Rozporządzenie o Ochronie Danych Osobowych (RODO) to unijne prawo, które w zupełnie inny, niż dotychczas, sposób definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w firmach i urzędach. Zacznie obowiązywać już w piątek 25 maja 2018 roku.
Rozporządzenie dotyczy wszystkich przedsiębiorców, niezależnie od rodzaju prowadzonej działalności czy liczby zatrudnionych pracowników. Zarówno jednoosobowe firmy jak i spółki z o.o. są zobligowane chronić dane osobowe. Przepisy o ochronie danych osobowych obowiązują w Polsce od 1997 roku, a unijne prawo konkretyzuje jedynie co podlega ochronie, nie wskazując konkretnie jak należy to przeprowadzić. To na nas spoczywa obowiązek wykazania, że dane osobowe są odpowiednio zabezpieczone przed niepowołanym dostępem, ich utratą oraz przetwarzania w zakresie niezbędnym i zgodnym z tym, na co wyraził zgodę dysponent danych.
W każdej firmie musimy „zidentyfikować zbiory danych”. Oznacza to mniej więcej odpowiedź na pytanie: Jakie dane osobowe przetwarzamy i do jakich czynności je wykorzystuję. Mogą to być np. dane kontrahentów wykorzystywane do rozliczeń z nimi, ewidencji księgowych prowadzonych samodzielnie lub poprzez powierzenie przetwarzania danych do biura rachunkowego.
Jeżeli zatrudniamy pracowników, to obszarem przetwarzania danych będą ich dane osobowe, a procesami: proces rekrutacji, ewidencja czasu pracy, rozliczenia z urzędami, przeprowadzanie szkoleń, udostępnianie danych innym podmiotom, np. imienne karnety na basen czy siłownię, prywatna opieka medyczna.
Również gromadzenie np. wizytówek lub zapisywanie danych kontaktowych w notesie jest gromadzeniem i przetwarzaniem danych osobowym i powinny te procedury być uwzględnione w naszym schemacie ochrony danych osobowych.
RODO nakłada na nas obowiązek wdrożenia procedur ochrony tych danych w trakcie ich przetwarzania, zabezpieczenia przez utratą lub wyciekiem. Rodo nakłada na nas również obowiązek ciągłego monitorowania opracowanych przez nas procedur i sprawdzania, czy są one wystarczające.
CO MUSI ZROBIĆ FIRMA ABY BYĆ ZGODNA Z PRZEPISAMI UE RODO?
1. Przeprowadzić Inwentaryzacje zasobów informatycznych i informacyjnych
2. Wykonać analizy ryzyka
3. Wdrożyć dokumentacje i procedury opisujące politykę ochrony danych
4. Sporządzić rejestr czynności przetwarzania danych – pod karą do 10 mln euro za brak prowadzenia, nie prowadzą go podmioty zatrudniające mniej niż 250 osób z wyjątkami.
5. Wprowadzić metodologie i procedury naruszeniowe – zgłoszeń do organu
6. Wdrożyć zabezpieczenia fizyczne i informatyczne
7. Określić podstawy prawne na każdą kategorię danych
8. Stosować minimalizacje przetwarzanych danych
9. Podjąć decyzję o powołaniu DPO – Inspektor Ochrony Danych
10. Spełnić obowiązek informacyjny
11. Sprawdzić i zaktualizować umowy powierzenia przetwarzania danych.
12. Być przygotowanym na nowe uprawnienia osób, których dane są przetwarzane (kopia danych, przenoszenie danych, prawo do bycia zapomnianym)
13. Przeszkolić personel z ochrony danych i procedur UE RODO
14. Monitorować i sprawdzać procedury