REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Czy powinniśmy się bać RODO?

Zielona Linia
Centrum Informacyjno-Konsultacyjne Służb Zatrudnienia
Prawo, dane osobowe, RODO 2018/ fot. Fotolia
Prawo, dane osobowe, RODO 2018/ fot. Fotolia

REKLAMA

REKLAMA

Dwuletni okres przejściowy na dostosowanie się do nowych przepisów skończył się 25 maja 2018 r. Od tego dnia wymagania RODO powinny być bezpośrednio stosowane we wszystkich państwach członkowskich. Przedsiębiorcy, którzy nie zdążą się przygotować, nie będą mogli liczyć na łagodniejsze potraktowanie przez organ nadzorczy ochrony danych.

RODO – czy jest się czego bać?

- To bardzo duża zmiana. Organizacyjna. Mentalnościowa. I to nie tylko przedsiębiorców, ale także ich pracowników – tak o wejściu w życie RODO mówi nam Sylwia Templin-Świtała – inspektor ochrony danych. Ekspertka wyjaśnia też, jak się przygotować do zmian i na co koniecznie zwrócić uwagę!

Autopromocja

Termin „RODO” elektryzuje przedsiębiorców co najmniej od kilku miesięcy. Czy mogłaby Pani w kilku słowach wyjaśnić, co to właściwie jest RODO?

RODO to skrót od ogólnego rozporządzenia o ochronie danych, które zostało przyjęte przez Unię Europejską w 2016 r. Rozporządzenie niesie za sobą reformę ochrony danych, zmianę podejścia do zasad bezpieczeństwa. Będzie obowiązywało każdy podmiot, który przetwarza dane osobowe, czyli w praktyce większość przedsiębiorców. Na co dzień mają oni bowiem do czynienia z danymi osobowymi swoich pracowników, klientów czy pacjentów. Obecnie trwa 2-letni okres przejściowy na dostosowanie się do nowych przepisów, który kończy się dokładnie 25 maja 2018 r.Od tego dnia wymagania RODO będą bezpośrednio stosowane we wszystkich państwach członkowskich. To oznacza, że przedsiębiorcy, którzy nie zdążą się przygotować, nie będą mogli liczyć na łagodniejsze potraktowanie przez organ nadzorczy ochrony danych.

Polecamy: Multipakiet RODO 2018 dla kadrowych i HR

Czy powinniśmy się bać RODO?

Dalszy ciąg materiału pod wideo

To zależy od tego, czy wcześniej przedsiębiorca dbał o ochronę danych osobowych, czy przywiązywał wagę do ich właściwego zabezpieczenia. Jeśli tak, to moim zdaniem nie ma się czego bać, a jedynie należy przyjrzeć się ponownie tym czynnościom, które wykonywane są na danych osobowych, sprawdzić, jak mają się do tego nowo nałożone przepisy, zaktualizować zabezpieczenia, jeśli okaże się to niezbędne, zweryfikować obecnie stosowane procedury. Jeśli jednak takie działania nie były nigdy wcześniej w firmie prowadzone, to może się to okazać dla przedsiębiorcy dużym wyzwaniem. I trzeba to szybko nadrobić.

Na czym będą polegały zmiany, które zaczną obowiązywać w maju? Czy mogłaby Pani powiedzieć przynajmniej o tych najważniejszych?

