KROK DO RODO – KTÓRE FIRMY MUSZĄ WDROŻYĆ NOWE ZASADY OCHRONY DANYCH OSOBOWYCH


RODO / poniedziałek, kwiecień 2nd, 2018

Jak wynika z badań przeprowadzonych przez IPSOS dla Microsoft, 87% firm zna datę rozpoczęcia obowiązywania RODO. Jesteś w tej grupie?

Krok do RODO czyli 52 dni od dzisiaj

 

Z tych samych badań wynika, że 100% badanych firm ma świadomość, że stoimy u progu zmian w ochronie danych osobowych i że wiąże się to z nowymi obowiązkami, do jakich przedsiębiorcy muszą się przygotować.

Odliczanie do pierwszego dnia obowiązywania RODO słychać coraz głośniej. Licząc od dzisiaj pozostały tylko 52 dni – RODO zacznie obowiązywać 25 maja 2018 r. To niewiele na przygotowanie się do zmian, ale większość małych i średnich organizacji wciąż może zdążyć z wdrożeniem niezbędnych zmian.

 

Czym jest RODO?

 

RODO to rozporządzenie unijne, a bardziej precyzyjnie: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. W skrócie: ogólne rozporządzenie o ochronie danych.

 

Pierwsze ustawy europejskie o ochronie danych osobowych zostały wprowadzone w związku z rozwojem technologicznym i wyzwaniami, jakie się z tym wiązały. Z RODO – czyli po około 50 latach – jest podobnie. Rozwój nowych technologii, zwiększona globalizacja przepływu danych i coraz szerszy dostęp do danych osobowych przez organy ścigania to źródła obecnej reformy. Przez ostatnie 50 lat ustawodawstwa wielu krajów różniły się w podejściu do ochrony danych osobowych. RODO to podejście ma ujednolicić i wprowadzić w kluczowych kwestiach jednolite sposoby ochrony.

 

Pamiętaj też, że za chwilę zacznie obowiązywać też nowa polska ustawa o ochronie danych osobowych. 27 marca rząd przyjął projekt nowej ustawy i teraz pozostaje tylko oczekiwanie na jej – zobaczymy jeszcze w jakim kształcie – wejście w życie. Bez względu na to, co finalnie znajdzie się w polskiej ustawie, każdy do kogo RODO znajduje zastosowanie musi stosować w pierwszej kolejności właśnie przepisy RODO. Jego przepisy mają bezpośredni skutek i muszą być bezpośrednio stosowane.

 

Kto musi stosować RODO?

 

W rozmowach z klientami zdarza mi się słyszeć „my nie musimy wdrażać RODO bo nie przetwarzamy żadnych danych osobowych”. Błąd. W zasadzie każda organizacja przetwarza dane osobowe, co najmniej w zakresie danych swoich pracowników i osób świadczących usługi na podstawie umów cywilnoprawnych.

 

Przede wszystkim RODO muszą stosować organizacje przetwarzające dane w sposób zautomatyzowany lub częściowo zautomatyzowany (np. systemy IT) oraz te, które w inny sposób przetwarzają dane osobowe będące częścią zbioru danych lub mające stanowić część zbioru danych (np. papierowe lub elektroniczne bazy danych klientów). Dotyczy to wszystkich danych, które nie są przetwarzane w ramach czynności o charakterze osobistym i domowym.

 

Zgodny z RODO musi być każdy przedsiębiorca, który prowadzi działalność w Unii Europejskiej, bez względu na formę prawną. Dostosować sposoby przetwarzania danych i wdrożyć odpowiednie zabezpieczenia będzie musiała także ta firma, która na terenie UE ma tylko oddział oraz ta, która działa na terenie UE, ale serwery pozostawia poza jej terytorium. Podleganie RODO obejmie także tych przedsiębiorców, którzy nie mają siedziby w UE, ale oferują swoje towary lub usługi do osób, które na terenie UE się znajdują. Obowiązek dostosowania procedur do nadchodzących zmian spoczywa oczywiście również na podmiotach publicznych.

 

Czym jest przetwarzanie danych osobowych?

 

Wraz z rozwojem nowych technologii mamy dzisiaj dostęp do wielu informacji o osobach fizycznych. Stworzenie zamkniętego katalogu danych osobowych nie jest możliwe. Zaliczamy do nich w szczególności imię i nazwisko, datę urodzin, miejsce zamieszkania, identyfikator internetowy, numer identyfikacyjny, dane o lokalizacji, ale i kolor oczu, informacje o stanie zdrowia czy te dotyczące poglądów politycznych.

 

RODO precyzuje, że przetwarzaniem danych osobowych jest operacja lub zestaw operacji wykonywanych na danych osobowych, takich jak:

  • zbieranie (np. poprzez formularz elektroniczny na stronie internetowej),
  • utrwalanie (np. zapisywanie danych na kartce papieru),
  • organizowanie,
  • porządkowanie,
  • przechowywanie (np. umieszczenie w chmurze),
  • adaptowanie lub modyfikowanie,
  • pobieranie,
  • przeglądanie,
  • wykorzystywanie,
  • ujawnianie poprzez przesłanie,
  • rozpowszechnianie lub innego rodzaju udostępnianie,
  • dopasowanie lub łączenie,
  • ograniczanie,
  • usuwanie lub niszczenie.

 

Jak widzisz, już sam fakt przechowywania danych, nawet jeżeli z nich nie korzystasz, jest rozumiany jako przetwarzanie. Oznacza to, że nawet w takiej sytuacji musisz stosować RODO.

 

Właściwie każda organizacja musi przygotować się do RODO. Jeżeli nie wiesz, jak to zrobić, pierwszą czynnością, jaką powinieneś przeprowadzić lub zlecić firmie zewnętrznej jest audyt zgodności przetwarzania danych osobowych z RODO. Taki audyt powinien zakończyć się raportem zawierającym analizę stanu obecnego i rekomendacji co do podjęcia niezbędnych działań, aby tę zgodność zapewnić.

 

Jeżeli chcesz wiedzieć więcej o RODO, zapisz się na powiadomienia o nowych artykułach na moim blogu.

Dodaj komentarz