RODO – przewodnik dla małych i średnich przedsiębiorców

Na stronie Ministerstwa Przedsiębiorczości i Technologii pojawiła się pod koniec stycznia publikacja „Przewodnik po RODO dla małych i średnich przedsiębiorców” autorstwa dr Pawła Litwińskiego. W związku z licznymi zapytaniami klientów z sektora MŚP o czekające ich zmiany polecamy lekturę publikacji. Przedsiębiorcy znajdą w przewodniku wszystkie niezbędne informacje dotyczące samego GDPR (ang. General Data Protection Regulation; RODO), znaczenia pojęć w nim zawartych jak i procesu wdrażania regulacji w przedsiębiorstwie. W publikacji zawarte są również przykłady obrazujące praktyczne zastosowanie nowych przepisów.

Zegar tyka…

Do wejścia w życie postanowień GDPR, które obowiązuje już co prawda od maja 2016 roku, pozostały już niespełna dwa miesiące. Rewolucja w dziedzinie ochrony danych osobowych będzie miała miejsce 25 maja, tymczasem wielu przedsiębiorców nie jest gotowych na zbliżającą się wielkimi krokami reformę. Duże firmy, często prowadzące działalność gospodarczą na terenie kilku państw przygotowują się na wdrożenie nowych regulacji od dawna. Na rynku pracy stale pojawiają się oferty pracy dla specjalistów od ochrony danych osobowych. Czy to  świadczy o tym, iż przedsiębiorcy dopiero teraz zdali sobie sprawę z powagi sytuacji?

Usłyszeli o karach

W pierwszym etapie, po ogłoszeniu GDPR w jego ostatecznym brzmieniu, w środowisku ekspertów od ochrony danych osobowych i w gronie przedsiębiorców zawrzało. Tematem numer jeden stały się wysokie kary administracyjne przewidziane w rozporządzeniu, które de facto nie mają wskazanego górnego limitu wysokości. Przyrównując to do aktualnego kształtu regulacji w zakresie danych osobowych i do samego podejścia administratorów do ich ochrony, rewolucja musi się dokonać najpierw w samym myśleniu. Na temat stosowania samych kar wypowiedziała się już Grupa Robocza art. 29 (przyp. Unijny organ ekspercki składający się z osób piastujących stanowisko odpowiednika naszego GIODO w krajach członkowskich) wydając pod koniec 2017 roku swoje wytyczne.

Co znajdziemy w publikacji?

Poradnik został podzielony na pięć rozdziałów, które w przystępny sposób pokazują na czym polega cała reforma i jakie czynności należy podjąć, aby prowadzić działalność gospodarczą zgodnie z GDPR.

W pierwszej części poradnika, przedsiębiorcy znajdą definicje podstawowych pojęć – dowiedzą się czym jest RODO (znane też jako GDPR), co zaliczamy do danych osobowych oraz kto może je przetwarzać. Następny rodził poświęcony jest zbieraniu danych osobowych. Autor wskazuje tu na przesłanki umożliwiające przedsiębiorcy ich przetwarzanie oraz skupia się na zasadzie adekwatności, określającej zakres danych, które mogą być przetwarzane. Następnie skupia się  na kształcie nowych zgód na przetwarzanie danych i obowiązkach informacyjnych ciążących na administratorze. Przedsiębiorcy korzystający z coraz popularniejszego profilowania, zdobędą ogólne informacje dotyczące tego jak ono będzie wyglądało pod rządami nowych przepisów.

W  publikacji zainteresowani znajdą także informacje dotyczące organizacji przetwarzania danych, w szczególności dotyczące ich zabezpieczania, obowiązku rejestrowania czynności przetwarzania danych, zasady privacy by design (obowiązku uwzględniania ochrony danych w już fazie projektowania danego rozwiązania). Znajdują się tu również informacje o tym kiedy należy wyznaczyć Inspektora Ochrony Danych, który zastąpi dzisiejszego ABI. Kolejnym tematem, o którym jest mowa, są konsultacje z nowym organem nadzorczym i procedura zgłaszania wszelkich naruszeń w terminie 72-godzinnym. Bardzo istotną kwestią jest też sporządzanie umów powierzenia przetwarzania danych, które należy odróżniać od zwykłych upoważnień wydawanych najczęściej pracownikom. Powierzenie powinno być poprzedzone weryfikacją podmiotu, któremu dane zostaną przekazane.

Nowością na gruncie obowiązujących regulacji jest też prawo do bycia zapomnianym, na które składać się będą uprawnienia do żądania przez osobę, której dane dotyczą usunięcia jej danych osobowych oraz dalej idącego żądania, aby administrator ten poinformował innych administratorów, którym upublicznił dane tej osoby o tym żądaniu i nakazie usunięcia wszelkich łączy do tych danych lub ich kopii. W rozdziale znajdują się także informacje o prawie do przenoszenia danych osobowych przetwarzanych przy pomocy systemów informatycznych, o którym mowa w art. 20 RODO.

Trzy, dwa, jeden – wdrażamy!

W poradniku zobaczymy też jak zwięźle wdrożyć GDPR w przedsiębiorstwie. Cała procedura podzielona została na etapy, począwszy od identyfikacji procesów przetwarzania danych osobowych, które mają miejsce, poprzez weryfikację, a kończąc na samym wdrażaniu.

Wskazane zostały co ważniejsze kwestie, już wkrótce obowiązywać będzie podejście oparte na ryzyku, sprowadzające się do konieczności oceny ryzyka przetwarzania danych w ramach określonego, wcześniej wyróżnionego procesu, a następnie monitoringu tego ryzyka. Następnie problemy związane z oceną skutków regulacji, o której była już mowa, a która będzie obowiązkowa dla procesów przetwarzania, które zaczną się pod rządami GDPR.

Czy poradnik wystarczy?

Szacuje się, że wraz ze zmianą UODO, znowelizowane zostanie około 140–160 innych ustaw, zawierających przepisy sektorowe. Gros z tych regulacji będzie miało wpływ na  funkcjonowanie przedsiębiorców prowadzących działalność gospodarczą w konkretnych branżach. Nie oznacza to, że przedsiębiorcy powinni czekać z wdrażaniem nowych przepisów do czasu uchwalenia ustawy krajowej. To teraz jest ostatni dzwonek, aby rozpocząć prace. W całym procesie pomóc mogą specjaliści, którzy zawodowo związani są z ochroną danych osobowych. Jest to szczególnie ważne dla przedsiębiorców, którzy nie korzystają z usług ABI (Administratorów Bezpieczeństwa Informacji).

Link do przewodnika dostępnego na stronie Ministerstwa Przedsiębiorczości i Technologii. 

Autor: Anna Tomala

 

 

 

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.