| INFORLEX | GAZETA PRAWNA | KONFERENCJE | INFORORGANIZER | APLIKACJE | KARIERA | SKLEP
Jesteś tutaj: STRONA GŁÓWNA > Kadry > Indywidualne prawo pracy > Ochrona danych osobowych > Czy powinniśmy się bać RODO?

Czy powinniśmy się bać RODO?

Dwuletni okres przejściowy na dostosowanie się do nowych przepisów skończył się 25 maja 2018 r. Od tego dnia wymagania RODO powinny być bezpośrednio stosowane we wszystkich państwach członkowskich. Przedsiębiorcy, którzy nie zdążą się przygotować, nie będą mogli liczyć na łagodniejsze potraktowanie przez organ nadzorczy ochrony danych.

Nowością z pewnością jest również podejście oparte na ryzyku. RODO wymaga, aby każdy podmiot przetwarzający dane osobowe zidentyfikował zagrożenia, oszacował skutki, a także prawdopodobieństwo ich wystąpienia. Jest to typowa analiza ryzyka, która powinna być punktem wyjścia w dostosowaniu się do nowych wymogów. Dopiero na tej podstawie przedsiębiorca powinien wdrożyć odpowiednie środki organizacyjne, np. procedury postępowania, a także techniczne, informatyczne, które będą zabezpieczały dane osobowe przed ujawnieniem, udostępnieniem, utratą lub zniszczeniem. I tu RODO w pewnym zakresie jest bardziej liberalne od poprzednich przepisów o ochronie danych. Analiza ryzyka ma zapewnić wdrożenie wyłącznie niezbędnych i adekwatnych środków, które będą zabezpieczały przetwarzane dane osobowe. Obecnie nie narzuca się już sztywnych zabezpieczeń. Teraz mają być dobierane według ryzyka i kategorii danych objętych ochroną. Dodatkowo, zgodnie z zasadą rozliczalności, która pojawia się w RODO, wymagane jest nie tylko wprowadzenie zabezpieczeń gwarantujących przestrzeganie nowych przepisów, ale także sporządzenie polityk wewnętrznych, które będą je opisywały i wykazania w praktyce, że to wszystko rzeczywiście w przedsiębiorstwie działa i zapewnia właściwą ochronę.

Kolejny obowiązek, niezależnie od rodzaju naszego działania, to zgłaszanie naruszenia danych do GIODO. Jeśli takie zdarzenie będzie mogło spowodować wysokie ryzyko utraty praw i wolności osoby fizycznej, np. kradzież jej tożsamości, starty materialne lub niematerialne, to przedsiębiorca będzie miał 72 godziny od chwili stwierdzenia naruszenia na poinformowanie o tym organu nadzorczego, a także osoby, której dane dotyczą. W związku z tym będą musiały w firmach istnieć procedury postępowania, które pozwolą na sprawną komunikację i ustalenie tego, jakie będą skutki takiego naruszenia, czy do utraty prawa do wolności rzeczywiście może dojść.

Warto dodać, że większość pozostałych obowiązków z RODO powinna być już przedsiębiorcom znana. Niektóre z nich ulegają lekkiej modyfikacji, np. zamiast zgłaszania zbiorów do GIODO niektórzy przedsiębiorcy będą musieli prowadzić podobny wykaz we własnym zakresie. Nazywa się to rejestrem czynności przetwarzania, ale informacje, które mają być w nim zawarte nie są skomplikowane. Jest to między innymi cel przetwarzania, okres przechowywania czy wymienienie podmiotów, którym dane są lub mogą zostać ujawnione. Inne obowiązki uległy poszerzeniu, np. obowiązek informacyjny. Jest to zestaw informacji, który powinien zostać przekazany osobie, której dane dotyczą, np. przed zebraniem jej danych.

Czytaj także

Narzędzia kadrowego

POLECANE

KORONAWIRUS A PRAWO PRACY

reklama

Ostatnio na forum

Wszystko co musisz wiedzieć o PPK

Eksperci portalu infor.pl

Marcin Wicherkiewicz

Radca prawny

Zostań ekspertem portalu Infor.pl »