REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Czy powinniśmy się bać RODO?

Zielona Linia
Centrum Informacyjno-Konsultacyjne Służb Zatrudnienia
Prawo, dane osobowe, RODO 2018/ fot. Fotolia
Prawo, dane osobowe, RODO 2018/ fot. Fotolia

REKLAMA

REKLAMA

Dwuletni okres przejściowy na dostosowanie się do nowych przepisów skończył się 25 maja 2018 r. Od tego dnia wymagania RODO powinny być bezpośrednio stosowane we wszystkich państwach członkowskich. Przedsiębiorcy, którzy nie zdążą się przygotować, nie będą mogli liczyć na łagodniejsze potraktowanie przez organ nadzorczy ochrony danych.

RODO – czy jest się czego bać?

- To bardzo duża zmiana. Organizacyjna. Mentalnościowa. I to nie tylko przedsiębiorców, ale także ich pracowników – tak o wejściu w życie RODO mówi nam Sylwia Templin-Świtała – inspektor ochrony danych. Ekspertka wyjaśnia też, jak się przygotować do zmian i na co koniecznie zwrócić uwagę!

Autopromocja

Termin „RODO” elektryzuje przedsiębiorców co najmniej od kilku miesięcy. Czy mogłaby Pani w kilku słowach wyjaśnić, co to właściwie jest RODO?

RODO to skrót od ogólnego rozporządzenia o ochronie danych, które zostało przyjęte przez Unię Europejską w 2016 r. Rozporządzenie niesie za sobą reformę ochrony danych, zmianę podejścia do zasad bezpieczeństwa. Będzie obowiązywało każdy podmiot, który przetwarza dane osobowe, czyli w praktyce większość przedsiębiorców. Na co dzień mają oni bowiem do czynienia z danymi osobowymi swoich pracowników, klientów czy pacjentów. Obecnie trwa 2-letni okres przejściowy na dostosowanie się do nowych przepisów, który kończy się dokładnie 25 maja 2018 r.Od tego dnia wymagania RODO będą bezpośrednio stosowane we wszystkich państwach członkowskich. To oznacza, że przedsiębiorcy, którzy nie zdążą się przygotować, nie będą mogli liczyć na łagodniejsze potraktowanie przez organ nadzorczy ochrony danych.

Polecamy: Multipakiet RODO 2018 dla kadrowych i HR

Czy powinniśmy się bać RODO?

Dalszy ciąg materiału pod wideo

To zależy od tego, czy wcześniej przedsiębiorca dbał o ochronę danych osobowych, czy przywiązywał wagę do ich właściwego zabezpieczenia. Jeśli tak, to moim zdaniem nie ma się czego bać, a jedynie należy przyjrzeć się ponownie tym czynnościom, które wykonywane są na danych osobowych, sprawdzić, jak mają się do tego nowo nałożone przepisy, zaktualizować zabezpieczenia, jeśli okaże się to niezbędne, zweryfikować obecnie stosowane procedury. Jeśli jednak takie działania nie były nigdy wcześniej w firmie prowadzone, to może się to okazać dla przedsiębiorcy dużym wyzwaniem. I trzeba to szybko nadrobić.

Na czym będą polegały zmiany, które zaczną obowiązywać w maju? Czy mogłaby Pani powiedzieć przynajmniej o tych najważniejszych?

To, jakie zmiany będą dotyczyły przedsiębiorcy, jest uzależnione od tego, jakiego rodzaju dane osobowe przetwarza i na jaką skalę. W nowych przepisach pojawia się np. obowiązek powołania osoby do nadzorowania przestrzegania przepisów i procedur wewnętrznych, dotyczących danych osobowych. To inspektor ochrony danych. Wcześniej taka osoba była znana pod nazwą administratora bezpieczeństwa informacji, a jej wyznaczenie było dobrowolne. Teraz wszystkie podmioty publiczne, a także niektórzy przedsiębiorcy, będą musieli wyznaczyć u siebie taką osobę. Jej powołanie będzie obowiązkowe w firmach, których główna działalność polega na regularnym i systematycznym monitorowaniu osób lub przetwarzaniu danych wrażliwych, np. danych o stanie zdrowia, jeśli odbywa się to na dużą skalę. Pojęcie dużej skali nie jest przy tym precyzyjnie wyjaśnione. Firma sama powinna oszacować, czy jej działanie odbywa się na dużą skalę. Należy wziąć pod uwagę to, jakie konkretnie dane są przetwarzane, przez jaki czas, liczbę osób, których to dotyczy, jak i zakres geograficzny. Jako przykład może posłużyć nam gabinet lekarski. Jeśli przetwarzania dokonuje jeden lekarz, specjalista to możemy uznać, że odbywa się to na małą skalę. Jednak, gdy w ramach tego samego przedsiębiorstwa pojawiają się kolejne specjalizacje, gabinety, powstaje przychodnia lub szpital, to tutaj mamy już do czynienia z dużą skalą. W pozostałych przypadkach powołanie inspektora może nastąpić dobrowolnie.

