RODO – nowy rozdział w historii ochrony i bezpieczeństwa danych osobowych
w dniu 25 maja 2018 roku przedsiębiorcy wszystkich krajów członkowskich Unii Europejskiej wejdą w nowy rozdział ochrony i bezpieczeństwa danych osobowych. Z tym dniem wejdą w życie przepisy nowego unijnego rozporządzenia o ochronie danych osobowych (RODO).
RODO wprowadza rewolucyjne zmiany w bezpieczeństwie danych identyfikujących osoby fizyczne, nakładając na przedsiębiorców nowe obowiązki oraz wprowadzając rozbudowane mechanizmy kontroli ich realizacji. Uchybienie obowiązkom zagrożone jest gigantycznymi karami finansowymi, które mogą sięgnąć nawet do 20 mln euro lub 4% światowego obrotu przedsiębiorstwa z roku poprzedzającego stwierdzenie naruszenia, przy czym decydująca jest wartość wyższa.
Wypracowanie standardów bezpieczeństwa danych osobowych, adekwatnych do nowych założeń ustawodawcy unijnego, a tym samym uniknięcie negatywnych konsekwencji finansowych wymaga podjęcia szeregu działań. W zależności od wielkości przedsiębiorstwa, ilości kontrahentów, pracowników, czy akcji promocyjno-marketingowych, a tym ilości przetwarzanych danych osobowych okres niezbędny do wdrożenia RODO może wynieść od kilku tygodni do nawet kilku miesięcy. Ważne jest zatem, by działania przystosowujące przedsiębiorców do nowej rzeczywistości w zakresie ochrony danych osobowych podjąć jak najszybciej. Wdrożenie RODO jest bowiem procesem wielopoziomowym, wymagającym zaangażowania zarówno kadry zarządzającej, obsługi księgowo-kadrowej, informatycznej, prawnej oraz wszystkich pracowników mających styczność z kontrahentami i klientami końcowymi przedsiębiorcy.
Wychodząc naprzeciw bieżącym potrzebom, Kancelaria powołała Zespół ds. Bezpieczeństwa Danych Osobowych, który wspomoże naszych Klientów przy wdrażaniu nowych rozwiązań i aktualizacji dotychczasowych systemów zabezpieczeń, w zgodzie z RODO.
Jak działamy?
1. Audyt
Właściwe działania w zakresie wdrożenia nowych rozwiązań RODO poprzedza przeprowadzenie szczegółowego audytu aktualnej polityki bezpieczeństwa, przyjętych w przedsiębiorstwie rozwiązań techniczno-organizacyjnych oraz świadomości pracowników w zakresie samego faktu przetwarzania danych osobowych, jak i ochrony danych związanych z ich przetwarzaniem. Audyt obejmuje także weryfikację założeń dalszego rozwoju przedsiębiorcy. Planowane działania mogą bowiem istotnie wpływać na zakres lub sposób przetwarzania danych osobowych, wymuszając zastosowanie nowych rozwiązań w zakresie bezpieczeństwa danych, jeszcze przed wdrożeniem planowanej strategii rozwoju.
2. „Papierologia” i informatyka
Kolejnym krokiem jest dostosowanie istniejących polityk i procedur bezpieczeństwa do nowych wymogów RODO lub wdrożenie zupełnie nowych, nieznanych dotychczas rozwiązań. W tym zakresie konieczne jest przygotowanie odpowiednich dokumentów, które w czasie ewentualnych postępowań kontrolnych będą potwierdzały istnienie w przedsiębiorstwie właściwych procedur bezpieczeństwa. Absolutnym niezbędnikiem jest tutaj chociażby dostosowany do nowych wymogów formularz zgody na przetwarzanie danych, formularz informacyjny uzupełniony o szereg nowych danych, polityka bezpieczeństwa określająca obowiązujące u przedsiębiorcy środki techniczne i organizacyjne zapewniające bezpieczeństwo danych, procedura rozpatrywania wniosków o usunięcie, modyfikację lub przeniesienie danych osobowych do innego administratora, czy wreszcie protokół krytyczny, określający procedurę postępowania w przypadku naruszenia bezpieczeństwa danych w fazie wstępnej (do 72 godzin) i w fazie właściwej (przy współpracy z organem nadzorczym). Konieczne jest także dostosowanie do nowych wymogów regulaminów pracowniczych.
Oprócz przygotowania dokumentów konieczne jest wprowadzenie odpowiednich rozwiązań informatycznych, zapewniających odpowiedni poziom bezpieczeństwa przetwarzania danych, jak również szybką i sprawną realizację uprawnień jednostek (realizacja prawa do bycia zapomnianym, przeniesienia danych, ograniczenia przetwarzania danych). W tym zakresie Zespół ściśle współpracuje z „własnymi” informatykami Klienta. W przypadku niedysponowania przez Klienta odpowiednim zapleczem informatycznym, Kancelaria zapewnia współpracę z informatykami zewnętrznymi.
Oczywiście, w zależności od zapotrzebowania Klienta, powyższe działania podejmowane są nie tylko w wymiarze administratora „samego w sobie”, ale także jako powierzającego przetwarzanie danych podmiotowi trzeciemu czy jako przetwarzającego (procesora) dane osobowe uzyskane od innych administratorów. W tym zakresie RODO także wprowadza szereg nowych obostrzeń i wymogów.
3. Praktyka
Prawidłowa ochrona danych osobowych to nie tylko przygotowanie „na papierze” odpowiednich procedur, ale przede wszystkich ich wdrożenie w życie. Naszym Klientom proponujemy przeprowadzenie szkoleń modułowych, wprowadzających poszczególne grupy pracowników w założenia przyjętej w przedsiębiorstwie ochrony danych. W trakcie szkoleń przeprowadzamy symulacje zdarzeń związanych z przetwarzaniem danych osobowych (scenki rodzajowe z udziałem pracowników, praca na przykładowych dokumentach), pozwalających na łatwiejsze zrozumienie istoty danych osobowych i ich ochrony.
4. Up-date
Mamy świadomość, że wdrożenie RODO nie kończy się z dniem 25 maja 2018 roku. Rozwiązania przyjęte w RODO są rozwiązaniami nowymi, które będą dopiero weryfikowane. Kluczowa będzie tu praktyka organów nadzorczych krajów członkowskich Unii Europejskiej, w tym polskiego Prezesa Urzędu Ochrony Danych Osobowych, wytyczne unijnej Rady Bezpieczeństwa Danych Osobowych, czy wreszcie sądów administracyjnych i sądów powszechnych.
Naszym Klientom gwarantujemy stały dostęp do najnowszych praktyk, wytycznych oraz ewentualnych zmian legislacyjnych, przesyłanych w formie newslettera lub informacji mailowej (w zależności od wyboru Klienta).
5. Pomoc w postępowaniach kontrolnych
Gwarantujemy także merytoryczne wsparcie w trakcie ewentualnych postępowań kontrolnych. Służymy pomocą w przedstawieniu założeń polityki bezpieczeństwa, prezentacji dokumentów, a także jako asysta przy przesłuchaniu pracowników i kadry zarządzającej. Czuwamy także nad poprawnością protokołu kontroli, wprowadzając w miarę potrzeby odpowiednie zastrzeżenia. Pomagamy także przy realizacji ewentualnych zaleceń pokontrolnych.
Zapraszamy do współpracy!
