Dotknie to każdego przedsiębiorcę...

Co dokładnie oznacza wprowadzenie RODO?

– W kwietniu 2016 roku Parlament Europejski i Rada Unii Europejskiej przyjęły General Data Protection Regulation (GDPR), czyli Ogólne rozporządzenie o ochronie danych osobowych w skrócie RODO. Od 25 maja 2018 roku ten akt prawny będzie regulował kwestie ochrony danych osób fizycznych w związku z ich przepływem i przetwarzaniem we wszystkich, z kilkoma wyjątkami, krajach Unii Europejskiej – wyjaśnia Mariusz Kania, Specjalista ds. Ochrony Danych Osobowych firmy Audyt Bezpieczeństwa Informacji Sp. z o.o.

– Celem wprowadzenia RODO jest przede wszystkim dostosowanie przepisów do obecnych realiów powszechnej digitalizacji i informatyzacji oraz podkreślenie faktu, że ochrona danych osobowych jest podstawowym prawem każdego człowieka. Nowe rozporządzenie ma ułatwi także funkcjonowanie podmiotom o zasięgu międzynarodowym, które obecnie muszą uwzględniać przepisy obowiązujące w różnych krajach – dodaje ekspert.

Obowiązek zastosowania się do nowych przepisów mają wszystkie podmioty, które w jakikolwiek sposób zbierają i przetwarzają dane dotyczące osób fizycznych, czyli np. pracowników, klientów, pacjentów, członków stowarzyszeń czy spółdzielni etc. Pod pojęciem danych osobowych należy przy tym rozumieć wszelkie informacje, które pozwalają na określenie tożsamości danej osoby, czyli np. imię i nazwisko w połączeniu z adresem lub nazwą pracodawcy. Ponadto rozporządzenie określa także dane wrażliwe, jak np. preferencje seksualne, wyznanie, informacje o zdrowiu, karalności czy poglądy polityczne, które powinny być szczególnie chronione. Za przetwarzanie danych osobowych należy przy tym rozumieć każdą czynność związaną z ich użyciem, czyli przechowywanie, kopiowanie czy zapisywanie.

Jakie nowe obowiązki nakłada na przedsiębiorcę RODO?

Podstawowym i najważniejszym obowiązkiem każdego przedsiębiorcy, który w swej działalności gromadzi i przetwarza dane osobowe, jest dobór rozwiązań organizacyjnych i technicznych, które zapewnią należyte bezpieczeństwo zgromadzonych danych, zarówno podczas ich przechowywania, jak i przetwarzania. Największą trudnością jest jednak to, że przepisy nie określają, jakie dokładnie formy zabezpieczeń w danych przypadkach należy zastosować.

– Oznacza to, że każdy przedsiębiorca jest odpowiedzialny za analizę ryzyka związanego z gromadzeniem i przetwarzaniem danych w swojej firmie i dobór odpowiednich form zabezpieczeń. Tym razem nie wystarczy ogólny szablon polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, kupionym gdzieś w Internecie za 100zł. RODO to „szycie na miarę” takiej polityki w znaczeniu całości dokumentacji i wdrażanych w danej organizacji procedur. Szacowanie ryzyka a w wielu przypadkach szacowanie jego skutków (dot. Informacji wrażliwych – np. lekarze, adwokaci, radcowie prawni). Oszacować poprawnie można tylko wiedząc jak się to robi. Tym razem podczas kontroli nie będzie wystarczające samo wylegitymowanie się wdrożeniem systemu ochrony danych osobowych, bo każdorazowo będzie ona dokładnie weryfikowana. Dopiero wyniki weryfikacji i zgodności zasad ze stanem faktycznym kontrolowanej organizacji będą podstawą do nałożenia kar, ich wysokości (tzw. miarkowanie) lub też nie. Dlatego warto powierzyć wdrożenie RODO firmie, która się na tym zna, ma odpowiednio doświadczonych ludzi, porusza się we wdrożeniach po różnych branżach przez co ma ogląd na całość rynku. Nie może przy tym zapomnieć o zgodności przyjętych systemów zabezpieczeń z zasadami, zawartymi w RODO i wytycznymi tzw. Grupy Roboczej 29 – wyjaśnia Mariusz Kania.

