Dziś na tapetę bierzemy RODO czyli Rozporządzenie o Ochronie Danych Osobowych. Ten akt prawny wszedł w życie już niemal dwa lata temu, 24 maja 2016, jednak obowiązywać zacznie od 25 maja 2018 roku. Dokument zmienia nieco dotychczasowe zasady wykorzystania, przetwarzania i przechowywania danych osobowych. Definiują nie tylko nowe stopnie odpowiedzialności, ale również kary finansowe.
RODO – kogo dotyczy?
RODO dotyczyć ma niemal wszystkich wyjątkiem działalności, której nie obejmuje prawo UE (np. bezpieczeństwo narodowe), instytucji unijnych i dyplomatycznych, nie dotyczy też osób fizycznych (czyli np. przechowywania danych adresowych w korespondencji z przyjaciółmi). Wyłączone są z niego również organy ścigania oraz wykonywania kar.
Osoba administrująca danymi osobowymi musi tak dostosować systemy informatyczne firmy, by osoba której te dane dotyczą, mogła zażądać całkowitego usunięcia danych lub przeniesienia do innego usługodawcy. Oznacza to, że usuwając nasze dane powinien najpierw przekazać nam na nośniku plik je zawierający, a następnie usunąć. Powinniśmy mieć również możliwość wglądu i otrzymania informacji odnośnie naszych danych. Warto również wspomnieć, że wdrożenie RODO to proces skomplikowany i wymagający zaangażowania całej firmy. Zespół wdrożeniowy powinien składać się z przedstawicieli działów HR, logistyki, windykacji, obsługi klienta czy marketingów – czyli wszystkich, w których istnieje kontakt z danymi osobowymi.
Powstać ma również funkcja Administratora Bezpieczeństwa Informacji (ABI), którą pełnić ma osoba fizyczna powołana przez administratora danych. Wciąż jednak pozostanie czynna funkcja Inspektora Ochrony Danych (IOD), wspierających administratora.
W przypadku wykrycia naruszenia bezpieczeństwa danych, sytuacja musi być zgłoszona w odpowiednim organie nadzoru w ciągu 72 godzin – dotyczy to również sytuacji, gdzie naruszenie nie jest pewne, ale wysoce prawdopodobne. Co ważne, podmiot przetwarzający dane ponosi za nie pełną odpowiedzialność, nawet jeśli wynajmie firmę zewnętrzną lub powoła IODO – choć w tym wypadku odpowiedzialność ma wymiar solidarny. Zasadny odnośnie przetwarzania danych mają być znacznie bardziej rygorystyczne, w myśl proporcjonalności – tym ostrzejsze, im większe jest przedsiębiorstwo.
Przejdźmy do kar – bo te są naprawdę wysokie. Naruszenie zasad z RODO może nałożyć na nas sankcję 10 lub 20 milionów euro (lub odpowiednio 2 lub 4% rocznego światowego obrotu firmy), lub 100 tys zł jeśli naruszenie zostało wykonane przez administrację publiczną. Warto więc przed rozpoczęciem przetwarzania danych ustalić, jakie są jego podstawy prawne i uzyskać zgodę od właściwego podmiotu. Formularze zgód muszą być jasne i klarowne, zgody zaś udzielane dobrowolnie, co ma szczególne znaczenie w prawie pracy.
Przetwarzający dane ma również obowiązek przechowywania ich wewnętrznych rejestrów.
Oczywiście nowe przepisy, zwłaszcza w obliczu tak dotkliwych sankcji finansowych, budzą sporą niechęć przedsiębiorców. Warto jednak wziąć pod uwagę fakt, że dotychczas mimo obowiązywania obecnych przepisów o ochronie danych osobowych, istnieją branże, gdzie w ogóle się ich nie stosuje. Nowe przepisy pozwolą nam chronić dane klientów, są też zabezpieczeniem dla przedsiębiorstwem (np. dla jego now-how czy tajemnicy finansowej). Jest również możliwość zdobycia certyfikatu potwierdzającego zgodność z przepisami o przetwarzaniu danych osobowych. Zdecydowanie wpłynie to pozytywnie na zaufanie klientów oraz wizerunek firmy. Zwłaszcza w czasach, gdzie tak powszechnie słyszy się o wyciekach informacji i bezprawnego ich wykorzystania.