To, jakie zmiany będą dotyczyły przedsiębiorcy, jest uzależnione od tego, jakiego rodzaju dane osobowe przetwarza i na jaką skalę. W nowych przepisach pojawia się np. obowiązek powołania osoby do nadzorowania przestrzegania przepisów i procedur wewnętrznych, dotyczących danych osobowych. To inspektor ochrony danych. Wcześniej taka osoba była znana pod nazwą administratora bezpieczeństwa informacji, a jej wyznaczenie było dobrowolne. Teraz wszystkie podmioty publiczne, a także niektórzy przedsiębiorcy, będą musieli wyznaczyć u siebie taką osobę. Jej powołanie będzie obowiązkowe w firmach, których główna działalność polega na regularnym i systematycznym monitorowaniu osób lub przetwarzaniu danych wrażliwych, np. danych o stanie zdrowia, jeśli odbywa się to na dużą skalę. Pojęcie dużej skali nie jest przy tym precyzyjnie wyjaśnione. Firma sama powinna oszacować, czy jej działanie odbywa się na dużą skalę. Należy wziąć pod uwagę to, jakie konkretnie dane są przetwarzane, przez jaki czas, liczbę osób, których to dotyczy, jak i zakres geograficzny. Jako przykład może posłużyć nam gabinet lekarski. Jeśli przetwarzania dokonuje jeden lekarz, specjalista to możemy uznać, że odbywa się to na małą skalę. Jednak, gdy w ramach tego samego przedsiębiorstwa pojawiają się kolejne specjalizacje, gabinety, powstaje przychodnia lub szpital, to tutaj mamy już do czynienia z dużą skalą. W pozostałych przypadkach powołanie inspektora może nastąpić dobrowolnie.

Nowością z pewnością jest również podejście oparte na ryzyku. RODO wymaga, aby każdy podmiot przetwarzający dane osobowe zidentyfikował zagrożenia, oszacował skutki, a także prawdopodobieństwo ich wystąpienia. Jest to typowa analiza ryzyka, która powinna być punktem wyjścia w dostosowaniu się do nowych wymogów. Dopiero na tej podstawie przedsiębiorca powinien wdrożyć odpowiednie środki organizacyjne, np. procedury postępowania, a także techniczne, informatyczne, które będą zabezpieczały dane osobowe przed ujawnieniem, udostępnieniem, utratą lub zniszczeniem. I tu RODO w pewnym zakresie jest bardziej liberalne od poprzednich przepisów o ochronie danych. Analiza ryzyka ma zapewnić wdrożenie wyłącznie niezbędnych i adekwatnych środków, które będą zabezpieczały przetwarzane dane osobowe. Obecnie nie narzuca się już sztywnych zabezpieczeń. Teraz mają być dobierane według ryzyka i kategorii danych objętych ochroną. Dodatkowo, zgodnie z zasadą rozliczalności, która pojawia się w RODO, wymagane jest nie tylko wprowadzenie zabezpieczeń gwarantujących przestrzeganie nowych przepisów, ale także sporządzenie polityk wewnętrznych, które będą je opisywały i wykazania w praktyce, że to wszystko rzeczywiście w przedsiębiorstwie działa i zapewnia właściwą ochronę.

Kolejny obowiązek, niezależnie od rodzaju naszego działania, to zgłaszanie naruszenia danych do GIODO. Jeśli takie zdarzenie będzie mogło spowodować wysokie ryzyko utraty praw i wolności osoby fizycznej, np. kradzież jej tożsamości, starty materialne lub niematerialne, to przedsiębiorca będzie miał 72 godziny od chwili stwierdzenia naruszenia na poinformowanie o tym organu nadzorczego, a także osoby, której dane dotyczą. W związku z tym będą musiały w firmach istnieć procedury postępowania, które pozwolą na sprawną komunikację i ustalenie tego, jakie będą skutki takiego naruszenia, czy do utraty prawa do wolności rzeczywiście może dojść.

Warto dodać, że większość pozostałych obowiązków z RODO powinna być już przedsiębiorcom znana. Niektóre z nich ulegają lekkiej modyfikacji, np. zamiast zgłaszania zbiorów do GIODO niektórzy przedsiębiorcy będą musieli prowadzić podobny wykaz we własnym zakresie. Nazywa się to rejestrem czynności przetwarzania, ale informacje, które mają być w nim zawarte nie są skomplikowane. Jest to między innymi cel przetwarzania, okres przechowywania czy wymienienie podmiotów, którym dane są lub mogą zostać ujawnione. Inne obowiązki uległy poszerzeniu, np. obowiązek informacyjny. Jest to zestaw informacji, który powinien zostać przekazany osobie, której dane dotyczą, np. przed zebraniem jej danych.

Jaki jest cel tych zmian?

