Kategorie

Czy powinniśmy się bać RODO?

Zielona Linia
Centrum Informacyjno-Konsultacyjne Służb Zatrudnienia
Prawo, dane osobowe, RODO 2018/ fot. Fotolia
Dwuletni okres przejściowy na dostosowanie się do nowych przepisów skończył się 25 maja 2018 r. Od tego dnia wymagania RODO powinny być bezpośrednio stosowane we wszystkich państwach członkowskich. Przedsiębiorcy, którzy nie zdążą się przygotować, nie będą mogli liczyć na łagodniejsze potraktowanie przez organ nadzorczy ochrony danych.

RODO – czy jest się czego bać?

- To bardzo duża zmiana. Organizacyjna. Mentalnościowa. I to nie tylko przedsiębiorców, ale także ich pracowników – tak o wejściu w życie RODO mówi nam Sylwia Templin-Świtała – inspektor ochrony danych. Ekspertka wyjaśnia też, jak się przygotować do zmian i na co koniecznie zwrócić uwagę!

Termin „RODO” elektryzuje przedsiębiorców co najmniej od kilku miesięcy. Czy mogłaby Pani w kilku słowach wyjaśnić, co to właściwie jest RODO?

RODO to skrót od ogólnego rozporządzenia o ochronie danych, które zostało przyjęte przez Unię Europejską w 2016 r. Rozporządzenie niesie za sobą reformę ochrony danych, zmianę podejścia do zasad bezpieczeństwa. Będzie obowiązywało każdy podmiot, który przetwarza dane osobowe, czyli w praktyce większość przedsiębiorców. Na co dzień mają oni bowiem do czynienia z danymi osobowymi swoich pracowników, klientów czy pacjentów. Obecnie trwa 2-letni okres przejściowy na dostosowanie się do nowych przepisów, który kończy się dokładnie 25 maja 2018 r.Od tego dnia wymagania RODO będą bezpośrednio stosowane we wszystkich państwach członkowskich. To oznacza, że przedsiębiorcy, którzy nie zdążą się przygotować, nie będą mogli liczyć na łagodniejsze potraktowanie przez organ nadzorczy ochrony danych.

Polecamy: Multipakiet RODO 2018 dla kadrowych i HR

Czy powinniśmy się bać RODO?

To zależy od tego, czy wcześniej przedsiębiorca dbał o ochronę danych osobowych, czy przywiązywał wagę do ich właściwego zabezpieczenia. Jeśli tak, to moim zdaniem nie ma się czego bać, a jedynie należy przyjrzeć się ponownie tym czynnościom, które wykonywane są na danych osobowych, sprawdzić, jak mają się do tego nowo nałożone przepisy, zaktualizować zabezpieczenia, jeśli okaże się to niezbędne, zweryfikować obecnie stosowane procedury. Jeśli jednak takie działania nie były nigdy wcześniej w firmie prowadzone, to może się to okazać dla przedsiębiorcy dużym wyzwaniem. I trzeba to szybko nadrobić.

Na czym będą polegały zmiany, które zaczną obowiązywać w maju? Czy mogłaby Pani powiedzieć przynajmniej o tych najważniejszych?

Reklama

To, jakie zmiany będą dotyczyły przedsiębiorcy, jest uzależnione od tego, jakiego rodzaju dane osobowe przetwarza i na jaką skalę. W nowych przepisach pojawia się np. obowiązek powołania osoby do nadzorowania przestrzegania przepisów i procedur wewnętrznych, dotyczących danych osobowych. To inspektor ochrony danych. Wcześniej taka osoba była znana pod nazwą administratora bezpieczeństwa informacji, a jej wyznaczenie było dobrowolne. Teraz wszystkie podmioty publiczne, a także niektórzy przedsiębiorcy, będą musieli wyznaczyć u siebie taką osobę. Jej powołanie będzie obowiązkowe w firmach, których główna działalność polega na regularnym i systematycznym monitorowaniu osób lub przetwarzaniu danych wrażliwych, np. danych o stanie zdrowia, jeśli odbywa się to na dużą skalę. Pojęcie dużej skali nie jest przy tym precyzyjnie wyjaśnione. Firma sama powinna oszacować, czy jej działanie odbywa się na dużą skalę. Należy wziąć pod uwagę to, jakie konkretnie dane są przetwarzane, przez jaki czas, liczbę osób, których to dotyczy, jak i zakres geograficzny. Jako przykład może posłużyć nam gabinet lekarski. Jeśli przetwarzania dokonuje jeden lekarz, specjalista to możemy uznać, że odbywa się to na małą skalę. Jednak, gdy w ramach tego samego przedsiębiorstwa pojawiają się kolejne specjalizacje, gabinety, powstaje przychodnia lub szpital, to tutaj mamy już do czynienia z dużą skalą. W pozostałych przypadkach powołanie inspektora może nastąpić dobrowolnie.