Nowością z pewnością jest również podejście oparte na ryzyku. RODO wymaga, aby każdy podmiot przetwarzający dane osobowe zidentyfikował zagrożenia, oszacował skutki, a także prawdopodobieństwo ich wystąpienia. Jest to typowa analiza ryzyka, która powinna być punktem wyjścia w dostosowaniu się do nowych wymogów. Dopiero na tej podstawie przedsiębiorca powinien wdrożyć odpowiednie środki organizacyjne, np. procedury postępowania, a także techniczne, informatyczne, które będą zabezpieczały dane osobowe przed ujawnieniem, udostępnieniem, utratą lub zniszczeniem. I tu RODO w pewnym zakresie jest bardziej liberalne od poprzednich przepisów o ochronie danych. Analiza ryzyka ma zapewnić wdrożenie wyłącznie niezbędnych i adekwatnych środków, które będą zabezpieczały przetwarzane dane osobowe. Obecnie nie narzuca się już sztywnych zabezpieczeń. Teraz mają być dobierane według ryzyka i kategorii danych objętych ochroną. Dodatkowo, zgodnie z zasadą rozliczalności, która pojawia się w RODO, wymagane jest nie tylko wprowadzenie zabezpieczeń gwarantujących przestrzeganie nowych przepisów, ale także sporządzenie polityk wewnętrznych, które będą je opisywały i wykazania w praktyce, że to wszystko rzeczywiście w przedsiębiorstwie działa i zapewnia właściwą ochronę.

Kolejny obowiązek, niezależnie od rodzaju naszego działania, to zgłaszanie naruszenia danych do GIODO. Jeśli takie zdarzenie będzie mogło spowodować wysokie ryzyko utraty praw i wolności osoby fizycznej, np. kradzież jej tożsamości, starty materialne lub niematerialne, to przedsiębiorca będzie miał 72 godziny od chwili stwierdzenia naruszenia na poinformowanie o tym organu nadzorczego, a także osoby, której dane dotyczą. W związku z tym będą musiały w firmach istnieć procedury postępowania, które pozwolą na sprawną komunikację i ustalenie tego, jakie będą skutki takiego naruszenia, czy do utraty prawa do wolności rzeczywiście może dojść.

Warto dodać, że większość pozostałych obowiązków z RODO powinna być już przedsiębiorcom znana. Niektóre z nich ulegają lekkiej modyfikacji, np. zamiast zgłaszania zbiorów do GIODO niektórzy przedsiębiorcy będą musieli prowadzić podobny wykaz we własnym zakresie. Nazywa się to rejestrem czynności przetwarzania, ale informacje, które mają być w nim zawarte nie są skomplikowane. Jest to między innymi cel przetwarzania, okres przechowywania czy wymienienie podmiotów, którym dane są lub mogą zostać ujawnione. Inne obowiązki uległy poszerzeniu, np. obowiązek informacyjny. Jest to zestaw informacji, który powinien zostać przekazany osobie, której dane dotyczą, np. przed zebraniem jej danych.

Jaki jest cel tych zmian?

Ogólnie - ujednolicenie przepisów we wszystkich krajach UE. Przyznanie większych praw i wolności osobom, których dane przetwarzamy. Nie da się jednak ukryć, że nowe przepisy przyznają ochronie danych taką samą pozycję, jaką nadajemy w tej chwili np. księgowości czy przepisom BHP. Nikt z przedsiębiorców obecnie nie kwestionuje tego, że potrzebuje w swojej działalności zatrudnienia księgowej lub zlecenia prowadzenia spraw finansowych. Teraz ochrona danych ma stać się częścią działania przedsiębiorcy. Mamy o niej myśleć już na etapie projektowania jakiegoś rozwiązania, analizować ryzyko, zanim podejmiemy się przetwarzania danych. To bardzo duża zmiana. Organizacyjna. Mentalnościowa. I to nie tylko przedsiębiorców, ale także ich pracowników. Ochrona danych ma przestać być przykrym obowiązkiem. Przedsiębiorca ma nad ochroną danych pracować regularnie, sprawdzać, zmieniać i ulepszać zabezpieczenia.

