Archiwum bloga onpoint.pl

Rozporządzenie GDPR – w jaki sposób się do niego przygotować?

Aktualizacja:

25 maja 2018 roku wchodzi w życie Rozporządzenie o ochronie danych w skrócie RODO (ang. GDPRGeneral Data Protection Regulation). Przepisy będą stosowane w przedsiębiorstwach oraz instytucjach gromadzących lub przetwarzających dane osobowe osób przebywających na terenie Unii Europejskiej. GDPR z racji, że ma formę rozporządzenia, zaczyna obowiązywać na całym terenie UE i nie wymaga wdrożenia do prawa krajowego przez poszczególne państwa członkowskie.

W onPoint.pl podsumowujemy zmiany jakie narzucają nowe przepisy.

Otóż przepisy zmuszają do modyfikacji zasad rejestrowania, przetwarzania, przechowywania oraz  udostępniania danych osób fizycznych (członków stowarzyszeń, pacjentów, petentów, odbiorców reklam etc.).  Nie tylko korporacje, ale także małe firmy, takie jak np. sklepy internetowe, muszą wdrożyć odpowiednie technologie, które pomogą dostosować się do nowych wymogów. Należy podkreślić, że GDPR dotyczy wszystkich podmiotów, które przetwarzają dane osobowe niezależnie od wielkości przedsiębiorstwa czy charakteru działalności. Nie ma znaczenia to czy dane przetwarzane są w celach publicznych czy biznesowych. Rozporządzenie ma zastosowanie także między innymi do działalności sądów i innych organów wymiaru sprawiedliwości.

Głównym celem jest ochrona prawa podstawowego jakim jest ochrona danych osobowych. Nowy akt prawny będzie mieć daleko idące konsekwencje oraz najprawdopodobniej wpłynie na zmianę procesów oraz procedur organizacyjnych we wszystkich obszarach działania firm – od sprzedaż i marketing do kadr. GDPR będzie stosowane nie tylko do administratorów czy przetwarzających mających siedzibę w państwie członkowskim  (niezależnie czy przetwarzanie odbywa się w Unii Europejskiej), ale także do podmiotów spoza UE przetwarzających dane osób, jeżeli oferują im towary i usługi  lub monitorują ich zachowania w Unii Europejskiej.

Jednym z filarów GDPR, jest zasada przejrzystości w stosunku do osób fizycznych, których dane osobowe są przetwarzane. Przejrzystość przejawiać się będzie w wielu zobowiązań związanych z przetwarzaniem danych osobowych (obowiązek informowania). Wszelkie informacje i komunikaty mają być łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zarówno administrator jak i podmiot przetwarzający, będą zobowiązani do powołania Inspektora Ochrony Danych we wskazanych przypadkach (np. gdy przetwarzanie wiąże się z regularnym i systematycznym monitorowaniem osób, których dane dotyczą, na dużą skalę).

Dzięki nowym przepisom prawa osoby fizyczne będą miały prawo do usunięcia danych osobowych, które są w posiadaniu konkretnej firmy, wyrażenia sprzeciwu odnośnie sposobu przetwarzania danych a nawet prawo do ich przeniesienia. Co więcej otrzymają oni możliwość uzyskania powiadomień o wycieku danych. Ponadto administratorzy w większości przypadków muszą zgłosić wyciek danych organom ochrony danych. Co więcej w niektórych sytuacjach administrator danych jest zobowiązany do natychmiastowego powiadomienia osób, których dane dotyczą. W określonych przypadkach osoba fizyczna ma prawo domagać się usunięcia jej danych osobowych np.  gdy osoba wycofuje zgodę na przetwarzanie danych, a nie ma żadnych innych podstaw prawnych do ich przetwarzania.

Rozporządzenie przewiduje także kary za nieprzestrzeganie oraz naruszenie przepisów. W pierwszej grupie naruszeń kary pieniężne wynoszą do 10 milionów euro, a w przypadku przedsiębiorców do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. W drugiej grupie naruszeń kary sięgają do 20 milinów euro, a w przypadku przedsiębiorców do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym w obu przypadkach zastosowanie ma kwota wyższa). Ponadto GDPR normuje prawo dochodzenia odszkodowania od administratora lub podmiotu przetwarzającego za szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów prawa.

Trend Micro oraz VMware wspólnie z agencją badawczą ARC Rynek i Opinia przygotowały raport ukazujący stan przygotowania polskich firm do wprowadzenia GDPR. Po analizie wyników, okazuje się, że niestety ponad połowa respondentów (52%) jeszcze nie słyszała o rozporządzeniu, a aż 67% przedsiębiorców nie wie, ile czasu pozostało do wdrożenia nowych przepisów. Co więcej wielu respondentów nie jest świadomych, że GDPR dotyczy wszystkich przedsiębiorstw – niezależnie od wielkości, więc również mikroprzedsiębiorstwa oraz firmy jednoosobowe. Ponadto aż 2/3 respondentów nie posiada wiedzy odnośnie kar za nieprzestrzeganie przepisów.

Szczególną ostrożność muszą zachować małe firmy – nawet jeśli wiedzą o wprowadzeniu nowych przepisów, niestety nie czują się zobligowani do ich przestrzegania. Dzieję się tak, ponieważ wielu właścicieli małych firm wychodzi z założenia, że nie są głównymi adresatami przepisów. Poziom wiedzy polskich przedsiębiorstw odnośnie rozporządzenia GDPR jest niedostateczny, dlatego organizacje muszą zapoznać się z nowymi przepisami. Jest to konieczny krok na drodze do zagwarantowanie należytej ochrony danych klientów. Ponadto należy pamiętać, że przestrzeganie przepisów nie powinno być celem samo w sobie, a jedynie kolejnym etapem do zapewnienia poziomu bezpieczeństwa.