Ogólnie - ujednolicenie przepisów we wszystkich krajach UE. Przyznanie większych praw i wolności osobom, których dane przetwarzamy. Nie da się jednak ukryć, że nowe przepisy przyznają ochronie danych taką samą pozycję, jaką nadajemy w tej chwili np. księgowości czy przepisom BHP. Nikt z przedsiębiorców obecnie nie kwestionuje tego, że potrzebuje w swojej działalności zatrudnienia księgowej lub zlecenia prowadzenia spraw finansowych. Teraz ochrona danych ma stać się częścią działania przedsiębiorcy. Mamy o niej myśleć już na etapie projektowania jakiegoś rozwiązania, analizować ryzyko, zanim podejmiemy się przetwarzania danych. To bardzo duża zmiana. Organizacyjna. Mentalnościowa. I to nie tylko przedsiębiorców, ale także ich pracowników. Ochrona danych ma przestać być przykrym obowiązkiem. Przedsiębiorca ma nad ochroną danych pracować regularnie, sprawdzać, zmieniać i ulepszać zabezpieczenia.

Czy zmieniające się przepisy mogą przynieść przedsiębiorcom korzyści?

RODO skierowane jest na ochronę praw i wolności osoby fizycznej. Przedsiębiorca, który wykaże stosowanie RODO nie tylko uniknie kary pieniężnej, ale może także wiele zyskać wśród swoich pracowników i klientów. Zaufanie do marki, do przedsiębiorcy, będzie wzrastać. Postępowanie zgodnie z RODO może stać się także jednym z elementów oceny przedsiębiorstwa, np. przy przetargu. Firmy, które szybko przygotują się do nowych przepisów, mogą na tym najwięcej zyskać.

Co, Pani zdaniem, może sprawić największy kłopot przedsiębiorcom, w  związku ze zmianą przepisów i jak temu zapobiec?

We współpracy z przedsiębiorcami pojawia się często ten sam problem. Kłopot sprawia dobór adekwatnych środków organizacyjnych i technicznych, które będą właściwie chroniły dane osobowe. RODO nie narzuca żadnych konkretnych rozwiązań. Z jednej strony to duża elastyczność, z drugiej - trudność w ustaleniu, co oznacza, że środki są rzeczywiście adekwatne. Dlatego, to rzeczywiście niezbędne, aby przedsiębiorca dokonał takiej analizy, ponieważ tylko wtedy będzie miał pewność, że zbadał zagrożenia i dobrał do nich odpowiednie środki.

Skoro mowa już o kłopotach. Czy wiadomo, jakie kary grożą przedsiębiorcom za nieprzestrzeganie, niedostosowanie się do nowych przepisów?

RODO wymienia dwa progi kary pieniężnej. Pierwszy, do 10 mln euro lub 2% obrotu za rok poprzedni (przy czym zastosowanie ma mieć wyższa kwota) grożą przedsiębiorcy, np. za niewyznaczenie inspektora ochrony danych, o ile był do tego zobowiązany. Drugi, wyższy, bo do 20 mln euro lub 4% obrotu, mogą spotkać przedsiębiorcę, np. za nieprzestrzeganie praw osób, których dane dotyczą, tj. za niepoinformowanie w chwili zbierania danych o tym, kto będzie ich administratorem. Kary mają być stosowane w ostateczności. Przy tym będzie brane pod uwagę zaangażowanie przedsiębiorcy w wypełnienie obowiązków RODO. Im więcej wykażemy, tym bardziej możemy oczekiwać łagodniejszego wymiaru kary.

W związku z tym, że firmy będą miały obowiązek wykazać, że przetwarzanie danych wykonują prawidłowo, w jaki sposób będą mogły to udowodnić?

