Z dniem 25 maja 2018 r. na terenie całej Unii Europejskiej w życie wejdą przepisy dotyczące ochrony danych osobowych – RODO. Nowe przepisy zwiększają uprawnienia osób, których dane dotyczą, nakładają nowe wymogi i obowiązki na administratorów danych i podmioty, które je przetwarzają. Dotyczy to zwłaszcza przedsiębiorców.
Dla obywateli nowe przepisy mogą stanowić ulgę od niechcianych ofert reklamowych, a dla przedsiębiorców – istotne zmiany w funkcjonowaniu m.in. takich obszarów, jak marketing, obsługa klientów, kadry i IT.
Unijne rozporządzenie wprowadza m.in. bezpośrednią odpowiedzialność podmiotu przetwarzającego dane, np. dostawcy usług w chmurze lub firmy hostingowej, konieczność zgłaszania przez administratora danych naruszeń praw i swobód osób, których dane są przetwarzane, „prawo do bycia zapomnianym” oraz szerszy wgląd w dane przez obywateli, którzy nie chcą, aby ich dane były przetwarzane. Zmiany dotyczą także ograniczenia profilowania, na które obywatel musi wydać zgodę, ustanowienia Inspektora Ochrony Danych Osobowych, nowych zasad uzyskiwania zgód na przetwarzanie danych czy wymogu zachowania wysokiego poziomu zabezpieczenia przy ich transferze poza UE.
Co ważne, niestosowanie się do nowych przepisów może wiązać się z wysokimi karami finansowymi sięgającymi nawet 20 mln euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy z roku obrotowego poprzedzającego naruszenie. Aby uniknąć problemów, przedsiębiorcy, którzy przetwarzają dane swoich klientów i pracowników, muszą właściwie przygotować swoje organizacje do wdrożenia nowych przepisów, co stanowi poważne wyzwanie obejmujące wiele płaszczyzn działalności firmy. Wyzwanie tym większe, że na jego realizację pozostało zaledwie kilka miesięcy.
Jakie narzędzia używać, żeby poradzić sobie z tematem:
1. Narzędzia systemowe:
Dostosowanie systemów IT funkcjonujących w firmie. Muszą one m.in. sprostać zadaniu tworzenia cyklicznych analiz oceny ryzyka przetwarzania danych. Oznacza to, że należy stworzyć taki system przechowywania i przetwarzania danych, aby zespół IT miał dostęp do wszystkich danych na wszystkich serwerach i urządzeniach, z których korzystają pracownicy. Odpowiednio przygotowany system IT musi spełniać także rolę repozytorium dokumentów, takich jak zgody na przetwarzanie danych, a także realizować obowiązek informacyjny, czyli przekazywać klientom szczegółowe informacje na temat gromadzonych i przetwarzanych danych.
System IT musi sprostać realizacji tzw. prawa do bycia zapomnianym, które zapewnia obywatelom możliwość wymazania ich danych ze wszystkich baz, na wszystkich urządzeniach
i nośnikach, z jakich korzysta firma i jej pracownicy, dlatego też warto zadbać, aby system był spójny, a dane przechowywane w jednym miejscu w sposób uporządkowany. Ponadto przedsiębiorca jako administrator danych zobowiązany jest do monitorowania incydentów związanych z bezpieczeństwem danych i informowania organów nadzoru o stwierdzonych naruszeniach w ciągu 72 godzin.
- Procesy biznesowe:
Konieczne będzie nie tylko przeformułowanie formularzy zgód na pozyskiwanie i przetwarzanie danych, ale także scenariuszy działań podejmowanych przy bezpośrednim kontakcie z klientem. Nieodzowne będzie ograniczenie swobody pracowników w zakresie przenoszenia danych klientów na nośniki zewnętrzne i urządzenia mobilne, szczególnie osobiste używane w celach służbowych. Oznacza to jednocześnie zmianę przyzwyczajeń pracowników.
RODO, narzucając dodatkowe obowiązki, stworzy nowe procesy, takie jak obsługa żądań o usunięcie danych ze zbiorów firmy, tworzenie cyklicznych analiz ryzyka oraz (w przypadku dużych przedsiębiorców lub przetwarzających dane wrażliwe) ocen skutków przetwarzania danych i prowadzenie rejestru czynności przetwarzania danych, a także informowania organów nadzorczych i klientów o ewentualnych wyciekach danych. Procesy te należy odpowiednio wcześniej przygotować.
- Inspektor Ochrony danych Osobowych:
Na gruncie nowych przepisów Administratora Bezpieczeństwa Danych zastąpi Inspektor Ochrony Danych Osobowych, który ma zadbać o ochronę danych osobowych w firmie i odciążyć w tym zakresie administratora danych osobowych. Będzie on sprawował kontrolę nad przestrzeganiem przepisów o ochronie danych, aby przedsiębiorca był o to spokojny. Powołanie IODO będzie konieczne jedynie w przypadkach uzasadnionych przez rodzaj, zakres i cel przetwarzania danych.
Wymienione przykłady obszarów funkcjonowania przedsiębiorstwa, w których RODO będzie ingerowało w strukturę firmy to zaledwie czubek góry lodowej. Na gruncie każdej organizacji wdrożenie RODO będzie wymagało podjęcia szeregu złożonych działań, które pozwolą przede wszystkim na odkrycie, jakimi zasobami danych osobowych firma dysponuje, w jaki sposób są obecnie przetwarzane i jak dostosować aktualne procesy do wymogów nowych przepisów. Konieczne będzie prawdopodobnie dostosowanie systemów IT, wybór właściwych systemów bezpieczeństwa danych a także przeprowadzenie szkoleń dla pracowników. Nie są to działania, które można podjąć w ostatniej chwili, dlatego termin kilku miesięcy na przygotowanie się do zmian to w rzeczywistości zaledwie chwila.