Aktualizacja:
RODO – Rozporządzenie o Ochronie Danych Osobowych – wchodzi w życie już 25 maja 2018 roku. Dotyczyć będzie wszystkich bez wyjątku przedsiębiorstw, które przetwarzają jakiekolwiek dane osobowe – również tych najmniejszych.
Nie uważaj się zatem za kogoś, kogo nie dotyczy RODO. Jeśli Twoja firma zbiera dane klientów, pracowników czy kontrahentów, jeśli prowadzisz newsletter albo nawet stronę internetową, która instaluje gościom pliki cookies – nowe przepisy dotyczyć będą także właśnie Ciebie. Jak zatem przygotować się na RODO?
Co najistotniejsze, w treści rozporządzenia nie znajdziesz uniwersalnych wytycznych, które wystarczyłoby wdrożyć w Twojej firmie. Musisz samodzielnie zinterpretować przepisy zawarte w RODO i odnieść je do bieżącej polityki bezpieczeństwa informacji w Twoim przedsiębiorstwie. W tym celu niezbędne będzie przeprowadzenie audytu pod kątem RODO, który wykaże, jak do tej pory wyglądała opieka nad danymi personalnymi i co musisz zrobić, by nie narazić się na przykre konsekwencje.
W pierwszej kolejności musisz zbadać legalność przetwarzania danych osobowych w Twojej firmie (np. sprawdzić, czy posiadasz właściwe zgody na przetwarzanie danych osobowych albo czy Twoi pracownicy mają upoważnienia do przetwarzania danych). Wśród nowych obowiązków należy wymienić także przeprowadzenie analizy ryzyka, prowadzenie dokumentacji ochrony danych osobowych czy powołanie IODO – Inspektora Ochrony Danych Osobowych.
Zmianom ulegnie także wiele pojęć, z którymi do tej pory miałeś styczność. Na przykład – instytucja GIODO zostanie zastąpiona, a to, co wcześniej określane było mianem „danych wrażliwych”, teraz nazywane będzie danymi zaliczającymi się do szczególnej kategorii danych – czyli tych dotyczących np. pochodzenia, religii, światopoglądu, zdrowia, seksualności itp.
Pojawią się także – i to zapewne w powszechnym użyciu – zupełnie nowe terminy, na przykład „prawo do bycia zapomnianym”, na mocy którego każda osoba fizyczna może pod pewnymi warunkami domagać się usunięcia z naszej bazy swoich danych.
Niestety, za niedopełnienie obowiązków w związku z RODO ustawodawca przewidział surowe kary, na które narazimy się, jeśli zbagatelizujemy wdrożenie rozporządzenia. Od 25 maja będziesz miał obowiązek samodzielnego zgłaszania incydentów naruszenia danych osobowych w ciągu 72h od ich wystąpienia – w przeciwnym razie konsekwencje, które Cię dotkną, będą jeszcze poważniejsze.
Karę możesz dostać np. za naruszenie zasad bezpieczeństwa czy celowości przetwarzania danych, brak rejestru czynności przetwarzania danych osobowych lub łączenie zgód na przetwarzanie danych.
Na szczęście, przed wieloma tego rodzaju błędami możesz się ochronić, używając dostosowanego do RODO systemu IT. W przypadku mikrofirm, takim rozwiązaniem jest Comarch Betterfly, który już niebawem zostanie wyposażony w takie funkcje, jak choćby prowadzenie wspomnianego rejestru czynności przetwarzania danych osobowych czy anonimizację danych (dzięki której wyegzekwujesz prawo do bycia zapomnianym). O szczegółach przeczytasz więcej tutaj.
