RODO to skrót, którzy przyprawia o zawrót głowy i stres u niejednego przedsiębiorcy. Co zmieni się w ochronie danych osobowych, co trzeba zmienić w swojej firmie i jakie konsekwencje niosą za sobą nowe zapisy w ustawach? Przygotowaliśmy przewodnik od A do Z, dzięki któremu z łatwością poradzicie sobie z wdrożeniem nowego rozporządzenia do swojego przedsiębiorstwa. Spieszcie się, bo zmiany nastąpią już z dniem 25 maja 2018 roku!
Czym jest RODO? Główne zmiany
Skrót RODO oznacza po prostu Ogólne rozporządzenie o ochronie danych, które wprowadzane jest na terenie całej Unii Europejskiej przez Parlament Europejski i Radę Unii Europejskiej. Rozporządzenie było przygotowane i uchwalone już w kwietniu 2016 roku, a wszystkie kraje Unii miały za zadanie przez dwa lata pracować nad tym, by zostało wprowadzone o czasie (tzw. okres przejściowy), czyli 25 maja 2018 roku. Również Polska miała dostosować swoje prawo i rozporządzenia w zgodzie z nadchodzącymi zmianami. Prezydent Rzeczpospolitej Polski już podpisał odpowiednią ustawę, która ma ułatwić wprowadzenie do polskiego prawa zasad RODO.
Pewnie już dostaliście mnóstwo e-maili z internetowych sklepów, w których kupujecie, od instytucji, od których otrzymujecie newslettery, czy od Waszych kontrahentów. Wszyscy na potęgę zmieniają swoje regulaminy, politykę prywatności i zasady przechowywania oraz używania Waszych danych osobowych. To ważne, bo brak zmian, może skutkować karą. A za co można dostać karę? Podpowiadamy, jakie są najważniejsze zapisy ustawy RODO.
Jej głównym celem jest ujednolicenie prawa związanego z ochroną danych osobowych na terenie wszystkich państw członkowskich Unii Europejskiej. Zgodnie z tym prawem mieszkańcy Europy mają mieć większą kontrolę nad swoimi danymi, nad informacjami, kto i w jakim celu je przetwarza, a jednocześnie nieco uprościć i ułatwić prawo we wszystkich krajach.
Powstaje nowe ważne stanowisko – Prezesa Urzędu Ochrony Danych Osobowych, który zastąpi dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Do zadań prezesa urzędu będzie należało kształtowanie wewnętrznych zasad, jakie będą panowały w tej instytucji. Już zostało zapowiedziane, że powstanie 10 zespołów roboczych, które zajmą się poszczególnymi działami związanymi z kontrolą przetwarzania i przechowywania danych osobowych. Będą to zespoły: ds. kar i egzekucji, współpracy z administratorami danych, analiz i strategii, wstępnej oceny skarg, współpracy międzynarodowej i edukacji, ds. przetwarzania danych w sektorze publicznym, ds. przetwarzania danych w sektorze prywatnym oraz ds. przetwarzania danych w sektorze zdrowia, zatrudnienia i szkolnictwa. Na szczęście zostanie zlikwidowane prawo, mówiące o tym, że przedsiębiorca musi zawiadamiać GIODO o tym, że posiada zbiory danych osobowych. Konieczne będzie jedynie posiadanie wewnętrznych praw i rejestrów, które będą zawierały powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń, incydentów oraz rozwój tych rejestrów.
Prawo RODO obowiązuje każdego przedsiębiorcę, nawet tego, który prowadzi jednoosobową firmę. W końcu każdy ma kontrahentów, współpracowników i klientów, których dane przetwarza – czy to konstruując umowy, wysyłając oferty poprzez adres e-mail czy dzwoniąc, by dogadać szczegóły współpracy. Na każdą z tych czynności musi zgodzić się osoba, której dane osobowe mamy (i przetwarzamy). Za każdym razem, gdy chcemy przetwarzać czyjeś dane, musimy mieć odpowiednie przesłanki do tego, by te dane zbierać. Przesłanką może być już konieczność kontaktu, wysyłania e-mailem statusu realizacji projektu czy zamówienia, a także konieczność zbierania danych do celów statystycznych.
