Jak przygotować się do RODO
Według badania przeprowadzonego przez IDC (dane z grudnia 2017 roku) niemal 80% osób decyzyjnych z działów IT w firmach nie jest w pełni świadomych konsekwencji Rozporządzenia o Ochronie Danych Osobowych lub w ogóle nie słyszało o RODO (ang. GDPR). Spośród pozostałych 20% tylko 1/5 spełnia nowe wymogi, 59% wciąż pracuje nad wdrożeniem odpowiednich zmian, a 21% przyznaje, że nie jest przygotowanych.
Nowe pojęcie danych osobowych
RODO niejako rozszerza pojęcie danych osobowych (PII – Personal Identifiable Information) – do tej pory dotyczyło ono głównie imion i nazwisk, adresów, dat urodzenia, e-maili itp.
Według nowego rozporządzenia dane osobowe to również numery ID, informacje dotyczące lokalizacji, wskaźniki dotyczące zdrowia fizycznego i psychicznego, statusu majątkowego oraz społecznego, a nawet dane genetyczne czy biometryczne, które pomogłyby zidentyfikować konkretną osobę.
Jakie główne wymogi muszą spełnić firmy?
- Głównym wymogiem jest zapewnienie zgodności przetwarzania danych z prawem. Należy zweryfikować każdy proces, w którym pojawiają się dane osobowe, a następnie ustalić podstawę ich przetwarzania, np. zgoda może być udzielona w określonym celu, być warunkiem wykonania danej umowy lub wynikać z obowiązku prawnego. Konieczne jest też opracowanie klauzul informacyjnych dla osób, których dane są pozyskiwane.
- Kolejny wymóg mówi, że dane mogą być pozyskiwane tylko w konkretnych, prawnie uzasadnionych celach. Oznacza to, że nie można ich dalej przetwarzać w sposób, który byłby niezgodny z tymi celami. Dane muszą być prawidłowe i w razie potrzeby aktualizowane. Takie, które nie są prawidłowe, muszą być niezwłocznie usunięte lub sprostowane. W wielu firmach konieczny będzie zatem dokładny przegląd danych, które udało się zgromadzić na przestrzeni ostatnich lat.
- Przedsiębiorstwa będą musiały również zweryfikować i ustalić maksymalny czas na przechowywanie poszczególnych rodzajów danych, ponieważ według wytycznych nie mogą one pozostawać w posiadaniu firmy dłużej niż jest to niezbędne dla realizacji konkretnego celu.
– Przede wszystkim organizacje powinny dokładnie sprawdzić, jakie kategorie danych przechowują i czy są one wykorzystywane do właściwych celów. Kolejny krok to zweryfikowanie, kto ma dostęp do danych i czy są one bezpiecznie przechowywane – konieczna jest rewizja polityki cyberbezpieczeństwa. Warto przyjrzeć się temu, jak działa obieg informacji wewnątrz firmy i w końcu, kto jest odpowiedzialny za zarządzanie danymi – mówi Marcin Czarnecki, Konsultant ds. Ochrony Danych Osobowych w firmie Konica Minolta Business Solutions Polska.
W co warto zainwestować?
Aby lepiej przygotować się do RODO, warto rozważyć opracowanie własnej polityki zgodnej z rozporządzeniem w następujących obszarach:
- Zarządzanie danymi. Należy zrewidować, czy przechowywane w firmie dane osobowe są bezpieczne, jak są przechowywane, monitorować przetwarzanie danych oraz poziom dostępu do nich. Warto rozważyć rozwiązania scentralizowane, które są przydatne również w sytuacji, kiedy klient zażąda usunięcia wszelkich danych na jego temat. Przykładem takiego rozwiązania jest platforma aplikacyjna OnBase Hyland, która integruje systemy, informacje, dokumenty i procesy biznesowe w całej organizacji. Platforma jest od niedawna dostępna w Polsce dla klientów Konica Minolta i działa w sposób zgodny (Compliance) z RODO;
- Oprogramowanie. Wykorzystywane w firmie oprogramowanie powinno zapewniać odpowiedni poziom bezpieczeństwa, jak również łatwe odszukiwanie i katalogowanie danych osobowych;
- Partnerzy i dostawcy usług. Konieczne jest zweryfikowanie, czy wszystkie podmioty zewnętrzne, z którymi firma współpracuje, działają zgodnie z RODO, a także zapewnienie odpowiedniego przebiegu informacji między firmą a tymi podmiotami;
- Czynnik ludzki. Sugerowane jest – szczególnie w większych firmach – zatrudnienie lub oddelegowanie osoby odpowiedzialnej za bezpieczeństwo danych, jak również zaangażowanie jej do wspólnych działań nie tylko z działem marketingu i IT, ale także z działem HR, prawnym czy finansowym;
- Procesy. Należy zdefiniować jasny plan działania i raportowania potencjalnych incydentów związanych z bezpieczeństwem przetwarzania danych, umożliwić klientom skorzystanie z prawa do „bycia zapomnianym”, poprzez całkowite usunięcie ich danych osobowych na żądanie (z uwzględnieniem wszystkich prowadzonych w firmie rejestrów) oraz zadbać o aktualizację ich danych, kiedy zajdzie taka potrzeba. Bardzo istotna jest również kwestia przenoszenia danych pomiędzy firmami. Po wejściu w życie nowego rozporządzenia klient będzie miał prawo poprosić o przeniesienie ich do innego podmiotu i wówczas firma będzie musiała podjąć takie działanie.
RODO już w maju 2018
Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO, ang. GDPR) zacznie obowiązywać od 25 maja 2018 r. Obecnie większość firm jest nadal w fazie analizowania przepisów oraz implementacji zmian koniecznych do spełnienia wymogów nowego rozporządzenia.
W przypadku niespełnienia wymogów RODO firma zostanie obciążona karą w dwóch przedziałach kwotowych: do 10 milionów euro lub 2% całkowitego rocznego obrotu przedsiębiorstwa (zastosowanie ma kwota wyższa) oraz do 20 milionów euro lub 4% całkowitego rocznego obrotu.
Niedostosowanie się do wymogów RODO może narazić firmy nie tylko na kary finansowe, ale również na wstrzymanie realizacji działań, a przez to wydłużenie trwania projektów, zwiększenie kosztów inwestycji czy utratę reputacji.