RODO niejako rozszerza pojęcie danych osobowych (PII – Personal Identifiable Information) – do tej pory dotyczyło ono głównie imion i nazwisk, adresów, dat urodzenia, e-maili itp.
Według nowego rozporządzenia dane osobowe to również numery ID, informacje dotyczące lokalizacji, wskaźniki odnośnie zdrowia fizycznego i psychicznego, statusu majątkowego oraz społecznego, a nawet dane genetyczne czy biometryczne, które pomogłyby zidentyfikować konkretną osobę. Jakie główne wymogi muszą spełnić firmy? 1. Głównym wymogiem jest zapewnienie zgodności przetwarzania danych z prawem. Należy zweryfikować każdy proces, w którym pojawiają się dane osobowe, a następnie ustalić podstawę ich przetwarzania, np. zgoda może być udzielona w określonym celu, być warunkiem wykonania danej umowy lub wynikać z obowiązku prawnego. Konieczne jest też opracowanie klauzul informacyjnych dla osób, których dane są pozyskiwane.
2. Kolejny wymóg mówi, że dane mogą być pozyskiwane tylko w konkretnych, prawnie uzasadnionych celach. Oznacza to, że nie można ich dalej przetwarzać w sposób, który byłby niezgodny z tymi celami. Dane muszą być prawidłowe i w razie potrzeby aktualizowane. Takie, które nie są prawidłowe, muszą być niezwłocznie usunięte lub sprostowane. W wielu firmach konieczny będzie zatem dokładny przegląd danych, które udało się zgromadzić na przestrzeni ostatnich lat.
3. Przedsiębiorstwa będą musiały również zweryfikować i ustalić maksymalny czas na przechowywanie poszczególnych rodzajów danych, ponieważ według wytycznych nie mogą one pozostawać w posiadaniu firmy dłużej niż jest to niezbędne dla realizacji konkretnego celu. – Przede wszystkim organizacje powinny dokładnie sprawdzić, jakie kategorie danych przechowują i czy są one wykorzystywane do właściwych celów. Kolejny krok to zweryfikowanie, kto ma dostęp do danych i czy są one bezpiecznie przechowywane – konieczna jest rewizja polityki cyberbezpieczeństwa. Warto przyjrzeć się temu, jak działa obieg informacji wewnątrz firmy i w końcu, kto jest odpowiedzialny za zarządzanie danymi – mówi Marcin Czarnecki, Konsultant ds. Ochrony Danych Osobowych w firmie Konica Minolta Business Solutions Polska.
W co warto zainwestować? Aby lepiej przygotować się do RODO, warto rozważyć opracowanie własnej polityki zgodnej z rozporządzeniem w następujących obszarach: - Zarządzanie danymi. Należy zrewidować, czy przechowywane w firmie dane osobowe są bezpieczne, jak są przechowywane, monitorować przetwarzanie danych oraz poziom dostępu do nich. Warto rozważyć rozwiązania scentralizowane, które są przydatne również w sytuacji, kiedy klient zarząda usunięcia wszelkich danych na jego temat. Przykładem takiego rozwiązania jest platforma aplikacyjna OnBase Hyland, która integruje systemy, informacje, dokumenty i procesy biznesowe w całej organizacji. Platforma jest od niedawna dostępna w Polsce dla klientów Konica Minolta i działa w sposób zgodny (Compliance) z RODO; - Oprogramowanie. Wykorzystywane w firmie oprogramowanie powinno zapewniać odpowiedni poziom bezpieczeństwa, jak również łatwe odszukiwanie i katalogowanie danych osobowych; - Partnerzy i dostawcy usług. Konieczne jest zweryfikowanie, czy wszystkie podmioty zewnętrzne, z którymi firma współpracuje, działają zgodnie z RODO, a także zapewnienie odpowiedniego przebiegu informacji między firmą a tymi podmiotami; - Czynnik ludzki. Sugerowane jest – szczególnie w większych firmach – zatrudnienie lub oddelegowanie osoby odpowiedzialnej za bezpieczeństwo danych, jak również zaangażowanie jej do wspólnych działań nie tylko z działem marketingu i IT, ale także z działem HR, prawnym czy finansowym; - Procesy. Należy zdefiniować jasny plan działania i raportowania potencjalnych incydentów związanych z bezpieczeństwem przetwarzania danych, umożliwić klientom skorzystanie z prawa do „bycia zapomnianym”, poprzez całkowite usunięcie ich danych osobowych na żądanie (z uwzględnieniem wszystkich prowadzonych w firmie rejestrów) oraz zadbać o aktualizację ich danych, kiedy zajdzie taka potrzeba. Bardzo istotna jest również kwestia przenoszenia danych pomiędzy firmami. Po wejściu w życie nowego rozporządzenia klient będzie miał prawo poprosić o przeniesienie ich do innego podmiotu i wówczas firma będzie musiała podjąć takie działanie. RODO już w maju 2018 Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO, ang. GDPR) zacznie obowiązywać od 25 maja 2018 r. Obecnie większość firm jest nadal w fazie analizowania przepisów oraz implementacji zmian koniecznych do spełnienia wymogów nowego rozporządzenia. W przypadku niespełnienia wymogów RODO firma zostanie obciążona karą w dwóch przedziałach kwotowych: do 10 milionów euro lub 2% całkowitego rocznego obrotu przedsiębiorstwa (zastosowanie ma kwota wyższa) oraz do 20 milionów euro lub 4% całkowitego rocznego obrotu. Niedostosowanie się do wymogów RODO może narazić firmy nie tylko na kary finansowe, ale również na wstrzymanie realizacji działań, a przez to wydłużenie trwania projektów, zwiększenie kosztów inwestycji czy utratę reputacji.
Dołącz do nas na Facebooku!
Publikujemy najciekawsze artykuły, wydarzenia i konkursy. Jesteśmy tam gdzie nasi czytelnicy!
Dołącz do nas na X!
Codziennie informujemy o ciekawostkach i aktualnych wydarzeniach.
Kontakt z redakcją
Byłeś świadkiem ważnego zdarzenia? Widziałeś coś interesującego? Zrobiłeś ciekawe zdjęcie lub wideo?
