Dnia 25 maja 2018 roku zacznie obowiązywać w Polsce nowe Rozporządzenie unijne dotyczące ochrony danych osobowych (tzw. RODO). Zostało zatem bardzo niewiele czasu na przygotowanie firmy do zmian wynikających z RODO.
Rozporządzenie to wprowadza rewolucję w zakresie ochrony danych osobowych. Co istotne kary finansowe za nie przestrzeganie obowiązków RODO mogą sięgać do 20.000.000 EUR lub 4 % rocznego obrotu przedsiębiorcy.
Wbrew pierwszym skojarzeniom, pozyskiwanie i przetwarzanie danych osobowych ma miejsce w każdej firmie – w odniesieniu do pracowników, klientów, kontrahentów, o ile są nimi osoby fizyczne. Dotyczy to zarówno przetwarzania danych osobowych w sposób zautomatyzowany (np. dane z formularzy) oraz w inny sposób (np. dane ze zleceń, faktur, maili, umów, działu kadr, w tym umów o pracę).
Znaczna skala zmian przewidzianych przez RODO powoduje że dotychczas stosowane procedury ochrony danych osobowych ulegają dezaktualizacji i wymagają ponownej analizy i wdrożenia zmian, albo przygotowania od podstaw. W przypadku ich braku, konieczne jest ich opracowanie i wdrożenie. Procedury muszą uwzględniać specyfikę firmy i zakresu jej działalności. Posłużenie się cudzą procedurą nie będzie stanowiło wykonania obowiązku wynikającego z RODO.
Najważniejsze, w naszej ocenie, aspekty prawne nowej regulacji (w skrócie):
- Dozwolone będzie pozyskiwanie danych tylko w takim zakresie, jaki jest niezbędny do realizacji wyznaczonego celu;
- RODO formułuje nowe zasady pozyskiwania zgody na przetwarzanie danych osobowych (np. zakaz klauzul drobnym drukiem, zrozumiały język, poinformowanie o możliwości wycofania zgody), czego konsekwencją będzie konieczność dostosowania procedur i formularzy pozyskiwania takich zgód do nowych przepisów pod rygorem uznania zgody za nieważną i wystąpienia ryzyka nałożenia kary pieniężnej;
- Wprowadzono obowiązek ewidencjonowania pozyskanych zgód;
- Konieczne będzie wdrożenie środków bezpieczeństwa, monitorowania i reagowania w sprawie danych osobowych (w tym wprowadzenia kontroli dostępu użytkowników do danych, zasad bezpieczeństwa, środków reagowania na wyciek danych itp.);
- Wszelkie informacje kierowane do osób fizycznych muszą być formułowane w sposób zrozumiały. Konieczna stanie się weryfikacja treści komunikatów dotyczących danych osobowych pod kątem ich zgodności z Rozporządzeniem;
- RODO wymaga, aby powierzenie przetwarzania danych osobowych następowało wyłącznie na rzecz podmiotów, które zapewniają środki techniczne i organizacyjne gwarantujące przetwarzanie danych zgodnie z wymogami Rozporządzenia;
- Zmianie ulegną również wymogi co do treści umów, na podstawie których następuje powierzenie przetwarzania danych osobowych firmie zewnętrznej. Konieczna zatem staje się weryfikacja treści umów o przetwarzania danych pod kątem obowiązkowych zapisów i ewentualne ich aneksowanie;
- RODO znosi wymóg rejestracji zbiorów danych osobowych zastępują go obowiązkiem prowadzenia rejestru wewnętrznego operacji przetwarzania danych osobowych dla niektórych przedsiębiorstw;
- Inspektor Ochrony Danych Osobowych zajmie miejsce ABI.
Mając na uwadze ogromny zakres zmian wynikający z RODO oraz potencjalne sankcje za nieprzestrzeganie obowiązków wynikających z Rozporządzenia, oferujemy Państwu wsparcie w zakresie przygotowania się do wykonywania obowiązków wynikających z RODO.