Czy zmieniające się przepisy mogą przynieść przedsiębiorcom korzyści?

RODO skierowane jest na ochronę praw i wolności osoby fizycznej. Przedsiębiorca, który wykaże stosowanie RODO nie tylko uniknie kary pieniężnej, ale może także wiele zyskać wśród swoich pracowników i klientów. Zaufanie do marki, do przedsiębiorcy, będzie wzrastać. Postępowanie zgodnie z RODO może stać się także jednym z elementów oceny przedsiębiorstwa, np. przy przetargu. Firmy, które szybko przygotują się do nowych przepisów, mogą na tym najwięcej zyskać.

Co, Pani zdaniem, może sprawić największy kłopot przedsiębiorcom, w  związku ze zmianą przepisów i jak temu zapobiec?

We współpracy z przedsiębiorcami pojawia się często ten sam problem. Kłopot sprawia dobór adekwatnych środków organizacyjnych i technicznych, które będą właściwie chroniły dane osobowe. RODO nie narzuca żadnych konkretnych rozwiązań. Z jednej strony to duża elastyczność, z drugiej - trudność w ustaleniu, co oznacza, że środki są rzeczywiście adekwatne. Dlatego, to rzeczywiście niezbędne, aby przedsiębiorca dokonał takiej analizy, ponieważ tylko wtedy będzie miał pewność, że zbadał zagrożenia i dobrał do nich odpowiednie środki.

Skoro mowa już o kłopotach. Czy wiadomo, jakie kary grożą przedsiębiorcom za nieprzestrzeganie, niedostosowanie się do nowych przepisów?

RODO wymienia dwa progi kary pieniężnej. Pierwszy, do 10 mln euro lub 2% obrotu za rok poprzedni (przy czym zastosowanie ma mieć wyższa kwota) grożą przedsiębiorcy, np. za niewyznaczenie inspektora ochrony danych, o ile był do tego zobowiązany. Drugi, wyższy, bo do 20 mln euro lub 4% obrotu, mogą spotkać przedsiębiorcę, np. za nieprzestrzeganie praw osób, których dane dotyczą, tj. za niepoinformowanie w chwili zbierania danych o tym, kto będzie ich administratorem. Kary mają być stosowane w ostateczności. Przy tym będzie brane pod uwagę zaangażowanie przedsiębiorcy w wypełnienie obowiązków RODO. Im więcej wykażemy, tym bardziej możemy oczekiwać łagodniejszego wymiaru kary.

W związku z tym, że firmy będą miały obowiązek wykazać, że przetwarzanie danych wykonują prawidłowo, w jaki sposób będą mogły to udowodnić?

Za zgodne z zasadą rozliczalności będzie można uznać opracowanie i zatwierdzenie przez przedsiębiorcę instrukcji i procedur, które będą opisywały zastosowane zabezpieczenia. Jednocześnie trzeba wykazać, że te zabezpieczenia się posiada i funkcjonują w sposób prawidłowy. Dlatego przedsiębiorca powinien prowadzić wewnętrzne sprawdzenia, rejestr naruszeń, dokumentować sposoby zrealizowania obowiązku informacyjnego. Przydatne będą także listy obecności ze szkoleń lub przynajmniej potwierdzenia zapoznania się przez pracowników z przepisami i wewnętrznymi procedurami. Trzeba więc pamiętać o zachowywaniu sobie wszelkich możliwych dowodów, które będą świadczyły o wykonaniu obowiązków RODO przez przedsiębiorcę.

W jaki sposób najlepiej się przygotować i wdrożyć zmiany? Czy niezbędne będą szkolenia w tym kierunku, zwiększenie zatrudnienia? Czy te zmiany mogą się wiązać z kosztami dla przedsiębiorców?

