Media od kilku lat straszą nas RODO, czyli nowym rozporządzeniem dotyczącym ochrony danych osobowych. Ale w rzeczywistości dla wielu biznesów wejście w życie RODO oznacza spore ułatwienie – jeśli oczywiście wiemy, jak się RODO zająć. Przed RODO, aby należycie chronić dane osobowe Klientów, firmy musiały liczyć się z obowiązkami wobec GIODO, czyli Generalnego Inspektora Ochrony Danych Osobowych.

Jak było przed RODO?

Przedsiębiorca, aby móc przetwarzać dane osobowe, musiał wypełnić skomplikowany wniosek. W środowisku nie było jednoznacznej wykładni, czym tak naprawdę są dane osobowe oraz w jakich sytuacjach jesteśmy objęci tym obowiązkiem. Do tego kwitł proceder podszywania się pod GIODO i wykradania danych.

RODO znacznie uprościło te zasady i usunęło z ustawy martwe przepisy.

Nie takie RODO straszne…

Celem wprowadzenia nowego rozporządzenia było doprowadzenie do ujednolicenia prawa dotyczącego danych osobowych w całej Unii Europejskiej. Ma to pozwolić na lepszą kontrolę danych osobowych osób fizycznych i należycie chronić ich interesy.

Rozporządzenie miało też zaktualizować przepisy, by spełniały swoją funkcję w XXI wieku. Obecne prawo w sposób bardziej adekwatny odpowiada na zagrożenia wynikające z użycia nowoczesnych technologii. Jest odpowiedzią na dynamiczny rozwój infrastruktury teleinformatycznej, np. 5G czy przetwarzania w chmurze. Firmy mają coraz większe możliwości pozyskiwania i wykorzystania ogromnych zbiorów danych, czego przykładami są internet rzeczy, big data oraz sztuczna inteligencja.

Od roku z RODO

RODO weszło w życie 25 maja 2018 roku i wprowadziło szereg zmian. Gwarantuje łatwiejszy dostęp do danych oraz prawo do ich przenoszenia pomiędzy przedsiębiorcami. Pojawiły się też pojęcia takie, jak: prawo do bycia zapomnianym, pseudonimizacja oraz szyfrowanie danych.

RODO nie zwalnia z obowiązków, ale nakłada nowe. Przedsiębiorcy muszą stworzyć np. Rejestr Czynności Przetwarzania, w którym szczegółowo opiszą kto, jak i w jakim celu dane przetwarza oraz jak je zabezpiecza. Aby w zgodny z prawem sposób przygotować wszystkie wymagane dokumenty, warto sięgnąć po pomoc eksperta. Dzięki temu nie tylko uchronimy się przed wysokimi karami, ale też zapewnimy standardy bezpieczeństwa i lepsze funkcjonowanie swojej firmy.

Jedną z istotnych zmian jest powołanie Inspektora Danych Osobowych (IOD), który to obowiązek ciąży na części przedsiębiorstw i organizacji. Warto dowiedzieć, się, kiedy powołanie Inspektora jest obowiązkowe. Co ważne, IOD może wykonywać swoje zadania na podstawie umowy o świadczenie usług. W przypadku braku osoby z odpowiednimi kompetencjami, warto zlecić to doświadczonej firmie zewnętrznej.

Czym jest UODO?

Po wejściu w życie RODO Ministerstwo Cyfryzacji zaproponowało likwidację Generalnego Inspektora Ochrony Danych Osobowych i zastąpienie go Prezesem Urzędu Ochrony Danych Osobowych. Stoi on na czele UODO, czyli Urzędu Ochrony Danych Osobowych.

Do UODO wpłynęło już ponad 3 tysiące skarg na naruszenie ochrony danych.

Aby dowiedzieć się więcej o obowiązkach wynikających z nowego rozporządzenia i ciążących na przedsiębiorcach, warto zajrzeć na stronę https://uodo.gov.pl/.

Milion za RODO

W naszym kraju pierwszą firmą, która boleśnie odczuła konsekwencje nowego rozporządzenia, jest Bisnode Polska. UODO ukarał spółkę za to, że pozyskała z ogólnodostępnej bazy informacje o przedsiębiorcach, ale tylko część z nich poinformowała o przetwarzaniu ich danych osobowych.

UODO uznał, że firma powinna poinformować o przetwarzaniu danych wszystkich przedsiębiorców. Także tych, których adresów e-mailowych nie posiadała. Dla firmy wiązałoby się to z rozesłaniem kilkuset tysięcy papierowych powiadomień o fakcie przetwarzania danych.

Kara nałożona na Bisnode Polska wyniosła milion złotych. Warto więc zapoznać się z obowiązkami wynikającymi z RODO i w odpowiedni sposób zabezpieczyć dane osobowe, które przetwarzamy.

W przypadku braku pewności, dobrze jest wykonać w firmie kompleksowy audyt RODO, czyli kompleksowy przegląd pod kątem zgodności z wymaganiami RODO. Uchronimy się dzięki temu przed wysokimi karami. W końcu lepiej zapobiegać, niż leczyć. A sam fakt dobrowolnego poddania się audytowi zwiększy naszą wiarygodność w przypadku ewentualnego sporu.

W trakcie audytu wykonuje się też ocenę ryzyka, a także sprawdza spełnienie wymagań technicznych i organizacyjnych. Po przeprowadzonym audycie firma otrzymuje od wykonawcy zestaw zaleceń, które powinna spełnić, aby funkcjonować zgodnie z nowymi przepisami.  Warto też zlecić przygotowanie kompleksowej dokumentacji, która wymagana jest podczas przetwarzania danych.

Można skorzystać też z usługi pełnienia funkcji Inspektora Ochrony Danych, oszczędzając sporo formalności i wydatków na zatrudnienie odpowiedniego pracownika.

Plany kontroli na 2019

Jak możemy przeczytać na stronie UODO, w 2019 roku zostaną przeprowadzone kontrole sektorowe między innymi w obszarach telemarketingu, profilowania w sektorze bankowym i ubezpieczeniowym czy w systemie identyfikacji i monitoringu odpadów. Pod lupą znajdą się również Policja, areszty śledcze oraz Straż Graniczna.

UODO sprawdzi, czy udostępnianie danych w Biuletynie Informacji Publicznej nie narusza obowiązującego rozporządzenia.

Zaplanowane kontrole podyktowane są głównie licznymi sygnałami i skargami wskazującymi na naruszenie przepisów. Szczegółowy plan kontroli na 2019 dostępny jest na stronie: https://uodo.gov.pl/p/kontrole.

Po co nam RODO?

Dobrze być w zgodzie z RODO nie tylko po to, aby uniknąć kar. Ochrona danych osobowych leży w interesie nas wszystkich. W dzisiejszych czasach dane stają się coraz cenniejszym zasobem. W realiach gospodarki opartej o informację, dane stają się wartościowym „towarem”, którego obrót wymaga kompleksowego i nowoczesnego podejścia.