O tym, że czekają nas bardzo istotne zmiany prawne w zakresie ochrony danych osobowych, słyszał już niemal każdy. Chyba wszyscy już wiedzą o tzw. RODO, czyli Rozporządzeniu Parlamentu Europejskiego i Rady nr 2016/679, które weszło w życie w 2016 roku i zacznie obowiązywać w 2018 roku. Po tej dacie cały proces przetwarzania danych osobowych będzie musiał odpowiadać wszystkim wymogom RODO, bez względu na to, w jakiej branży działa dany podmiot.
Jakie zmiany musisz wdrożyć w swojej firmie, aby przygotować się do stosowania nowych przepisów?
Widmo kar finansowych powinno odpowiednio zmotywować każdego administratora danych do uporządkowania tego obszaru swojej działalności i dostosowania go do wymogów RODO. Unijne przepisy przewidują bowiem możliwość nałożenia kary do 4% rocznego światowego obrotu z poprzedniego roku obrotowego danego podmiotu lub do 20 milionów euro!
Z uwagi na zakres zmian i ryzyko odpowiedzialności, wdrażania przepisów RODO do naszej działalności nie powinniśmy zostawiać na ostatnią chwilę. Okres przejściowy, to doskonały moment na to, aby przygotować się do nadchodzących zmian.
Sprawdź, jak Ty możesz się skutecznie przygotować do stosowania RODO.
1. Czy klauzule zgód w Twojej firmie odpowiadają wymogom RODO?
Sprawdź, czy aktualna treść klauzul oraz sposób ich wyrażania odpowiada wymogom RODO, jeśli po 25 maja 2018 roku chcesz dalej przetwarzać dane osobowe swoich klientów na podstawie wyrażonych przez nich zgód. Wprowadź odpowiednie zmiany już teraz i zadbaj, aby dane w Twojej bazie były zbierane na podstawie klauzul odpowiadających nowym przepisom.
Na co powinieneś zwrócić uwagę:
- zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii zawartych w treści umowy lub regulaminu,
- z treści klauzuli musi jasno wynikać, dla jakich celów dane mają być wykorzystywane,
- klauzula zgody musi być sformułowana jasnym, prostym językiem,
- profilowanie danych, czyli zautomatyzowane przetwarzanie danych osobowych, polegające na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, wymaga odebrania wyraźnej zgody osoby, której dane dotyczą.
2. Dostosuj klauzule informacyjne do przepisów RODO
Dotychczas obowiązkowe klauzule informacyjne obejmowały dość wąski zakres informacji, tj. nazwę i adres siedziby administratora, określenie celu przetwarzania danych, określenie odbiorców, którym dane są udostępniane, informację o obowiązkowym lub dobrowolnym charakterze zbierania danych oraz wzmiankę o prawie dostępu do treści danych oraz ich poprawiania.
RODO rozszerza zakres obowiązków informacyjnych, dotyczących w szczególności:
- okresu przechowywania danych osobowych lub kryteriów ustalania jego długości,
- informacji o prawie cofnięcia zgody na przetwarzanie danych osobowych,
- informacji o prawie sprzeciwu wobec przetwarzania danych oraz prawie do ich przenoszenia,
- informacji o prawie wniesienia skargi do GIODO,
- informacji o ewentualnym profilowaniu danych,
- danych kontaktowych do Inspektora Ochrony Danych, o ile został powołany.
Oznacza to, że 25 maja 2018 roku każdy administrator danych powinien stosować nowe polityki prywatności oraz nowe klauzule informacyjne w umowach, regulaminach czy formularzach.
3. Przygotuj dokumentację wewnętrzną i procedury pod kątem nowych przepisów
Wszystkie procedury obowiązujące w firmie i dotyczące przetwarzania danych osobowych powinny zostać uaktualnione i dostosowane do przepisów nowego rozporządzenia. W szczególności zwróć uwagę na uwzględnienie w nich podstawowych zasad przetwarzania danych osobowych, jakie zostały określone w RODO, tj.:
– zasadę legalności, rzetelności i przejrzystości przetwarzania,
– zasadę celowości,
– zasadę adekwatności (proporcjonalności) danych,
– zasadę prawidłowości danych,
– zasadę ograniczenia czasowego,
– zasadę integralności i poufności danych.
