mentalności osób zarządzających przedsiębiorstwami i ich pracowników, zmiany podejścia i spojrzenia znacznie szerzej niż dotychczas na ochronę danych osobowych, uświadomienie sobie, że szeroko pojęte dane osobowe należy chronić oraz, że dane osobowe to nie tylko imię i nazwisko, pesel, wizerunek ale zgodnie z definicją RODO są to wszelkie informacje (w szczególności, poza imieniem i nazwiskiem, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, czynniki określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej) o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Czy mojej firmy dotyczy w ogóle RODO?

W zasadzie przepisy RODO dotyczą niemal wszystkich podmiotów przetwarzających dane osobowe: podmiotów publicznych jak i prywatnych przedsiębiorstw, nawet osób fizycznych prowadzących działalność gospodarczą na niewielką skalę, jeśli przetwarzają one dane osobowe innych osób fizycznych (np. pracowników, kandydatów do pracy, kontrahentów, klientów, osób współpracujących) i przez to przetwarzanie stają się administratorem tych danych, z wyłączeniem podmiotów, które wskazuje RODO w art. 2 tj. RODO nie ma zastosowania, m.in. do osób fizycznych przetwarzających dane osobowe w ramach czynności o czysto osobistym lub domowym charakterze czyli w charakterze nie związanym z działalnością gospodarczą lub też do organów państwowych, które przetwarzają dane osobowe do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Czy dotychczas wymagana dokumentacja idzie do kosza?? Jakie nowe zadania i wyzwania dla przedsiębiorców wyznacza RODO?

Niekoniecznie dotychczasowa dokumentacja pójdzie do kosza. Przede wszystkim przedsiębiorcy muszą dostosować dotychczasową dokumentację, jeśli ją posiadają, z zakresu ochrony danych osobowych wymaganą przez dotychczasowe przepisy krajowe, do wymogów RODO odpowiednio ją uzupełniając. To dostosowanie będzie dotyczyło np. zgody na przetwarzanie danych osobowych, ewidencji osób upoważnionych do przetwarzania danych oraz upoważnień osób do przetwarzania danych osobowych. Ogólnie rzecz biorąc będą to dokumenty dużo bardziej rozbudowane niż dotychczas.

Ponadto RODO wskazuje obowiązkowe nowe dokumenty takie jak:

- rejestr czynności przetwarzania danych osobowych,

- rejestr naruszeń ochrony danych osobowych,

- umowy powierzenia danych ( o ile mają zastosowanie).

Dokumenty te każdy przedsiębiorca winien stworzyć i na bieżąco uzupełniać.

Daleko idącym nowym wyzwaniem, poza dokumentacją, jest nałożony na administratorów danych w art. 33 RODO obowiązek zgłaszania naruszenia ochrony danych osobowych niezwłocznie, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, do odpowiedniego organu nadzorczego, którym w Polsce, zgodnie z projektem nowej ustawy o ochrony danych osobowych będzie Prezes Urzędu Ochrony Danych Osobowych.

Ponadto przedsiębiorcy, zgodnie z art. 32 RODO, winni wdrożyć "odpowiednie środki" techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia ochrony danych, w tym między innymi w stosownym przypadku: przedsiębiorca winien zapewnić pseudonimizację (rozumianą jako przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji), szyfrowanie danych osobowych, ciągłe zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zapewnienie zdolności posiadanych systemów do szybkiego przywrócenia dostępności danych osobowych.

Jakie mają być te "odpowiednie środki", aby osiągnąć cel RODO?

Niestety na to pytanie RODO już nam nie odpowiada, co należy podkreślić: RODO charakteryzuje się bardzo wysokim stopniem ogólności i nie daje żadnych szczegółowych wskazówek, w jaki sposób chronić dane osobowe, nie daje ani środków technicznych ani też organizacyjnych. Sam przedsiębiorca musi stworzyć dostosowane do profilu swojej działalności i zakresu przetwarzania danych takie środki techniczne i organizacyjne, aby w pełni zabezpieczyć te dane.

Dlatego przedsiębiorcom winny przyjść z pomocą wykwalifikowane podmioty (np. z branży IT), które stworzą odpowiednie środki ochrony informatycznej np. do szyfrowania danych osobowych, do zabezpieczenia ich przed nieodpowiednim użyciem oraz wykwalifikowane osoby (m.in. prawnicy), którzy odpowiednio przerobią dotychczas posiadane dokumenty a także stworzą nowe, wymagane przez RODO i przeszkolą pracowników.


Co teraz przed 25 maja 2018?

Teraz jest właśnie czas aby zaangażować środki do wdrożenia RODO we własnej firmie, gdyż 25 maj to data końcowa wyznaczona podmiotom na wdrożenie RODO, to jest ten czas aby zatrudnić specjalistów, którzy pomogą nie tylko przejść przez te trudne ścieżki labiryntu jakim jest RODO ale także zmienią mentalność naszych menadżerów i pracowników odpowiedzialnych za ochronę szeroko pojętych danych osobowych.


Wspieramy Sprzedaż
Czytaj także
Polecane galerie
Piotrrr
2018-05-23 20:42
A kto za to wszystko płaci? I ile czasu, po zrobieniu całej papierkologii zostaje na pracę?
Tadeo
2018-03-05 16:21
jestem współwłaścicielem niewielkiego przedsiębiorstwa. dla nas są to spore koszty, aby dostosować systemy, ale wszystko musi być legalne. w ptakwarsawexpo w kwietniu mają byc ciekawe targi, gdzie właśnie takie tematyki będą poruszane.