zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

Każdego roku ustawodawca przygotowuje ponad

25 000 stron aktów prawnych

Podpowiemy Ci, jak poradzić sobie w gąszczu tak często zmieniających się przepisów. 

Zapisz się na Newsletter Prawny Sage

07 listopada 2017

RODO: Rewolucja w ochronie danych osobowyc


Z dniem 25 maja 2018 r. na terenie całej Unii Europejskiej w życie wejdą zunifikowane przepisy dotyczące ochrony danych osobowych – RODO. Nowe przepisy zwiększają uprawnienia osób, których dane dotyczą. Jednocześnie nakładają nowe wymogi i obowiązki na administratorów danych i podmioty, które je przetwarzają, zatem także na przedsiębiorców.

Na gruncie polskiego porządku prawnego wprowadzenie Rozporządzenia o Ochronie Danych Osobowych oznacza konieczność zmiany ponad 130 ustaw. Dla obywateli nowe przepisy mogą stanowić ulgę od niechcianych ofert reklamowych, a dla przedsiębiorców – istotne zmiany w funkcjonowaniu m.in. takich obszarów, jak marketing, obsługa klientów, kadry i IT.


Co zmieni RODO?

Unijne rozporządzenie wprowadza m.in. bezpośrednią odpowiedzialność podmiotu przetwarzającego dane, np. dostawcy usług w chmurze lub firmy hostingowej, konieczność zgłaszania przez administratora danych naruszeń praw i swobód osób, których dane są przetwarzane, „prawo do bycia zapomnianym” oraz szerszy wgląd w dane przez obywateli, którzy nie chcą, aby ich dane były przetwarzane. Zmiany dotyczą także ograniczenia profilowania, na które obywatel musi wydać zgodę, ustanowienia Inspektora Ochrony Danych Osobowych, nowych zasad uzyskiwania zgód na przetwarzanie danych czy wymogu zachowania wysokiego poziomu zabezpieczenia przy ich transferze poza UE.

Co ważne, niestosowanie się do nowych przepisów może wiązać się z wysokimi karami finansowymi sięgającymi nawet 20 mln euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy z roku obrotowego poprzedzającego naruszenie. Aby uniknąć problemów, przedsiębiorcy, którzy przetwarzają dane swoich klientów i pracowników, muszą właściwie przygotować swoje organizacje do wdrożenia nowych przepisów, co stanowi poważne wyzwanie obejmujące wiele płaszczyzn działalności firmy. Wyzwanie tym większe, że na jego realizację pozostało zaledwie kilka miesięcy.


Dowiedz się, jakich narzędzi używać, by sprostać wymaganiom RODO

One-payroll

Narzędzia i systemy

Prawdopodobnie największym wyzwaniem, czasochłonnym i w niektórych wypadkach kosztownym, będzie dostosowanie systemów IT funkcjonujących w firmie. Muszą one m.in. sprostać zadaniu tworzenia cyklicznych analiz oceny ryzyka przetwarzania danych. Oznacza to, że należy stworzyć taki system przechowywania i przetwarzania danych, aby zespół IT miał dostęp do wszystkich danych na wszystkich serwerach i urządzeniach, z których korzystają pracownicy. Odpowiednio przygotowany system IT musi spełniać także rolę repozytorium dokumentów, takich jak zgody na przetwarzanie danych, a także realizować obowiązek informacyjny, czyli przekazywać klientom szczegółowe informacje na temat gromadzonych i przetwarzanych danych.

System IT musi sprostać realizacji tzw. prawa do bycia zapomnianym, które zapewnia obywatelom możliwość wymazania ich danych ze wszystkich baz, na wszystkich urządzeniach i nośnikach, z jakich korzysta firma i jej pracownicy, dlatego też warto zadbać, aby system był spójny, a dane przechowywane w jednym miejscu w sposób uporządkowany. Ponadto przedsiębiorca jako administrator danych zobowiązany jest do monitorowania incydentów związanych z bezpieczeństwem danych i informowania organów nadzoru o stwierdzonych naruszeniach w ciągu 72 godzin.


Procesy biznesowe

Nowe przepisy z pewnością w wielu firmach pociągną za sobą konieczność reorganizacji systemu IT, a to z kolei spowoduje zmianę procesów biznesowych związanych z pozyskiwaniem i przetwarzaniem danych. Konieczne będzie nie tylko przeformułowanie formularzy zgód na pozyskiwanie i przetwarzanie danych, ale także scenariuszy działań podejmowanych przy bezpośrednim kontakcie z klientem. Nieodzowne będzie ograniczenie swobody pracowników w zakresie przenoszenia danych klientów na nośniki zewnętrzne i urządzenia mobilne, szczególnie osobiste używane w celach służbowych. Oznacza to jednocześnie zmianę przyzwyczajeń pracowników.

RODO, narzucając dodatkowe obowiązki, stworzy nowe procesy, takie jak obsługa żądań o usunięcie danych ze zbiorów firmy, tworzenie cyklicznych analiz ryzyka oraz (w przypadku dużych przedsiębiorców lub przetwarzających dane wrażliwe) ocen skutków przetwarzania danych i prowadzenie rejestru czynności przetwarzania danych, a także informowania organów nadzorczych i klientów o ewentualnych wyciekach danych. Procesy te należy odpowiednio wcześniej przygotować, zorganizować i przeszkolić pracowników.


Polityka bezpieczeństwa danych

RODO nie wymaga formalnie spisanego dokumentu dotyczącego polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi. Od przedsiębiorcy zależy, czy biorąc pod uwagę skalę, cele i zakres przetwarzania danych takie dokumenty stworzy. Bardziej istotne jest, aby taka polityka była opracowana i stosowana w praktyce. Konieczne będzie także wprowadzenie odpowiedniego systemu bezpieczeństwa danych, adekwatnego do zakresu i celu ich przetwarzania, który pozwoli chronić je przed potencjalnymi atakami cybernetycznymi.


Inspektor Ochrony Danych Osobowych

Na gruncie nowych przepisów Administratora Bezpieczeństwa Danych zastąpi Inspektor Ochrony Danych Osobowych, który ma zadbać o ochronę danych osobowych w firmie i odciążyć w tym zakresie administratora danych osobowych. Będzie on sprawował kontrolę nad przestrzeganiem przepisów o ochronie danych, aby przedsiębiorca był o to spokojny. Powołanie IODO będzie konieczne jedynie w przypadkach uzasadnionych przez rodzaj, zakres i cel przetwarzania danych.

Wymienione przykłady obszarów funkcjonowania przedsiębiorstwa, w których RODO będzie ingerowało w strukturę firmy to zaledwie czubek góry lodowej. Na gruncie każdej organizacji wdrożenie RODO będzie wymagało podjęcia szeregu złożonych działań, które pozwolą przede wszystkim na odkrycie, jakimi zasobami danych osobowych firma dysponuje, w jaki sposób są obecnie przetwarzane i jak dostosować aktualne procesy do wymogów nowych przepisów. Konieczne będzie prawdopodobnie dostosowanie systemów IT, wybór właściwych systemów bezpieczeństwa danych a także przeprowadzenie szkoleń dla pracowników. Nie są to działania, które można podjąć w ostatniej chwili, dlatego termin kilku miesięcy na przygotowanie się do zmian to w rzeczywistości zaledwie chwila.

Skorzystaj z naszych szkoleń przygotowujących do RODO

Szkolenia Rodo