RODO czyli Rozporządzenie o Ochronie Danych Osobowych
Temat RODO stał się bardzo gorący, a na rynku krąży wiele różnych informacji w tym temacie. Postanowiłem nieco przybliżyć temat w sensie ogólnym.
Czym jest RODO?
RODO (GDPR) to rozporządzenie Parlamentu Europejskiego z dnia 27 kwietnia 2016 roku, w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Już w maju 2018 r. wchodzą w życie nowe przepisy o ochronie danych osobowych, które uniemożliwiają prowadzenie promocji i sprzedaży w kanałach online i offline na dotychczasowych zasadach oraz wprowadzają nowe zasady przetwarzania danych osobowych w przedsiębiorstwach.
Równocześnie z RODO, na gruncie polskim trwają prace nad polskim projektem ustawy o ochronie danych osobowych, który doprecyzuje wymogi znajdujące się w rozporządzeniu, ale nie zmienia najważniejszych zapisów.
Zgodnie z zapowiedziami Ministerstwa Cyfryzacji nowa, polska ustawa o ochronie danych osobowych zostanie uchwalona na przełomie 2017/2018.
Kogo RODO dotyczy?
Regulacje będą dotyczyły każdego podmiotu przetwarzającego dane osobowe osób fizycznych na terenie UE począwszy od działalności jednoosobowych po duże międzynarodowe korporacje, czyli:
- każdego pracodawcy w UE,
- każdej firmy oferującej produkty i/lub usługi dla osób fizycznych na terenie UE, nawet jeśli takie firmy nie mają swoich siedzib na terenie UE,
- wszystkich firm, które monitorują zachowanie osób przebywających w Unii w imieniu własnym i innych firm.
Po wdrożeniu RODO nie będzie można między innymi:
- wysyłać mailingów i dzwonić do klienta z ofertą na podstawie obecnie pozyskiwanych zgód na przetwarzanie danych osobowych,
- korzystać z baz zewnętrznych, by przedstawić klientowi swój produkt bądź usługę,
- automatycznie profilować klientów według miejsca zamieszkania, zainteresowań, wieku, płci.
RODO to również:
- Nowe obowiązki dotyczące sposobu ochrony danych osobowych
- Nowe procedury związane z przetwarzaniem danych osobowych
- Skuteczne narzędzie do dociekania swoich praw przez klientów
Ważne!
Rozporządzenie o ochronie danych osobowych oraz polska ustawa o ochronie danych osobowych spowodują zmiany w ponad 130 przepisach sektorowych, oznaczać to będzie konieczność wprowadzania modyfikacji w procedurach i funkcjonalnościach, także w systemach ERP.
Dlatego też budując politykę bezpieczeństwa w organizacjach należy mieć na uwadze, czy w danym obszarze zarządzania firmą nie należy stosować specjalnych zasad do zarządzania dokumentacją pracowniczą.
Jak przygotować organizację do RODO?
Podejście oparte na ryzyku – nowe przepisy odchodzą od jednakowego traktowania wszystkich podmiotów w zakresie obowiązku zabezpieczania danych osobowych. Nakazują one dostosowanie zabezpieczeń do ryzyka związanego z przetwarzaniem danych osobowych, które u każdego z administratorów mogą być inne.
Oznacza to, że to w każdym przedsiębiorstwie będą inne procedury związane z ochroną danych osobowych, a obowiązkiem przedsiębiorcy będzie stały monitoring ryzyka wycieku danych osobowych z firmy, i podejmowanie działań ich ochrony.
Privacy by design – zasada odnosi się do pewnej filozofii oraz podejścia, zgodnie z którym prywatność powinna być uwzględniana podczas projektowania określonego systemu lub procesu. Zasada ta jest realizowana poprzez wdrożenie przez administratora danych odpowiednich środków technicznych i organizacyjnych jeszcze przed rozpoczęciem przetwarzania danych.
Przedsiębiorca sam decyduje jakich środków technicznych i organizacyjnych użyje, aby chronić dane osobowe gromadzone w firmie, zarówno w formie elektronicznej jak i papierowej.
Incydenty naruszenia ochrony danych osobowych:
Zgodnie z nowym rozporządzeniem w przypadku wykrycia naruszenia baz danych osobowych, przedsiębiorca ma obowiązek zgłosić fakt takiego naruszenia do nowo powołanego Urzędu Ochrony Danych Osobowych zastępującego Generalnego Inspektora Ochrony Danych Osobowych.
Należy pamiętać, że informację o incydencie naruszenia danych osobowych należy zgłosić do 72 godzin od momentu wykrycia. Jeśli wyciek zagraża prawom i wolnościom, o fakcie należy także poinformować osobę, której dane zostały naruszone.
Kary:
RODO precyzyjnie określa wysokość kar finansowych za naruszenie obowiązków wynikających z rozporządzenia.
Wysokość kar jest uzależniona od skali naruszeń i może wynieść 10 mln euro (w szczególnych przypadkach do 20 mln euro), a w przypadku przedsiębiorstwa kwotę w wysokości do 2% jego całkowitego rocznego obrotu światowego z poprzedniego roku obrotowego (a w szczególnych przypadkach aż do 4% jego całkowitego rocznego obrotu światowego z poprzedniego roku obrotowego).
enova365, a RODO
Privacy by default – oznacza zapewnienie ustawień zapewniających ochronę danych jako pierwotnych ustawień systemu informatycznego czy oprogramowania. Zmiana tych ustawień powinna następować jedynie na wyraźne żądanie użytkownika oprogramowania/systemu.
Systemy informatyczne muszą zostać wyposażone w funkcjonalności dedykowane do wsparcia procesów ochrony danych osobowych z założenia.
Przepisom podlegają zgromadzone dane:
- Kadry Płace: dane osobowe pracowników, kandydatów na pracowników
- CRM/Handel: dane potencjalnych klientów, dane obecnych klientów
- Księgowość: dane kontrahentów, dane pracowników
- Systemowe: dane użytkowników, operatorów, administratorów systemu
W następnym artykule napiszę, jakie zmiany następują w systemie enova365, aby umożliwić firmom łatwe dostosowanie się do nadchodzących przepisów.
Jeśli chcesz wiedzieć więcej, napisz do nas:
