Rozporządzenie o Ochronie Danych Osobowych (GDPR, RODO) — co oznacza dla Twojej firmy?

Cyfryzacja w gwałtownym tempie zmienia świat. Z jednej strony życie staje się prostsze, a z drugiej — wykorzystywanie danych wiąże się z pewnym ryzykiem, w szczególności w obszarze prywatności. Ponieważ Unia Europejska przywiązuje do tej kwestii wysoką wagę, na jej terenie wprowadzono Rozporządzenie o Ochronie Danych Osobowych (GDPR, RODO) — regulację dotyczącą niezliczonej rzeszy firm.

GDPR (RODO) — co to jest i kiedy wchodzi w życie?

Rozporządzenie o Ochronie Danych Osobowych (GDPR, RODO) opracowano w celu wzmocnienia i ustandaryzowania ochrony danych osobowych w obrębie Unii Europejskiej. GDPR (RODO) wpłynie na wiele firm i dlatego ważne jest, aby dobrze się przygotować do towarzyszących mu zmian. Rozporządzenie to jest nowym instrumentem prawnym, przyjętym 27 kwietnia 2016 roku i zacznie obowiązywać od 25 maja 2018 roku — po upływie dwuletniego okresu przejściowego. GDPR (RODO) — w przeciwieństwie do wytycznych — nie wymaga dalszych rozporządzeń pomocniczych od rządów.

Co zawiera GDPR (RODO)?

GDPR (RODO) obejmuje szereg podstawowych, ważnych dla firm zasad, dotyczących ochrony danych:

Legalność, spójność i przejrzystość — Firmy muszą przetwarzać dane osobowe w sposób przejrzysty i zgodny z prawem oraz z zachowaniem spójności danych wobec osób, których one dotyczą.

Spójność i poufność — Firmy muszą przetwarzać dane osobowe w sposób, który zapewnia ich odpowiednią ochronę. Obejmuje to zabezpieczenie przed nieautoryzowanym lub nielegalnym przetwarzaniem i przypadkową utratą, zniszczeniem lub uszkodzeniem. Firmy muszą przestrzegać tych zasad, stosując odpowiednie środki techniczne i organizacyjne.

Minimalizacja danych — Dane osobowe muszą być adekwatne, istotne i dostępne wyłącznie dla osób, dla których są przeznaczone, w związku z celami, dla których są przetwarzane.

Określenie celu — Firmy mogą gromadzić dane osobowe w określonych, wyraźnych i legalnych celach, nie mogą natomiast ich przetwarzać dalej w sposób niezgodny z przeznaczeniem. Dalsze przetwarzanie danych osobowych w celu archiwizacji na rzecz interesu publicznego, badań naukowych i historycznych lub statystycznych nie jest uznawane za zgodne z celem pierwotnym. Jednak w tym przypadku organizacje muszą spełniać warunki wymienione w Artykule 83(1). Opisane są w nim gwarancje i wyjątki w kontekście przetwarzania danych w celach wspomnianych powyżej.

Określenie sposobu przechowywania — Firmy muszą przechowywać dane osobowe tak, aby identyfikacja osób, których te dane dotyczą, nie trwała dłużej, niż jest to konieczne do osiągnięcia celów związanych z przetwarzaniem tych danych przez firmę. Dane osobowe można przechowywać przez dłuższe okresy, gdy przetwarza się je konkretnie w celach archiwizacji na rzecz interesu publicznego, badań naukowych i historycznych lub statystycznych. Musi się to jednakże odbywać w zgodzie z Artykułem 83(1) oraz pod warunkiem, że firma podejmuje odpowiednie środki techniczne i organizacyjne.

Poprawność — Dane osobowe muszą być poprawne i, w razie potrzeby, aktualizowane. Firmy muszą podejmować wszelkie uzasadnione środki, zapewniające usuwanie lub korygowanie — natychmiast i bez opóźnień — wszystkich niewłaściwych danych osobowych dotyczących celów, w których są przetwarzane.

Odpowiedzialność kontrolera

Kontroler biznesowy odgrywa ważną rolę w kontekście rozporządzenia GDPR (RODO). Odpowiada za przestrzeganie przez firmę wymienionych powyżej zasad GDPR, a także musi być w stanie to udowodnić.

Bądź przygotowany

Co firma musi zrobić, aby przygotować się na GDPR (RODO)? Wszystkie firmy, które przetwarzają, archiwizują i przekazują dane osobowe, muszą dobrze zapoznać się z przepisami GDPR. Może to być istotne np. w kontekście danych osobowych (potencjalnych) klientów, pracowników lub dostawców. Należy zadbać o przygotowanie procedur ochrony danych. Jeśli już taka istnieje, należy ją przeanalizować, aby mieć pewność, że spełnia wymagania nowych przepisów. W wyniku wprowadzenia nowych przepisów potrzebne są nowe reguły postępowania w Twojej firmie. Należy również przeszkolić personel w zakresie przestrzegania tych reguł. Trzeba również zadbać o to, aby kontroler miał dostęp do odpowiednich środków umożliwiających potwierdzenie, że firma przestrzega zasad rozporządzenia GDPR (RODO). Rozporządzenie wchodzi w życie w maju 2018 roku, ale nie warto opóźniać przygotowań i należy zadbać o przygotowanie swojej firmy na nowe przepisy.


GDPR

GDPR (RODO)

Chcesz dowiedzieć się więcej?

Dodatkowe informacje można znaleźć tutaj