Nowe przepisy będą dotyczyć wszystkich podmiotów, które na terenie UE przetwarzają dane osobowe. Warto zapoznać się z najważniejszymi zmianami, które będą obowiązywały już wkrótce i rozpocząć przygotowania już teraz, w szczególności po to by uniknąć dotkliwych kar finansowych.

Co to są dane osobowe?

Zgodnie z RODO „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna, to osoba którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden, bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Kogo dotyczy RODO?

Tak naprawdę wszystkich firm i podmiotów, które gromadzą i wykorzystują dane osobowe osób fizycznych. Mogą to być zarówno duże firmy, korporacje oraz niewielkie przedsiębiorstwa, jak sklepy internetowe czy salony kosmetyczne, ale również przedszkola i szkoły, które przechowują dane rodziców i dzieci. RODO ponadto dotyka instytucji przetwarzających dane wrażliwe, takich jak szpitale czy przychodnie.

Co to oznacza w praktyce?

Ogólne rozporządzenie o ochronie danych osobowych (RODO) znacząco wpłynie na zakres obowiązków firm i podmiotów przetwarzających dane osobowe i wymusi liczne zmiany w polityce ich ochrony. Wartym podkreślenia jest fakt, że RODO przewiduje olbrzymie kary (w skrajnych przypadkach nawet do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego) za ewentualne naruszenia dotyczące danych osobowych.

Krok po kroku

W 10 krótkich punktach przedstawiamy Wam co należy zrobić, by uniknąć problemów i kar w związku z nowym rozporządzeniem:

1. Przeprowadzenie wewnętrznego audytu celem dokonania weryfikacji stanu prawnego i organizacyjnego firmy w zakresie przygotowania do nowych regulacji.
2. Uświadomienie osobom kluczowym w organizacji, jakie mogą być konsekwencje niedostosowania organizacji do przepisów nowego rozporządzenia.
3. Dokonanie weryfikacji czy, z uwagi na skalę przetwarzania danych osobowych w organizacji, konieczne jest prowadzenie rejestru czynności przetwarzania i powołanie Inspektora Ochrony Danych (nawet jeżeli w organizacji nie będzie konieczności powołania Inspektora Ochrony Danych i tak dobrze powołać osobę odpowiedzialną za nadzór nad przetwarzaniem danych).
4. Ustalenie zakresu i harmonogramu prac, których wykonanie jest niezbędne do tego, żeby przetwarzać dane osobowe zgodnie z RODO.
5. Dokonanie zmian w obowiązujących w firmie regulacjach wewnętrznych, takich jak polityka bezpieczeństwa, polityka prywatności, etc.
6. Dostosowanie zgód, które dzisiaj zbieramy, a które umożliwiają nam przetwarzanie danych osobowych, do nowych wymagań prawnych.
7. Weryfikacja procedur pod względem obejmowania wszystkich praw, jakie mają osoby fizyczne, w tym sposobów usuwania danych osobowych, przekazywania danych drogą elektroniczną.
8. Zastanowienie się nad wdrożeniem systemów dla weryfikacji wieku osób (chodzi głównie o dane osób małoletnich) i pozyskiwania zgody na czynności związane z przetwarzaniem danych od rodzica lub opiekuna prawnego.
9. Upewnienie się, że działają odpowiednie procedury do wykrywania, raportowania i badania naruszenia ochrony danych osobowych.
10. Zapoznanie się z wytycznymi wydanymi przez ICO dotyczącymi oceny skutków w zakresie ochrony danych /Privacy Impact Assessments – PIAs/ i wypracowanie sposobu wdrożenia ich w organizacji.