Firma, która ma dane osobowe, musi też określić, jakie jest ryzyko przechowywania tych danych oraz dostosować tak swoje zabezpieczenia i procedury, by ewentualne ryzyko maksymalnie zminimalizować. Co ważne, jeśli planujemy dane naszych klientów przekazywać do państwa trzeciego, czyli tego, które działa poza Europejskim Obszarem Gospodarczym, musimy ustalić podstawy do przekazywania tych danych. Jednym słowem – został znacząco zwiększony obowiązek informacyjny o procesach przetwarzania.
Prawa osób, których dane przetwarzamy
W związku z RODO powstał też nowy katalog praw osób, których dane osobowe przetwarzamy, posiadamy i wykorzystujemy. Prawa te sprowadzają się do czterech ważnych zasad: prawa do sprzeciwu, prawa dla sprostowania, prawa do informacji i prawo dostępu. Na czym one polegają? Przede wszystkim firmy muszą tak dostosować swoje systemy teleinformatyczne, aby na nasze żądanie można było usunąć dane lub przenieść je do innej firmy. Tak działa prawo do zapomnienia, bo dane powinny zostać bezpowrotnie skasowane. W praktyce będzie polegało to na tym, że występujemy do naszego współpracownika czy kontrahenta z prośbą o całkowite skasowanie danych, a on powinien dokładnie je wyczyścić. Jeśli się okaże, że tego nie zrobił, jest to podstawa do uzyskania wysokiego odszkodowania.
Ważnym prawem jest konieczność informowania o tym, w jakim celu i na jakich zasadach będziemy przetwarzać dane osobowe. Prawo RODO wymaga tego, by dokładnie wymieniać cele operowania danymi osobowymi, ale też wymieniać, komu te dane przekażemy – na przykład, jeśli korzystamy z zewnętrznej firmy księgowej, należy zawrzeć to w umowie. Każda osoba, której dane przetwarzamy, ma prawo do wglądu w nie, korygowania informacji w nich zawartych oraz przeniesienia ich do innej firmy (bez wyjaśnień, dlaczego podjęła taką decyzję). Osoby, których dane będziemy przechowywać, będą także miały rozszerzone prawo sprzeciwu wobec przetwarzania ich danych, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych. Oznacza to też koniec profilowania klientów, które jest teraz bardzo ważne w marketingu internetowym.
Zdjęcie: Depositphotos.com
Wdrażanie RODO w firmie
Wdrażanie RODO do firmy powinno zacząć się od audytu. Sprawdźcie, jakie dane przechowujecie, w jaki sposób i kto ma do nich dostęp. Zastanowicie się także, jak zabezpieczacie dane osobowe, jakie są procedury bezpieczeństwa i kto do tej pory był odpowiedzialny za weryfikację poprawności zbiorów danych osobowych. Skoncentrujcie się też na tym, jak wyglądają Wasze dokumenty. Czy w umowach zawieracie klauzulę o konieczności przetwarzania danych? Czy nowozatrudnieni wiedzą, kto i w jaki sposób będzie wykorzystywał dane? W obliczu RODO trzeba dokładnie przyjrzeć się wszystkim dokumentom, jakie powstają w przedsiębiorstwie i zawierają dane osobowe.
Kolejny etap wprowadzania RODO do przedsiębiorstwa to przede wszystkim ustalenie kodeksu dobrych praktyk. To świetna okazja, byście zrobili porządek w swoich bazach danych i zastanowili się, jakie grupy pracowników powinny mieć dostęp do konkretnych grup danych. Ważne jest też przyjrzenie się przyziemnym sprawom i ustalenie nowych zasad. Od dzisiaj blokujcie monitor ekranu komputera, gdy odchodzicie od biurka. W drukarce biurowej zainstalujcie możliwość drukowania wędrującego (maszyna wydrukuje dokument dopiero wtedy, gdy podejdziecie do niej i wciśniecie odpowiedni przycisk). Porozmawiajcie z informatykiem, by ten zaszyfrował Wasz komputer i twardy dysk. Koniecznie dokładnie opiszcie segregatory i teczki biurowe, w których przechowujecie dokumenty z danymi osobowymi Waszych klientów i pracowników. Należy przechowywać je w szafkach, które zamykane są na klucz, lub w inny sposób zabezpieczone. Ponadto pamiętajcie o tym, że ważnych dokumentów i danych osobowych nie wolno przechowywać na biurku w popularnych kuwetach, koszach czy pojemnikach, a tym bardziej na stosikach, kojarzonych z biurkami księgowych i prezesów. Lepiej jest korzystać z szuflad w biurkach lub poręcznych kontenerków chowanych pod blatem. Niezwykle ważny jest aspekt niszczenia dokumentów, których nie można po prostu zgnieść i wyrzucić do kosza. Niezbędna w każdej firmie jest niszczarka dokumentów – tylko ona tak dobrze „przemieli” papiery z danymi osobowymi, że nikt nie będzie miał prawa do roszczeń.
Kiedy już wiecie, co robiliście źle, ale jednocześnie ustaliliście, jak ma wyglądać w Waszej firmie realizacja rozporządzenia RODO, czas na szkolenia. Przedstawcie pracownikom swoje pomysły, pokażcie, na czym dokładnie będą polegały zmiany, ale też wysłuchajcie ich głosów. Może podpowiedzą Wam coś więcej? Bezpiecznie jest także przygotowanie oświadczeń do podpisania po szkoleniu, w których pracownicy zobowiązują się do przestrzegania nowych reguł pracy. Po czasie, jaki im dacie na wdrożenie zmian RODO do codziennej pracy, konieczna będzie weryfikacja. Możecie sami przeprowadzić kolejny audyt lub zlecić badanie zewnętrznej firmie. Na przykład takiej, która do firmy wyśle tajemniczego klienta.
Naruszenie bezpieczeństwa danych osobowych (uwaga: kary!)
Firma, która przetwarza dane osobowe, ma obowiązek tak o nie dbać, by były bezpiecznie, nie dostały się w niepowołane ręce ani nie zostały skopiowane przez kogoś wrogiego. Jeśli jednak tak się stanie, a my mamy podejrzenie, że ktoś wykradł nam dane, należy jak najszybciej poinformować odpowiedni urząd, czyli Urząd Ochrony Danych Osobowych. Warto też poinformować o tym osobę, której dane zostały utracone. Co oznacza „jak najszybciej”? W ciągu 72 godzin – ustawa RODO podaje konkretne godziny. Te zmiany RODO związane są z faktem, że od 25 maja 2018 roku bezpośrednią odpowiedzialność za dane osobowe będzie miał przetwarzający je – firma, przedsiębiorca czy administrator bezpieczeństwa informacji.
Nowe kary za naruszenie bezpieczeństwa danych osobowych, czyli popularne wycieki, są znacznie wyższe niż te, jakie do tej pory obowiązywały w naszym kraju. Kara taka może wynosić nawet 20 mln euro lub 4 procent całego obrotu firmy. Przy czym kwoty te nie dotyczą organów administracji publicznej ani instytucji kultury. Na te pierwsze można nałożyć karę wysokości maksymalnie 100 tys. zł, a na instytucje kultury maksymalnie 10 tys. zł. Warto wiedzieć o tym, że podane kwoty, to maksymalny wymiar kary. A stosowanie ich będzie opierało się na zasadzie proporcjonalności – im większa firma i przewinienie większe, tym wyższy wymiar kary, a za małe „wycieki” nie powinniśmy spodziewać się aż tak wysokich i druzgocących kar.