W niektórych przypadkach koszty będą z pewnością nieuniknione. Trzeba to jednak oceniać indywidualnie. Wszystko zależy od skali działania i kategorii przetwarzanych danych. W przypadku, gdy głównym działaniem przedsiębiorcy jest np. przetwarzanie danych o stanie zdrowia na dużą skalę, będzie potrzeba powołania inspektora ochrony danych. Bez względu na wybraną formę współpracy z inspektorem będzie wiązało się to z dodatkowym kosztem. I to niejednorazowym. Jednak, jeśli naszym działaniem jest produkcja, prowadzenie sklepu internetowego czy biura rachunkowego, to nie będziemy mieli takiego obowiązku. I ten koszt nas już nie będzie dotyczył.

Z pewnością, niezależnie od tego, czym się przedsiębiorca zajmuje, będzie potrzebne przejrzenie obecnie stosowanych zabezpieczeń i procedur. Zwiększanie świadomości pracowników poprzez szkolenia czy specjalistyczne doradztwo jest dobrym rozwiązaniem, jednak w przypadku niektórych firm, zwłaszcza mikro i małych, nie ma potrzeby wykonywania audytu, czy delegowania wszystkich pracowników na specjalistyczne szkolenia. Przedsiębiorca sam musi ocenić, jakie metody będą w jego przypadku najskuteczniejsze.

Sylwia Templin-Świtała - ekspert w dziedzinie ochrony danych, audytor wiodący normy ISO/IEC 27001, związanej z bezpieczeństwem informacji, pełni funkcję inspektora ochrony danych w wielu organizacjach. Jest trenerem i wykładowcą Wyższej Szkoły Ekonomii i Informatyki w Krakowie, gdzie prowadzi kurs stacjonarny dla osób, które chcą przygotować się do roli inspektora ochrony danych. Jest autorką programu Bezpieczni w biznesie, który pomaga małym firmom w zrozumieniu zasad ochrony danych osobowych: https://bezpieczniwbiznesie.pl/

Rozmawiała Joanna Niemyjska (Zielona Linia 19524, Centrum Informacyjne Służb Zatrudnienia)

Polecamy serwis: Ochrona danych osobowych

Autopromocja

REKLAMA

Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie - zapraszamy do subskrybcji naszego newslettera
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Uprawnienia rodzicielskie
    certificate
    Jak zdobyć Certyfikat:
    • Czytaj artykuły
    • Rozwiązuj testy
    • Zdobądź certyfikat
    1/10
    Ile tygodni urlopu macierzyńskiego można maksymalnie wykorzystać jeszcze przed porodem?
    nie ma takiej możliwości
    3
    6
    9 - tylko jeśli pracodawca wyrazi na to zgodę
    Następne
    Kadry
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Szukasz dobrej pracy? Pamiętaj o liście motywacyjnym. Musi być profesjonalnie przygotowany!

    List motywacyjny to dokument, w którym składająca go osoba wyjaśnia, z jakich powodów ubiega się np. o zatrudnienie. Chociaż złożenie listu motywacyjnego nie zawsze jest wymagane przez potencjalnego pracodawcę, to warto mu pokazać, że składającemu naprawdę zależy na podjęciu zatrudnienia.

    Pracownicy naukowi dostaną podwyżki o 30%. Profesor zarobi co najmniej 9370 zł miesięcznie, profesor uczelni – 7777,10 zł, adiunkt – 6840,10 zł, inny nauczyciel akademicki – 4685 zł [Wyrównanie od 1 stycznia 2024 r.]

    Wynagrodzenia pracowników naukowych pójdą w górę. Minister nauki Dariusz Wieczorek podpisał rozporządzenie, dzięki któremu podwyżki otrzymają pracownicy naukowi zatrudnieni na uczelniach publicznych oraz w Polskiej Akademii Nauk. Wynagrodzenie zasadnicze profesora wzrośnie z 7210 zł do 9370 zł. Naukowcy dostaną podwyżki z wyrównaniem od 1 stycznia 2024 r.

    Urząd do spraw kombatantów ma nowego szefa. Został nim Lech Parell

    Urząd do Spraw Kombatantów i Osób Represjonowanych ma nowego szefa. Po odwołaniu Jana Józefa Kasprzyka premier Donald Tusk powołał na to stanowisko Lecha Parella. Akt powołania wręczyła mu minister rodziny, pracy i polityki społecznej.

    Asystencja osobista. Ustawa wyczekiwana przez osoby z niepełnosprawnościami

    W Polsce jest ponad 3 mln osób z niepełnosprawnościami, które mają prawne potwierdzenie niepełnosprawności. Poziom zatrudnienia tych osób odbiega od innych państw europejskich. Brakuje też dla nich i ich rodzin systemowego wsparcia w środowisku lokalnym. Z tego względu tak bardzo wyczekiwane jest wprowadzenie ustawy o asystencji osobistej.