Za zgodne z zasadą rozliczalności będzie można uznać opracowanie i zatwierdzenie przez przedsiębiorcę instrukcji i procedur, które będą opisywały zastosowane zabezpieczenia. Jednocześnie trzeba wykazać, że te zabezpieczenia się posiada i funkcjonują w sposób prawidłowy. Dlatego przedsiębiorca powinien prowadzić wewnętrzne sprawdzenia, rejestr naruszeń, dokumentować sposoby zrealizowania obowiązku informacyjnego. Przydatne będą także listy obecności ze szkoleń lub przynajmniej potwierdzenia zapoznania się przez pracowników z przepisami i wewnętrznymi procedurami. Trzeba więc pamiętać o zachowywaniu sobie wszelkich możliwych dowodów, które będą świadczyły o wykonaniu obowiązków RODO przez przedsiębiorcę.

W jaki sposób najlepiej się przygotować i wdrożyć zmiany? Czy niezbędne będą szkolenia w tym kierunku, zwiększenie zatrudnienia? Czy te zmiany mogą się wiązać z kosztami dla przedsiębiorców?

W niektórych przypadkach koszty będą z pewnością nieuniknione. Trzeba to jednak oceniać indywidualnie. Wszystko zależy od skali działania i kategorii przetwarzanych danych. W przypadku, gdy głównym działaniem przedsiębiorcy jest np. przetwarzanie danych o stanie zdrowia na dużą skalę, będzie potrzeba powołania inspektora ochrony danych. Bez względu na wybraną formę współpracy z inspektorem będzie wiązało się to z dodatkowym kosztem. I to niejednorazowym. Jednak, jeśli naszym działaniem jest produkcja, prowadzenie sklepu internetowego czy biura rachunkowego, to nie będziemy mieli takiego obowiązku. I ten koszt nas już nie będzie dotyczył.

Z pewnością, niezależnie od tego, czym się przedsiębiorca zajmuje, będzie potrzebne przejrzenie obecnie stosowanych zabezpieczeń i procedur. Zwiększanie świadomości pracowników poprzez szkolenia czy specjalistyczne doradztwo jest dobrym rozwiązaniem, jednak w przypadku niektórych firm, zwłaszcza mikro i małych, nie ma potrzeby wykonywania audytu, czy delegowania wszystkich pracowników na specjalistyczne szkolenia. Przedsiębiorca sam musi ocenić, jakie metody będą w jego przypadku najskuteczniejsze.

Sylwia Templin-Świtała - ekspert w dziedzinie ochrony danych, audytor wiodący normy ISO/IEC 27001, związanej z bezpieczeństwem informacji, pełni funkcję inspektora ochrony danych w wielu organizacjach. Jest trenerem i wykładowcą Wyższej Szkoły Ekonomii i Informatyki w Krakowie, gdzie prowadzi kurs stacjonarny dla osób, które chcą przygotować się do roli inspektora ochrony danych. Jest autorką programu Bezpieczni w biznesie, który pomaga małym firmom w zrozumieniu zasad ochrony danych osobowych: https://bezpieczniwbiznesie.pl/

Rozmawiała Joanna Niemyjska (Zielona Linia 19524, Centrum Informacyjne Służb Zatrudnienia)

Polecamy serwis: Ochrona danych osobowych

Autopromocja

REKLAMA

Źródło: INFOR

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

Uprawnienia rodzicielskie
certificate
Jak zdobyć Certyfikat:
  • Czytaj artykuły
  • Rozwiązuj testy
  • Zdobądź certyfikat
1/10
Ile tygodni urlopu macierzyńskiego można maksymalnie wykorzystać jeszcze przed porodem?
nie ma takiej możliwości
3
6
9 - tylko jeśli pracodawca wyrazi na to zgodę
Następne
Kadry
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Igrzyska olimpijskie za mniej niż 100 dni! Polscy sportowcy będą walczyli o medale ale też o olimpijską emeryturę

Gdzie odbędą się igrzyska olimpijskie w 2024 roku? Ile obecnie trwają igrzyska olimpijskie? Kiedy odbędą się najbliższe igrzyska olimpijskie? Jakie dyscypliny na igrzyskach? Gdzie będą igrzyska 2028? Ile wynosi emerytura olimpijska w 2024? Komu przysługuje emerytura olimpijska?

