Czy firmy pamiętają o nowej regulacji RODO?

Dodano: poniedziałek, 18 grudnia 2017 11:23

Prawo dotyczące ochrony danych osobowych, które zacznie obowiązywać w maju 2018 r., nada konsumentom szereg przywilejów. RODO będzie dla firm dużym wyzwaniem. Wymiana wszystkich klauzul, formularzy i zgód na przetwarzanie informacji o klientach to tylko niektóre zobowiązania wobec klientów.

Przez ostatnich 20 lat zmieniły się realia i przestrzeń biznesowa, również sposób gromadzenia i przetwarzania danych. Mamy instytucje bankowe, ubezpieczeniowe i wiele innych przedsiębiorstw, które gromadzą mnóstwo informacji o aktywności swoich klientów czy pracowników w sieci i realizowanych przez nich transakcjach. RODO to nowa regulacja unijna, która ma pomóc jeszcze lepiej i bezpieczniej zarządzać danymi osobowymi, chronić nas, jako klientów, pacjentów i użytkowników wielu systemów. Dla przedsiębiorców RODO oznacza nowe obowiązki, dodatkowe procedury organizacyjne i techniczne, mówi Jolanta Augustyniak, prezes zarządu Libris Polska, oferującej rozwiązania do zarządzania dokumentacją papierową i elektroniczną.

RODO, czyli ogólne rozporządzenie o ochronie danych osobowych, wejdzie w życie za niecałe pół roku - 28 maja 2018 r. Unijna regulacja ma ujednolicić przepisy w tym zakresie na terenie wszystkich 28 państw członkowskich UE. Przygotowana na jej podstawie ustawa zastąpi dotychczasowy akt prawny, który obowiązuje od 20 lat.

RODO definiuje ochronę danych osobowych w trochę odmienny sposób i dostosowuje ją do realiów cyfrowych. Rynek jest dwubiegunowy: po jednej stronie mamy duże przedsiębiorstwa, banki czy ubezpieczycieli, którzy byli i są przygotowani do tego, aby właściwie zabezpieczać dane osobowe swoich klientów. Z drugiej strony są małe i średnie przedsiębiorstwa, które dotychczas nie w pełni wykazywały dbałość o bezpieczeństwo danych, miały trochę inną świadomość biznesową. Teraz stoją przed problemem, w jaki sposób proceduralnie przygotować przedsiębiorstwo do nowych realiów tak, by uniknąć kar związanych z nieprawidłowym zabezpieczeniem danych osobowych, mówi Jolanta Augustyniak.

Nowe prawo nałoży szereg obowiązków na wszystkie podmioty, firmy i instytucje, które gromadzą i przetwarzają dane osobowe i informacje o swoich klientach. Z drugiej strony przyznaje osobom fizycznym szereg nowych uprawnień, które mają zwiększyć ich kontrolę nad tym, jak wykorzystywane są ich dane. Jednym z nich jest prawo do bycia zapomnianym.

Tego do tej pory nie gwarantował nam ani Facebook, ani Google. To oznacza, że jako użytkownicy mamy prawo poprosić o wykreślenie nas z systemów, po wcześniejszym zapoznaniu się z obowiązującymi regulacjami. Warto jednak pamiętać o tym, że nadal będzie rynek transakcji typu darmowa usługa, superpromocja w zamian za pozostawienie swoich danych osobowych, mówi Jolanta Augustyniak.

Prawo do bycia zapomnianym (RODO, art. 17 ust. 1) oznacza, że dane osób, które sobie tego zażyczą, muszą zostać niezwłocznie w całości usunięte z systemów administratora. Co więcej, dotyczy to także kopii, linków, odniesień i dokumentacji papierowej, na przykład wydruków czy skanów dokumentów. Jeżeli wcześniej te dane zostały udostępnione albo trafiły do internetu, administrator musi się upewnić, że wszystkie ich kopie i linki zostały skasowane i usunięte na dobre. Nawet jeżeli są już w posiadaniu innych podmiotów.

Dla firm i organizacji prawo do bycia zapomnianym będzie jednym z największych wyzwań. Zwłaszcza że za nieprzestrzeganie nowych przepisów będą grozić surowe kary administracyjne i finansowe - sięgające nawet 20 mln euro albo 4 proc. rocznych obrotów całego przedsiębiorstwa. Będzie nad tym czuwać nowo utworzony Urząd Ochrony Danych Osobowych.

Prezes Libris Polska zauważa, że w związku z wdrożeniem nowych przepisów przedsiębiorstwa muszą wymienić większość formularzy, klauzuli i zgód na przetwarzanie danych osobowych. Wcześniej powinny jednak zweryfikować wszystkie procesy pod kątem bezpieczeństwa danych osobowych. Dodatkowo firmy będą musiały przygotować i gromadzić więcej dokumentacji.

RODO ma wyegzekwować przygotowanie nowej dokumentacji typu "zgody" na przetwarzanie danych osobowych, czyli w praktyce wszystko" to, co podpisujemy dziś umieszczone na końcu dokumentu zapisane drobnym drukiem. W myśl RODO dokument typu "zgoda na przetwarzanie danych osobowych" powinien być przygotowany w formie prostej i zrozumiałej zarówno dla studenta, jak i osoby starszej czy dziecka. Przedsiębiorca powinien zatem przeprowadzić analizę i przygotować nowe wzory dokumentacji papierowej i elektronicznej, podkreśla Jolanta Augustyniak.

Rozporządzenie nie określa ani jakie dokumenty musi posiadać firma, ani jaka ma być treść klauzul, na które klienci muszą wyrazić zgodę. Stworzenie właściwej dokumentacji pozostaje w gestii przedsiębiorców, a treść dokumentów ma być uzależniona od oceny ryzyka.

źródło: Newseria
zdjęcie: Pixabay