    REKLAMA

    Ruchomy czas pracy – rozkład czasu pracy wygodny dla pracodawcy i pracownika

    Rozkład czasu pracy może przewidywać różne godziny rozpoczynania pracy w dniach, które zgodnie z tym rozkładem są dla pracowników dniami pracy. Dzięki wprowadzeniu ruchomego czasu pracy pracownicy mogą – przy zachowaniu 8-godzinnej normy dobowej – rozpoczynać i kończyć pracę o różnych porach w poszczególnych dniach.

    Zakwaterowanie dla pracowników delegowanych do pracy za granicę bez podatku – wyrok NSA

    Zapewnienie pracownikowi delegowanemu, zwłaszcza na krótki czas, nieodpłatnego zakwaterowania i pokrycia kosztów podróży nie powoduje powstania po jego stronie przychodu opodatkowanego podatkiem dochodowym od osób fizycznych – wyrok NSA z 1 sierpnia 2023 r. (II FSK 270/21).

    Jak pracodawca może zareagować na przyprowadzanie przez pracownika dziecka do pracy

    Pracownica zatrudniona w sklepie kolejny raz przyprowadziła do pracy 5-letniego syna. Tłumaczyła to tym, że syn ma katar i nie mógł iść do przedszkola, a pracownica nie ma już urlopu na żądanie. W sklepie 5-latek siedzi sam na zapleczu, kiedy pracownica pracuje, co budzi nasze duże obawy o bezpieczeństwo takiego rozwiązania. Ponadto pracownica nie skupia się w pełni na pracy, tylko co chwilę oddala się ze stanowiska pracy na zaplecze, żeby sprawdzić, co z dzieckiem. Co możemy zrobić w tej sytuacji? Czy możemy ukarać ją upomnieniem lub naganą albo zwolnić, żeby w jej miejsce zatrudnić w pełni efektywnego pracownika? Czy możemy wprowadzić w regulaminie pracy regulację zakazującą przychodzenia do pracy z dzieckiem?

    Jest źle, będzie lepiej? Młodzi nadzieją na poprawę profilaktyki zdrowotnej w Polsce

    W ostatnich latach Polska stanęła w obliczu nie tylko wyzwań związanych z gospodarką czy polityką, ale także ze zdrowiem publicznym. Badania profilaktyczne, kluczowe dla wczesnego wykrywania chorób, stanowią istotny element dbałości o zdrowie. Niestety, statystyki wskazują, że Polacy nie korzystają z nich w wystarczającym stopniu. Jednak nadzieję na poprawę tych wskaźników niesie ze sobą zaangażowanie młodszych pokoleń, zwłaszcza pokolenia Z i milenialsów. 

    REKLAMA

    Prawie 50% imigrantów pracujących w Polsce znalazło zakwaterowanie dzięki pracodawcom

    Aż 47% imigrantów zatrudnionych w Polsce skorzystało z pomocy pracodawcy lub agencji pracy przy znalezieniu zakwaterowania w Polsce, a 33% cudzoziemców znalazło lokum samodzielnie – wynika z pierwszego w Polsce badania na temat sytuacji mieszkaniowej zatrudnionych w naszym kraju migrantów „Pracownik zagraniczny – zakwaterowanie w Polsce”, przeprowadzonego przez EWL Group, RentLito oraz Studium Europy Wschodniej Uniwersytetu Warszawskiego.

    Przeciętne wynagrodzenie w styczniu 2024 r. wyniosło 7768,35 zł brutto, o 264,61 zł mniej niż w grudniu 2023 r. Średnio 12634,53 zł zarobili pracownicy sekcji Informacja i komunikacja

    Przeciętne wynagrodzenie wyniosło w styczniu 2024 r. 7768,35 zł brutto. To o 12,8% więcej niż rok wcześniej, ale o 3,3% mniej niż w grudniu 2023 r. Sektor przedsiębiorstw zatrudniał w styczniu 6515,7 tys. osób – o 0,3% więcej niż w grudniu, ale o 0,2% mniej niż przed rokiem. Główny Urząd Statystyczny podał dane za pierwszy miesiąc 2024 r.

    REKLAMA