Rząd: 10 dodatkowych dni urlopu wypoczynkowego dla opiekunek. Pracownicy: My też chcemy 36 dni urlopu

Opiekunowie pracujący w żłobkach otrzymają przywilej w postaci 10 dni dodatkowego urlopu wypoczynkowego rocznie. Wywołało to reakcję innych pracowników "My też chcemy 36 dni urlopu wypoczynkowego rocznie".

2 dni lub 16 godzin za połowę wynagrodzenia. Pracodawca nie może odmówić

Pracownik może wykorzystać zwolnienie od pracy z powodu działania siły wyższej w określonych sytuacjach. Kodeks pracy wymienia pilne sprawy rodzinne spowodowane chorobą lub wypadkiem, jeżeli jest niezbędna natychmiastowa obecność pracownika.

Prace interwencyjne PUP - co to? Jakie to korzyści dla pracodawcy i bezrobotnego?

Czym są prace interwencyjne z PUP? Dlaczego warto skorzystać z tego wsparcia z urzędu pracy? Jakie korzyści ma bezrobotny, a jakie pracodawca? Ile wynosi refundacja wynagrodzenia?

REKLAMA

1780,96 zł brutto do 19 kwietnia 2024 r. dla tej grupy emerytów

W piątek, 19 kwietnia 2024 r., na konta 6,6 mln emerytów trafi ponad 11 mld złotych. Tego dnia ZUS przeleje kolejną transzę trzynastych emerytur.

Policjant chciał uzyskać dodatkowy płatny urlop bo pracował gdy był smog. Czy uzyskał?

Przed Wojewódzkim Sądem Administracyjnym w Gliwicach toczyła się ciekawa sprawa, która trafiła tam na skutek wniesienia przez policjanta A.K. skargi na decyzję Komendanta Wojewódzkiego Policji. Dlaczego policjant wniósł skargę? Ponieważ decyzja nie była wydana po jego myśli. Mianowicie Komendant nie przyznał policjantowi dodatkowego płatnego urlopu, o który ten wnosił. Policjant chciał dostać urlop ze względu, na jego zdaniem, pracę w szkodliwych dla zdrowia warunkach - gdy stężenie SMOGU było wysokie.

Zmiany w kodeksie pracy co do BHP - dotyczą wielu branż

To będzie nie mała rewolucja dla takich branż i rodzajów pracy jak: praca przy produkcji i stosowaniu pestycydów, produkcji i przetwórstwie tworzyw sztucznych, w przemyśle gumowym, farmaceutycznym, metalurgicznym, kosmetycznym, w budownictwie, w placówkach ochrony zdrowia, w zakładach fryzjerskich, kosmetycznych i warsztatach samochodowych. Dlaczego? Ponieważ Ministerstwo Rodziny, Pracy i Polityki Społecznej przygotowało kolejny już projekt zmian w zakresie prawa pracy. Tym razem chodzi o pewne czynniki oraz procesy stwarzające szczególne zagrożenie dla zdrowia lub życia pracowników. Trzeba będzie zmienić rejestry prac i pracowników.

Trzęsienie ziemi w Poczcie Polskiej. Tysiące osób ma stracić pracę

Poczta Polska, narodowy operator pocztowy, planuje wprowadzić istotne zmiany w swojej strukturze zatrudnienia i funkcjonowaniu placówek. Według doniesień prasowych, spółka zamierza znacznie ograniczyć liczbę pracowników oraz zmniejszyć liczbę otwartych okienek i skrócić godziny pracy swoich urzędów.

REKLAMA

336,36 zł dodatku do emerytury dla sołtysów już po 7 latach

336,36 zł to kwota dodatku do emerytury dla sołtysów, do której prawo nabędą już po 7 latach pełnienia funkcji.

Gaslighting - jak się bronić i radzić sobie z manipulacją emocjonalną?

Czym jest gaslighting? Jak go rozpoznać, bronić się i radzić sobie z manipulacją emocjonalną? Oto 6 strategii na zdemaskowanie gaslightingu: rozpoznanie i przezwyciężanie manipulacji emocjonalnej.

REKLAMA