4. Sprawdź, czy musisz powołać Inspektora Ochrony Danych
Inspektor Ochrony Danych (IOD) jest na gruncie RODO odpowiednikiem obecnego Administratora Bezpieczeństwa Informacji (ABI), a więc konkretnej osoby fizycznej, która ma za zadanie nadzorować procesy przetwarzania danych osobowych w organizacji. Obecnie powołanie takiej osoby nie jest obligatoryjne. Zgodnie z RODO do powołania Inspektora Ochrony Danych zobowiązane będą:
- organy i podmioty publiczne (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości),
- podmioty, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (np. podmioty przetwarzające dane do celów reklamy behawioralnej przez wyszukiwarki),
- podmioty, których główna działalność polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych (m.in. danych o stanie zdrowia, orientacji seksualnej, przekonaniach religijnych lub światopoglądowych). Takimi podmiotami są np. szpitale oraz inne placówki medyczne.
5. Sprawdź czy powinieneś wprowadzić rejestr czynności przetwarzania
Po wejściu w życie nowych przepisów unijnych administratorzy danych będą zobowiązani do prowadzenia w formie pisemnej (papierowej lub elektronicznej) tzw. rejestru czynności przetwarzania. Rejestr powinien obejmować informacje dotyczące m.in. celu przetwarzania danych, kategorii danych osobowych, kategorii odbiorców danych oraz technicznych i organizacyjnych środków zabezpieczenia danych.
Obowiązek prowadzenia rejestru będzie dotyczył jedynie podmiotów, które:
- zatrudniają mniej niż 250 osób i jednocześnie
- przetwarzanie przez nich danych osobowych ma charakter sporadyczny, nie powoduje ryzyka naruszenia praw i wolności osób, których dane dotyczą oraz nie obejmuje wcześniej wspomnianych danych wrażliwych.
6. Przeszkol swoich pracowników – ich szybka reakcja pozwoli na realizację obowiązku zgłaszania do GIODO incydentów bezpieczeństwa danych osobowych w wymaganym terminie
Nowe przepisy oznaczają da administratorów obowiązek zgłaszania do GIODO wszystkich przypadków naruszeń ochrony danych osobowych. Zgłoszenie będzie musiało być dokonane nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia. Obowiązek ten nie będzie dotyczył wyłącznie tych incydentów, co do których jest mało prawdopodobne, że skutkują one ryzykiem naruszenia praw lub wolności osób fizycznych.
Trudno będzie zrealizować ten obowiązek w organizacji, w której pracownicy nie zostali odpowiednio przeszkoleni w zakresie ochrony danych osobowych. Tylko odpowiednio uświadomieni pracownicy będą potrafili zidentyfikować incydent bezpieczeństwa i poinformować kierownictwo w na tyle szybkim czasie, który umożliwi zgłoszenie go do GIODO w wymaganym terminie 72 godzin.
7. Przygotuj aneksy do umów powierzenia przetwarzania danych osobowych
Przepisy RODO zawierają bardziej obszerną regulację dotyczącą umów powierzenia przetwarzania danych osobowych. Nowe wymagania wskazują, aby umowa powierzenia określała cel i zakres powierzonego przetwarzania, ale również rodzaj danych, kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora. Oznacza to, że firmy powinny aneksować wszystkie obecnie funkcjonujące umowy powierzenia przetwarzania danych (np. z biurem księgowym, firmą informatyczną, podmiotem świadczącym usługi hostingowe) – tak, aby ich treść odpowiadała nowym wymogom RODO.
Jeżeli nie mamy jeszcze zawartych umów powierzenia z podmiotami, którym zlecamy przetwarzanie danych osobowych w naszym imieniu, okres przejściowy przed obowiązywaniem RODO to ostatni dzwonek na uzupełnienie tych braków.
8. Połóż większy nacisk na techniczne i organizacyjne środki zabezpieczenia danych osobowych
RODO przewiduje także obowiązek zgłaszania incydentów bezpieczeństwa do GIODO, a w niektórych przypadkach nawet obowiązek bezpośredniego poinformowania o nich osób, których dane wyciekły. Jeżeli weźmiemy pod uwagę jeszcze łatwiejszy niż dotychczas sposób dochodzenia roszczeń przez osoby, których dane osobowe nie były w należyty sposób chronione to nasuwa się tylko jeden wniosek – wdrożenie odpowiednich środków ochrony danych (takich jak np. monitoring wizyjny, oprogramowanie antywirusowe, firewall) w ciągu najbliższych kilkunastu miesięcy powinno być priorytetem dla każdego administratora danych.
Więcej na temat nowych przepisów przeczytasz tutaj: