RODO: Rozporządzenie o Ochronie Danych Osobowych

rodo rozporzadzenie o ochronie danych osobowych

RODO (GDPR) to rozporządzenie Parlamentu Europejskiego z dnia 27 kwietnia 2016 roku, w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. W maju 2018 roku mają wejść w życie nowe przepisy o ochronie danych osobowych.

Zgodnie z wprowadzanymi zmianami prowadzenie promocji i sprzedaży w kanałach online i offline na dotychczasowych zasadach nie będzie możliwe, a ponadto przetwarzanie danych osobowych w przedsiębiorstwach będzie odbywało się w nieco inny niż do tej pory sposób. Warto też wiedzieć, że aktualnie trwają prace nad polskim projektem ustawy o ochronie danych osobowych, której celem będzie doprecyzowanie wymogów znajdujących się w rozporządzeniu – jej najważniejsze przepisy nie ulegną jednak zmianie. Ma ona zostać uchwalona na przełomie 2017 i 2018 roku.

Kogo dotyczą nowe przepisy?

Zmiany, które mają zostać wprowadzone w 2018 roku, będą dotyczyły wszystkich podmiotów przetwarzających dane osobowe osób fizycznych na terenie Unii Europejskiej – a więc zarówno przedsiębiorstw jednoosobowych, jak i dużych międzynarodowych korporacji. Wśród nich wymienić można każdego pracodawcę w UE, każdą firmę oferującą produkty i/lub usługi dla osób fizycznych na terenie UE, nawet jeśli nie ma ona swojej siedziby na terenie Unii Europejskiej, a także wszystkich firm monitorujących zachowanie osób przebywających na terenie UE w imieniu własnym lub innych przedsiębiorstw.

Kiedy Rozporządzenie o Ochronie Danych Osobowych zacznie obowiązywać, niedozwolone będzie m.in. wysyłanie mailingów i telefonowanie do klienta z ofertą na podstawie pozyskiwanej obecnie zgody na przetwarzanie danych osobowych, korzystanie z zewnętrznych baz danych w celu przedstawienia klientowi swojego produktu lub usługi czy automatyczne profilowanie klientów ze względu na ich miejsce zamieszkania, zainteresowania, wiek lub płeć. Wprowadzenie RODO oznacza dla przedsiębiorców również nowe obowiązki związane ze sposobem ochrony danych osobowych i konieczność wdrożenia nowych procedur dotyczących przetwarzania danych osobowych, zaś dla ich klientów jest narzędziem dociekania swoich praw.

RODO wraz z polską ustawą o ochronie danych osobowych przyczynią się do zmian ponad 130 przepisów sektorowych, przez co konieczne będzie wprowadzenie modyfikacji w procedurach i funkcjonalnościach, a w tym także w systemach ERP. Tworząc politykę bezpieczeństwa w organizacjach należy zastanowić się, czy nie jest konieczne zastosowanie specjalnych zasad zarządzania dokumentacją pracowniczą w danym obszarze prowadzenia firmy.

Jak przygotować się do zmian?

Mające obowiązywać niebawem przepisy wprowadzą zmiany, na mocy których poszczególne podmioty mogą być traktowane w zróżnicowany sposób jeśli chodzi o obowiązek zabezpieczania danych osobowych. Według nich stosowane zabezpieczenia powinny być dostosowane do ryzyka związanego z przetwarzaniem danych osobowych, a to w każdej firmie jest nieco inne. W praktyce oznacza to, że każde przedsiębiorstwo będzie miało własne procedury ochrony danych osobowych, a sam przedsiębiorca będzie musiał monitorować ryzyko wycieku danych osobowych z firmy i zależnie od potrzeb stosować działania mające na celu skuteczną ochronę tych informacji.

Przedsiębiorcy powinni też stosować zasadę privacy by design, według której prywatność powinna być uwzględniona już na etapie projektowania określonego procesu lub systemu. Jest ona realizowana za pomocą wdrażania specjalnych środków technicznych i organizacyjnych jeszcze przed rozpoczęciem przetwarzania danych.

Naruszenie ochrony danych osobowych

Według nowych zasad w sytuacji wykrycia naruszenia bazy danych osobowych przedsiębiorca zobowiązany jest do zgłoszenia tego faktu do nowo powołanego Urzędu Ochrony Danych Osobowych mającego zastąpić Generalnego Inspektora Ochrony Danych Osobowych. Informację taką należy zgłosić w czasie do 72 godzin od momentu wykrycia, a jeśli wyciek zagraża prawom i wolnościom, należy poinformować o nim także osobę, której dane zostały naruszone.

Możliwe kary

W Rozporządzeniu o Ochronie Danych Osobowych określono także wysokość kar finansowych za naruszenie obowiązków opisanych przez zawarte w nim przepisy. Zgodnie z tym dokumentem zależne są one od skali naruszeń i mogą wynieść nawet 10 mln euro. W przypadku przedsiębiorstw wysokość kary wynosi 2% (w szczególnych przypadkach 4%) całkowitego rocznego obrotu światowego biorąc pod uwagę poprzedni rok obrotowy.

Wykorzystywane w firmie systemy informatyczne powinny mieć funkcjonalności pozwalające skutecznie chronić dane osobowe, a ewentualne zmiany ustawień powinny odbywać się wyłącznie na żądanie użytkownika oprogramowania.

Przepisy zawarte w RODO będą dotyczyły informacji gromadzonych w ramach:

  • Kadr i płac – należą do nich dane osobowe pracowników oraz kandydatów na pracowników;
  • CRM/Handel – dane obecnych i potencjalnych klientów firmy;
  • Księgowość – dane pracowników i kontrahentów;
  • Systemowe – dane użytkowników, administratorów i operatorów systemu.