Najważniejsze obowiązki każdego przedsiębiorstwa w zakresie gromadzenia i przetwarzania danych, określone w RODO:

- odpowiednie zabezpieczenie danych,
- informowanie klientów o przetwarzaniu należących do nich danych, o celu ich zbierania oraz umożliwienie wglądu w historię ich zmian,
- uzyskanie zgody na użycie danych osobowych podczas konkretnych działań biznesowych,
- opracowanie i prowadzenie dokumentacji przetwarzania danych zawierającej rejestry czynności przetwarzania i naruszeń,
- posiadanie tzw. kodeksu ryzyka – tj. jego oszacowania, analizy i rodzaju zastosowanej metodyki,
- wdrożenie rozwiązań, które pozwolą na przetwarzanie tylko tych danych, które są niezbędne dla danego procesu,
- obowiązek zgłaszania do organu nadzorującego każdego incydentu naruszenia bezpieczeństwa danych, w ciągu 72 godzin od chwili jego zaistnienia,
- prowadzenie odpowiedniej dokumentacji, która potwierdzi przestrzeganie przepisów RODO w danej organizacji,
- udokumentowanie zgody na przetwarzanie danych osobowych, oznacza to że każda jednostka będzie zobowiązana do przechowywania informacji o tym, kto i kiedy wyraził zgodę na przetwarzanie przez nią swoich danych osobowych oraz danych o tym, jakie informacje wówczas otrzymał.

Jak przygotować się na zmiany, które wprowadzi wejście w życie RODO?

Wejście w życie nowych przepisów o ochronie danych osobowych oznacza konieczność wymiany formularzy oraz zmiany klauzul zgody na przetwarzanie danych osobowych, weryfikację wewnętrznych procesów pod kątem bezpieczeństwa wykorzystywanych w nich danych oraz wdrożenie odpowiedniej infrastruktury IT. – Jednym z najważniejszych czynników gwarantujących prawidłowe zabezpieczenie danych osobowych jest odpowiednie przeszkolenie pracowników, by wiedzieli co im można, czego nie, by wiedzieli jak reagować w przypadku tzw. incydentów np. utraty danych lub incydentalnego przesłania ich do nie tego adresata – podkreśla ekspert firmy Audyt Bezpieczeństwa Informacji sp. z o.o.

Warto podkreślić, że brak odpowiedniej wiedzy u pracowników w tym zakresie wiąże się z ryzykiem dla samego przedsiębiorcy. Błędy pracowników administrujących danymi a zagrażające ich bezpieczeństwu mogą wiązać się z narażeniem firmy na wysoką karę finansową za naruszenie przepisów. Brak szkoleń dla pracowników oznacza także brak podstaw do ewentualnego pociągnięcia pracownika do odpowiedzialności dyscyplinarnej w przypadku naruszenia przez niego zasad bezpieczeństwa procesu gromadzenia i przetwarzania danych obowiązujących w danym przedsiębiorstwie – dodaje Mariusz Kania.

Jak widać szkolenia dla pracowników w zakresie ochrony danych osobowych, zwłaszcza w sytuacji radykalnie zmieniających się przepisów są koniecznością. – Wybierając jednostkę szkoleniową do przeprowadzenia szkolenia ochrony danych osobowych w swojej firmie, należy pamiętać o tym, że aby spotkanie przyniosło pożądane efekty jego treść i zakres, muszą być dostosowane do indywidualnych potrzeb przedsiębiorstwa. Oprócz szkolenia związanego z nadchodząca zmianą przepisów warto także zadbać o cykliczność szkoleń dotyczących ochrony danych osobowych. Idealnym rozwiązaniem jest przeprowadzenie raz do roku takiego szkolenia dla swoich pracowników, które zapozna ich z ewentualnymi zmianami przepisów, a jeśli takowych nie było, będzie świetnym przypomnieniem zasad, które zagwarantuje bezpieczeństwo danych, którymi administrujemy. – zwraca uwagę ekspert.

– Ciekawie poprowadzone szkolenie, którego treść jest ściśle dopasowana do potrzeb danej jednostki, jest najlepszym zabezpieczeniem danych w firmie. Administrator Danych Osobowych (tzw. ADO – spółka, wspólnik etc.) czy Administrator Bezpieczeństwa Informacji (tzw. ABI) nie jest w stanie nieustannie kontrolować wszystkich pracowników, podczas wykonywania codziennych obowiązków. Brak odpowiedniej wiedzy może spowodować naruszenie przez nich przepisów, za co firmie może grozić wysoka kara finansowa – dodaje Mariusz Kania.

Po więcej informacji zapraszany na http://audytodo.pl