RODO – jak przygotować się do zmian w ochronie danych osobowych?
Można powiedzieć, iż RODO dotyczy wszystkich przedsiębiorstw, co więcej - przetwarzanie danych osobowych odbywa się w wielu działach naszych firm. Już niedługo czeka nas istotna zmiana prawa ochrony danych osobowych. 25 maja 2018 roku w życie wchodzi rozporządzenie o ochronie danych osobowych (RODO / GDPR). Weryfikacja związanych z tym procedur i stworzenie nowych umów, dokumentacji i regulaminów to tylko wycinek wyzwań. Unijne rozporządzenie wejdzie wprost do porządków wszystkich krajów UE i zacznie obowiązywać każdego pracodawcę w UE i każdą firmę oferującą produkty / usługi dla osób fizycznych na terenie UE. Rozporządzenie w swoim brzmieniu jest dość ogólne i pozostawia sporą przestrzeń do interpretacji - osiągnięcie wymaganego celu ochrony danych spoczywa na nas – przedsiębiorcach. Dobre przygotowanie się do RODO wymaga czasu i zaangażowania. Warto przemyśleć ten proces i powierzyć go profesjonaliście. W pierwszym kroku jednak pozostaje nam samodzielnie spojrzeć do środka organizacji.
RODO zmienia regulacje dotyczące środków zbierania, przetwarzania i przechowywania danych osobowych. Dane te oznaczają - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Nakłada wiele nowych obowiązków. Najwięcej emocji wzbudzają kary pieniężne - reforma wprowadza dotkliwe kary pieniężne, które będą nakładane na administratorów danych, mogące wynieść nawet 20 mln EUR lub 4% rocznego obrotu przedsiębiorstwa.
Zasada celowości, pseudonimizacja i anonimizacja, privacy by design, privacy by default, dane wrażliwe, obowiązek informacyjny, prawo do bycia zapomnianym, profilowanie – to tylko wybrane pojęcia związane z pojawieniem się RODO / GDPR.
Teraz wyobraźmy sobie, iż RODO dotyka całej naszej firmy – w dziale HR (kadr-płac) w końcu zbieramy dane o pracownikach (obecnych, byłych i potencjalnych, rekrutowanych) – w marketingu i sprzedaży mamy informacje o klientach i kontrahentach, potencjalnych klientach. Sekretariat zbiera informacje o korespondencji, osobach kontaktowych. W dziale IT te informacje są przechowywane i często agregowane. Odpowiadamy w końcu za ryzyko wycieku tych danych.
Używamy różnego rodzaju oprogramowanie (pakiety biurowe, systemy dla biznesu, ERP, CRM) – często dając dostęp do tych narzędzi osobom niepowołanym do przetwarzania danych.
Dane osobowe są wszędzie. Czasu zostało niewiele – co robić?
Rekomendujemy kompleksowe przygotowanie do RODO, składające się z kilku etapów:
- Uświadomienie – musimy być pewni, że zarząd i wszyscy decydenci oraz kluczowi pracownicy w firmie wiedzą o RODO / GDPR i wiedzą o konsekwencjach naruszeń.
- Powołanie grupy sterującej uwzględniającej najważniejsze osoby w firmie plus wytypowanie koordynatora.
- Identyfikacja zakresu i miejsc przetwarzania danych w firmie.
- Audyt procedur, dokumentacji, procesów w kluczowych działach (IT, HR, Marketing, Sprzedaż, Administracja, Zarząd).
- Audyt umów, regulaminów, klauzul i zgód – weryfikacja i modyfikacja zgodna z RODO / GDPR.
- Ocena ryzyka wycieku danych osobowych.
- Przygotowanie ogólnych rekomendacji – wytycznych dla poszczególnych działów, stworzenie mapy przepływu danych osobowych w firmie – określenie celu przetwarzania danych, minimalizacja przetwarzanych danych, anonimizacja i pseudonimizacja.
- Opracowanie odpowiedniej dokumentacji w tym. Polityki ochrony danych i odpowiednich procedur.
- Wdrożenie dokumentów, umów, klauzul, regulaminów do praktyki firmy.
- Powołanie Inspektora Danych Osobowych.
- Szkolenia z pracownikami.
- Stały nadzór nad stosowanymi procedurami oraz dokumentami, w tym umowami, regulaminami.
Zapraszamy do kontaktu – już dziś przygotuj firmę na RODO / GDPR z doświadczoną Kancelarią z Krakowa! Jesteśmy gotowi na RODO i już teraz pomagamy przedsiębiorcom w bezbolesnym przejściu procesu jego wdrożenia.
Autor: Adwokat Ewelina Posłajko – właściciel Kancelarii Prawnej LEGALWAYS z Krakowa. Doświadczony prawnik, doradca z zakresu prawa biznesu (umów, spółek), prawa pracy (HR) oraz prawa autorskiego (w tym prawa marketingu).