W dniu 25 maja 2018 roku każda firma na terenie UE, w tym w Polsce, musi zapewnić pełne wdrożenie procedur, których stosowania wymaga RODO („Rozporządzenie o ochronie danych osobowych”). Jest to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Rozporządzenie dotyczyć będzie wszystkich, którzy zatrudniają pracowników oraz przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą. Wprowadza ono wiele zmian, w tym rozszerza zakres obowiązków administratorów oraz podmiotów przetwarzających dane, natomiast osoby fizyczne i organy nadzorujące wyposaża w skuteczne narzędzia reagowania na naruszenia Rozporządzenia, w tym przede wszystkim Prezesa Urzędu Ochrony Danych Osobowych - w możliwość nałożenia dotkliwych kar pieniężnych.
Czego m.in. będzie wymagać od nas RODO?
większej samodzielności administratorów danych, a w konsekwencji, dużej odpowiedzialności za bezpieczeństwo przetwarzanych danych. Rozporządzenie nie mówi nam wprost, jakie zabezpieczenia techniczne i organizacyjne należy wdrożyć. Musimy samodzielnie dokonać analizy ryzyka związanego z przetwarzanymi danymi osobowymi oraz wdrożyć odpowiednie zabezpieczenia, dokumentację i procedury przetwarzania danych, tak, aby zapewnić zgodność z RODO. Przed nami więc ostatnie tygodnie na przeanalizowanie, jakie dane osobowe i na jakiej podstawie prawnej przetwarzamy, komu je udostępniamy oraz w jaki sposób je zabezpieczamy. Taka wstępna analiza pomoże w uporządkowaniu dokumentacji, procedur oraz w podjęciu niezbędnych działań związanych z RODO;
prowadzenia przez każdego administratora danych osobowych rejestru czynności przetwarzania tych danych, jako jednego z podstawowych sposobów wykazania zgodności prowadzonych działań na danych osobowych z wymogami RODO. Wymagane obszary rejestru to m.in. nazwa, dane kontaktowe administratora, cele przetwarzania danych, opis kategorii osób, których dane dotyczą, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, terminy usunięcia określonych kategorii danych, a także opis technicznych i organizacyjnych środków zabezpieczeń;
respektowania nowych uprawnień przyznanych osobom, których dane są przetwarzane. Jako administrator będziemy musieli wykazać, że osoba, której dane dotyczą, wyraziła (spełniającą kryteria RODO) zgodę na przetwarzanie swoich danych; musimy zapewnić jej prawo wycofania zgody w dowolnym momencie, niezależnie od celu wyrażonej zgody, a także prawo do bycia poinformowaną o tym przed wyrażeniem zgody. Pojawią się nowe rozwiązania, np. prawo do przenoszenia danych, które m.in. pozwoli w określonych sytuacjach na otrzymanie od administratora danych, które zostały mu uprzednio dostarczone, czy też na bezpośrednie przekazywanie danych osobowych od jednego administratora do innego. To dobry moment na sprawdzenie funkcjonowania procedur pozwalających na korzystanie z obecnych praw (np. jak funkcjonuje obsługa zlecenia usunięcia danych);
zwiększonej ochrony danych osobowych pracowników i kandydatów biorących udział w rekrutacjach. Z punktu widzenia prawnego i technicznego, zastosowanie podczas rekrutacji jedynie skrzynki email oraz arkusza kalkulacyjnego nie będzie spełniało wymogów RODO po 25 maja 2018 r. Dostosowania do nowych wymogów będą wymagały szczególnie rekrutacje ukryte, bazy kandydatów odrzuconych oraz przechowywanie aplikacji kandydatów wewnątrz firmy. Będzie konieczność m.in. ograniczenia dostępu do danych wyłącznie do osób zaangażowanych w proces rekrutacji; spełnienia obowiązków informacyjnych m.in. co do celu przetwarzania danych, okresu ich przechowywania, odbiorców danych, czy też w zakresie prawa wniesienia skargi do organu nadzorczego. Ponadto, jeżeli zdecydujemy się na zlecenie rekrutacji podmiotowi zewnętrznemu, będziemy musieli poddać analizie ten podmiot (tzw. procesor), któremu mają być powierzone są dane kandydatów, pod kątem bezpieczeństwa danych i zastosowania odpowiednich środków technicznych i organizacyjnych. Pamiętajmy, że samo zawarcie umowy zlecającej przeprowadzenie rekrutacji nie zwolni nas z obowiązku zapewnienia, aby dane były przetwarzane i chronione zgodnie z wymogami RODO;
natychmiastowego informowania o naruszeniu bezpieczeństwa danych. RODO wymaga od nas (jako administratora danych) gotowości do wykrycia, analizy i zgłoszenia naruszeń danych w bardzo krótkim czasie, tj. w ciągu 72 godzin od incydentu. RODO wyraźnie precyzuje, kiedy będzie trzeba poinformować organ nadzorczy, a kiedy także osoby, których naruszenie dotyczyło;
obowiązkowego powołania Inspektora Ochrony Danych Osobowych (IOD) przez trzy kategorie podmiotów: 1. organ lub podmiot publiczny, z wyjątkiem sądów; 2. administrator / podmiot przetwarzający, którego działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (np. firma hostingowa, firma świadcząca usługi call center, firma świadcząca usługi pośrednictwa pracy); 3. administrator / podmiot przetwarzający, którego działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Wobec ilości nowych obowiązków wynikających z wejścia w życie RODO, bardzo pomocne może być zastosowanie odpowiedniego systemu dedykowanego, dzięki któremu przedsiębiorca będzie w stanie w każdym momencie wykazać zgodność sposobu gromadzenia i przetwarzania danych osobowych z wymogami wynikającymi z rozporządzenia z RODO podczas ewentualnej kontroli PUODO (Prezes Urzędu Ochrony Danych Osobowych – nowy organ, który zastąpi GIODO zgodnie z polskimi przepisami).
Wysokie kary w przypadku niedostosowania się do nowej regulacji
Obowiązujące obecnie przepisy umożliwiają nałożenie na przedsiębiorców kar nieprzekraczających jednorazowo 50 tys. zł.
W przypadku stwierdzenia naruszenia zasad ochrony danych osobowych po 25 maja 2018 r. PUODO będzie uprawniony do nakładania administracyjnych kar pieniężnych sięgających kwoty maksymalnej 20 mln euro, a w przypadku przedsiębiorstwa w wysokości 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (obowiązuje kwota wyższa).
Zachęcamy przedsiębiorców, aby nie czekali z wprowadzeniem odpowiednich rozwiązań informatycznych i przeznaczyli najbliższe tygodnie na analizę stanu ochrony posiadanych i przetwarzanych danych klientów i pracowników, pod kątem wdrożenia polityki ochrony danych wynikającej z RODO, a także dostosowania rozwiązań i narzędzi do wymagań wynikających z rozporządzenia.
Więcej informacji, a także zegar odliczający dni dzielące nas od RODO znajdą Państwo na stronie https://www.giodo.gov.pl.