RODO czyli Rozporządzenie o Ochronie Danych Osobowych

RODO czyli Rozporządzenie o Ochronie Danych Osobowych

Temat RODO stał się bardzo gorący, a na rynku krąży wiele różnych informacji w tym temacie. Postanowiłem nieco przybliżyć temat w sensie ogólnym.

Czym jest RODO?

RODO (GDPR) to rozporządzenie Parlamentu Europejskiego z dnia 27 kwietnia 2016 roku, w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Wprowadzanie RODO
Wprowadzanie RODO

Już w maju 2018 r. wchodzą w życie nowe przepisy o ochronie danych osobowych, które uniemożliwiają prowadzenie promocji i sprzedaży w kanałach online i offline na dotychczasowych zasadach oraz wprowadzają nowe zasady przetwarzania danych osobowych w przedsiębiorstwach.

Równocześnie z RODO, na gruncie polskim trwają prace nad polskim projektem ustawy o ochronie danych osobowych, który doprecyzuje wymogi znajdujące się w rozporządzeniu, ale nie zmienia najważniejszych zapisów.

Zgodnie z zapowiedziami Ministerstwa Cyfryzacji nowa, polska ustawa o ochronie danych osobowych zostanie uchwalona na przełomie 2017/2018.

Kogo RODO dotyczy?

Regulacje będą dotyczyły każdego podmiotu przetwarzającego dane osobowe osób fizycznych na terenie UE począwszy od działalności jednoosobowych po duże międzynarodowe korporacje, czyli:

  • każdego pracodawcy w UE,
  • każdej firmy oferującej produkty i/lub usługi dla osób fizycznych na terenie UE, nawet jeśli takie firmy nie mają swoich siedzib na terenie UE,
  • wszystkich firm, które monitorują zachowanie osób przebywających w Unii w imieniu własnym i innych firm.

Po wdrożeniu RODO nie będzie można między innymi:

  • wysyłać mailingów i dzwonić do klienta z ofertą na podstawie obecnie pozyskiwanych zgód na przetwarzanie danych osobowych,
  • korzystać z baz zewnętrznych, by przedstawić klientowi swój produkt bądź usługę,
  • automatycznie profilować klientów według miejsca zamieszkania, zainteresowań, wieku, płci.

RODO to również:

  • Nowe obowiązki dotyczące sposobu ochrony danych osobowych
  • Nowe procedury związane z przetwarzaniem danych osobowych
  • Skuteczne narzędzie do dociekania swoich praw przez klientów

 Ważne!

Wpływ przepisów na RODO
Wpływ przepisów na RODO

Rozporządzenie o ochronie danych osobowych oraz polska ustawa o ochronie danych osobowych spowodują zmiany w ponad 130 przepisach sektorowych, oznaczać to będzie konieczność wprowadzania modyfikacji w procedurach i funkcjonalnościach, także w systemach ERP.

Dlatego też budując politykę bezpieczeństwa w organizacjach należy mieć na uwadze, czy w danym obszarze zarządzania firmą nie należy stosować specjalnych zasad do zarządzania dokumentacją pracowniczą.

Jak przygotować organizację do RODO?

Przepływ wprowadzania RODO
Przepływ wprowadzania RODO

Podejście oparte na ryzyku – nowe przepisy odchodzą od jednakowego traktowania wszystkich podmiotów w zakresie obowiązku zabezpieczania danych osobowych. Nakazują one dostosowanie zabezpieczeń do ryzyka związanego z przetwarzaniem danych osobowych, które u każdego z administratorów mogą być inne.

Oznacza to, że to w każdym przedsiębiorstwie będą inne procedury związane z ochroną danych osobowych, a obowiązkiem przedsiębiorcy będzie stały monitoring ryzyka wycieku danych osobowych z firmy, i podejmowanie działań ich ochrony.

Privacy by design – zasada odnosi się do pewnej filozofii oraz podejścia, zgodnie z którym prywatność powinna być uwzględniana podczas projektowania określonego systemu lub procesu. Zasada ta jest realizowana poprzez wdrożenie przez administratora danych odpowiednich środków technicznych i organizacyjnych jeszcze przed rozpoczęciem przetwarzania danych.

Przedsiębiorca sam decyduje jakich środków technicznych i organizacyjnych użyje, aby chronić dane osobowe gromadzone w firmie, zarówno w formie elektronicznej jak i papierowej.

Incydenty naruszenia ochrony danych osobowych:

Zgodnie z nowym rozporządzeniem w przypadku wykrycia naruszenia baz danych osobowych, przedsiębiorca ma obowiązek zgłosić fakt takiego naruszenia do nowo powołanego Urzędu Ochrony Danych Osobowych zastępującego Generalnego Inspektora Ochrony Danych Osobowych.

Należy pamiętać, że informację o incydencie naruszenia danych osobowych należy zgłosić do 72 godzin od momentu wykrycia. Jeśli wyciek zagraża prawom i wolnościom, o fakcie należy także poinformować osobę, której dane zostały naruszone.

Kary:

RODO precyzyjnie określa wysokość kar finansowych za naruszenie obowiązków wynikających z rozporządzenia.

Wysokość kar jest uzależniona od skali naruszeń i może wynieść 10 mln euro (w szczególnych przypadkach do 20 mln euro), a w przypadku przedsiębiorstwa kwotę w wysokości do 2% jego całkowitego rocznego obrotu światowego z poprzedniego roku obrotowego (a w szczególnych przypadkach aż do 4% jego całkowitego rocznego obrotu światowego z poprzedniego roku obrotowego).

enova365, a RODO

enova365 a RODO
enova365 a RODO

Privacy by default – oznacza zapewnienie ustawień zapewniających ochronę danych jako pierwotnych ustawień systemu informatycznego czy oprogramowania. Zmiana tych ustawień powinna następować jedynie na wyraźne żądanie użytkownika oprogramowania/systemu.

Systemy informatyczne muszą zostać wyposażone w funkcjonalności dedykowane do wsparcia procesów ochrony danych osobowych z założenia.

Przepisom podlegają zgromadzone dane:

  • Kadry Płace: dane osobowe pracowników, kandydatów na pracowników
  • CRM/Handel: dane potencjalnych klientów, dane obecnych klientów
  • Księgowość: dane kontrahentów, dane pracowników
  • Systemowe: dane użytkowników, operatorów, administratorów systemu

W następnym artykule napiszę, jakie zmiany następują w systemie enova365, aby umożliwić firmom łatwe dostosowanie się do nadchodzących przepisów.

Jeśli chcesz wiedzieć więcej, napisz do nas:

KONTAKT

  • Podziel się na Twitter
  • Podziel się na Facebook
  • Podziel się na Pinterest
  • Podziel się na Google+
  • Podziel się na LinkedIn

Weź udział w dyskusji

Twój adres email nie będzie opublikowany