Media od kilku lat straszą nas RODO, czyli nowym rozporządzeniem dotyczącym ochrony danych osobowych. Ale w rzeczywistości dla wielu biznesów wejście w życie RODO oznacza spore ułatwienie – jeśli oczywiście wiemy, jak się RODO zająć. Przed RODO, aby należycie chronić dane osobowe Klientów, firmy musiały liczyć się z obowiązkami wobec GIODO, czyli Generalnego Inspektora Ochrony Danych Osobowych.
Jak było przed RODO?
Przedsiębiorca, aby móc przetwarzać dane osobowe, musiał wypełnić skomplikowany wniosek. W środowisku nie było jednoznacznej wykładni, czym tak naprawdę są dane osobowe oraz w jakich sytuacjach jesteśmy objęci tym obowiązkiem. Do tego kwitł proceder podszywania się pod GIODO i wykradania danych.
RODO znacznie uprościło te zasady i usunęło z ustawy martwe przepisy.
Nie takie RODO straszne…
Celem wprowadzenia nowego rozporządzenia było doprowadzenie do ujednolicenia prawa dotyczącego danych osobowych w całej Unii Europejskiej. Ma to pozwolić na lepszą kontrolę danych osobowych osób fizycznych i należycie chronić ich interesy.
Rozporządzenie miało też zaktualizować przepisy, by spełniały swoją funkcję w XXI wieku. Obecne prawo w sposób bardziej adekwatny odpowiada na zagrożenia wynikające z użycia nowoczesnych technologii. Jest odpowiedzią na dynamiczny rozwój infrastruktury teleinformatycznej, np. 5G czy przetwarzania w chmurze. Firmy mają coraz większe możliwości pozyskiwania i wykorzystania ogromnych zbiorów danych, czego przykładami są internet rzeczy, big data oraz sztuczna inteligencja.
Od roku z RODO
RODO weszło w życie 25 maja 2018 roku i wprowadziło szereg zmian. Gwarantuje łatwiejszy dostęp do danych oraz prawo do ich przenoszenia pomiędzy przedsiębiorcami. Pojawiły się też pojęcia takie, jak: prawo do bycia zapomnianym, pseudonimizacja oraz szyfrowanie danych.
RODO nie zwalnia z obowiązków, ale nakłada nowe. Przedsiębiorcy muszą stworzyć np. Rejestr Czynności Przetwarzania, w którym szczegółowo opiszą kto, jak i w jakim celu dane przetwarza oraz jak je zabezpiecza. Aby w zgodny z prawem sposób przygotować wszystkie wymagane dokumenty, warto sięgnąć po pomoc eksperta. Dzięki temu nie tylko uchronimy się przed wysokimi karami, ale też zapewnimy standardy bezpieczeństwa i lepsze funkcjonowanie swojej firmy.
Jedną z istotnych zmian jest powołanie Inspektora Danych Osobowych (IOD), który to obowiązek ciąży na części przedsiębiorstw i organizacji. Warto dowiedzieć, się, kiedy powołanie Inspektora jest obowiązkowe. Co ważne, IOD może wykonywać swoje zadania na podstawie umowy o świadczenie usług. W przypadku braku osoby z odpowiednimi kompetencjami, warto zlecić to doświadczonej firmie zewnętrznej.
Czym jest UODO?
Po wejściu w życie RODO Ministerstwo Cyfryzacji zaproponowało likwidację Generalnego Inspektora Ochrony Danych Osobowych i zastąpienie go Prezesem Urzędu Ochrony Danych Osobowych. Stoi on na czele UODO, czyli Urzędu Ochrony Danych Osobowych.
Do UODO wpłynęło już ponad 3 tysiące skarg na naruszenie ochrony danych.
Aby dowiedzieć się więcej o obowiązkach wynikających z nowego rozporządzenia i ciążących na przedsiębiorcach, warto zajrzeć na stronę UODO.
Milion za RODO
W naszym kraju pierwszą firmą, która boleśnie odczuła konsekwencje nowego rozporządzenia, jest Bisnode Polska. UODO ukarał spółkę za to, że pozyskała z ogólnodostępnej bazy informacje o przedsiębiorcach, ale tylko część z nich poinformowała o przetwarzaniu ich danych osobowych.
UODO uznał, że firma powinna poinformować o przetwarzaniu danych wszystkich przedsiębiorców. Także tych, których adresów e-mailowych nie posiadała. Dla firmy wiązałoby się to z rozesłaniem kilkuset tysięcy papierowych powiadomień o fakcie przetwarzania danych.
Kara nałożona na Bisnode Polska wyniosła milion złotych. Warto więc zapoznać się z obowiązkami wynikającymi z RODO i w odpowiedni sposób zabezpieczyć dane osobowe, które przetwarzamy.
W przypadku braku pewności, dobrze jest wykonać w firmie kompleksowy audyt RODO, czyli kompleksowy przegląd pod kątem zgodności z wymaganiami RODO. Uchronimy się dzięki temu przed wysokimi karami. W końcu lepiej zapobiegać, niż leczyć. A sam fakt dobrowolnego poddania się audytowi zwiększy naszą wiarygodność w przypadku ewentualnego sporu.
W trakcie audytu wykonuje się też ocenę ryzyka, a także sprawdza spełnienie wymagań technicznych i organizacyjnych. Po przeprowadzonym audycie firma otrzymuje od wykonawcy zestaw zaleceń, które powinna spełnić, aby funkcjonować zgodnie z nowymi przepisami. Warto też zlecić przygotowanie kompleksowej dokumentacji, która wymagana jest podczas przetwarzania danych.
Można skorzystać też z usługi pełnienia funkcji Inspektora Ochrony Danych, oszczędzając sporo formalności i wydatków na zatrudnienie odpowiedniego pracownika.
Plany kontroli na 2019
Jak możemy przeczytać na stronie UODO, w 2019 roku zostaną przeprowadzone kontrole sektorowe między innymi w obszarach telemarketingu, profilowania w sektorze bankowym i ubezpieczeniowym czy w systemie identyfikacji i monitoringu odpadów. Pod lupą znajdą się również Policja, areszty śledcze oraz Straż Graniczna.
UODO sprawdzi, czy udostępnianie danych w Biuletynie Informacji Publicznej nie narusza obowiązującego rozporządzenia.
Zaplanowane kontrole podyktowane są głównie licznymi sygnałami i skargami wskazującymi na naruszenie przepisów. Szczegółowy plan kontroli na 2019 dostępny jest na tutaj.
Po co nam RODO?
Dobrze być w zgodzie z RODO nie tylko po to, aby uniknąć kar. Ochrona danych osobowych leży w interesie nas wszystkich. W dzisiejszych czasach dane stają się coraz cenniejszym zasobem. W realiach gospodarki opartej o informację, dane stają się wartościowym „towarem”, którego obrót wymaga kompleksowego i nowoczesnego podejścia.