Nowością z pewnością jest również podejście oparte na ryzyku. RODO wymaga, aby każdy podmiot przetwarzający dane osobowe zidentyfikował zagrożenia, oszacował skutki, a także prawdopodobieństwo ich wystąpienia. Jest to typowa analiza ryzyka, która powinna być punktem wyjścia w dostosowaniu się do nowych wymogów. Dopiero na tej podstawie przedsiębiorca powinien wdrożyć odpowiednie środki organizacyjne, np. procedury postępowania, a także techniczne, informatyczne, które będą zabezpieczały dane osobowe przed ujawnieniem, udostępnieniem, utratą lub zniszczeniem. I tu RODO w pewnym zakresie jest bardziej liberalne od poprzednich przepisów o ochronie danych. Analiza ryzyka ma zapewnić wdrożenie wyłącznie niezbędnych i adekwatnych środków, które będą zabezpieczały przetwarzane dane osobowe. Obecnie nie narzuca się już sztywnych zabezpieczeń. Teraz mają być dobierane według ryzyka i kategorii danych objętych ochroną. Dodatkowo, zgodnie z zasadą rozliczalności, która pojawia się w RODO, wymagane jest nie tylko wprowadzenie zabezpieczeń gwarantujących przestrzeganie nowych przepisów, ale także sporządzenie polityk wewnętrznych, które będą je opisywały i wykazania w praktyce, że to wszystko rzeczywiście w przedsiębiorstwie działa i zapewnia właściwą ochronę.

Reklama

Kolejny obowiązek, niezależnie od rodzaju naszego działania, to zgłaszanie naruszenia danych do GIODO. Jeśli takie zdarzenie będzie mogło spowodować wysokie ryzyko utraty praw i wolności osoby fizycznej, np. kradzież jej tożsamości, starty materialne lub niematerialne, to przedsiębiorca będzie miał 72 godziny od chwili stwierdzenia naruszenia na poinformowanie o tym organu nadzorczego, a także osoby, której dane dotyczą. W związku z tym będą musiały w firmach istnieć procedury postępowania, które pozwolą na sprawną komunikację i ustalenie tego, jakie będą skutki takiego naruszenia, czy do utraty prawa do wolności rzeczywiście może dojść.

Warto dodać, że większość pozostałych obowiązków z RODO powinna być już przedsiębiorcom znana. Niektóre z nich ulegają lekkiej modyfikacji, np. zamiast zgłaszania zbiorów do GIODO niektórzy przedsiębiorcy będą musieli prowadzić podobny wykaz we własnym zakresie. Nazywa się to rejestrem czynności przetwarzania, ale informacje, które mają być w nim zawarte nie są skomplikowane. Jest to między innymi cel przetwarzania, okres przechowywania czy wymienienie podmiotów, którym dane są lub mogą zostać ujawnione. Inne obowiązki uległy poszerzeniu, np. obowiązek informacyjny. Jest to zestaw informacji, który powinien zostać przekazany osobie, której dane dotyczą, np. przed zebraniem jej danych.

Jaki jest cel tych zmian?

Ogólnie - ujednolicenie przepisów we wszystkich krajach UE. Przyznanie większych praw i wolności osobom, których dane przetwarzamy. Nie da się jednak ukryć, że nowe przepisy przyznają ochronie danych taką samą pozycję, jaką nadajemy w tej chwili np. księgowości czy przepisom BHP. Nikt z przedsiębiorców obecnie nie kwestionuje tego, że potrzebuje w swojej działalności zatrudnienia księgowej lub zlecenia prowadzenia spraw finansowych. Teraz ochrona danych ma stać się częścią działania przedsiębiorcy. Mamy o niej myśleć już na etapie projektowania jakiegoś rozwiązania, analizować ryzyko, zanim podejmiemy się przetwarzania danych. To bardzo duża zmiana. Organizacyjna. Mentalnościowa. I to nie tylko przedsiębiorców, ale także ich pracowników. Ochrona danych ma przestać być przykrym obowiązkiem. Przedsiębiorca ma nad ochroną danych pracować regularnie, sprawdzać, zmieniać i ulepszać zabezpieczenia.

Czy zmieniające się przepisy mogą przynieść przedsiębiorcom korzyści?

RODO skierowane jest na ochronę praw i wolności osoby fizycznej. Przedsiębiorca, który wykaże stosowanie RODO nie tylko uniknie kary pieniężnej, ale może także wiele zyskać wśród swoich pracowników i klientów. Zaufanie do marki, do przedsiębiorcy, będzie wzrastać. Postępowanie zgodnie z RODO może stać się także jednym z elementów oceny przedsiębiorstwa, np. przy przetargu. Firmy, które szybko przygotują się do nowych przepisów, mogą na tym najwięcej zyskać.

Co, Pani zdaniem, może sprawić największy kłopot przedsiębiorcom, w  związku ze zmianą przepisów i jak temu zapobiec?

We współpracy z przedsiębiorcami pojawia się często ten sam problem. Kłopot sprawia dobór adekwatnych środków organizacyjnych i technicznych, które będą właściwie chroniły dane osobowe. RODO nie narzuca żadnych konkretnych rozwiązań. Z jednej strony to duża elastyczność, z drugiej - trudność w ustaleniu, co oznacza, że środki są rzeczywiście adekwatne. Dlatego, to rzeczywiście niezbędne, aby przedsiębiorca dokonał takiej analizy, ponieważ tylko wtedy będzie miał pewność, że zbadał zagrożenia i dobrał do nich odpowiednie środki.

Skoro mowa już o kłopotach. Czy wiadomo, jakie kary grożą przedsiębiorcom za nieprzestrzeganie, niedostosowanie się do nowych przepisów?

RODO wymienia dwa progi kary pieniężnej. Pierwszy, do 10 mln euro lub 2% obrotu za rok poprzedni (przy czym zastosowanie ma mieć wyższa kwota) grożą przedsiębiorcy, np. za niewyznaczenie inspektora ochrony danych, o ile był do tego zobowiązany. Drugi, wyższy, bo do 20 mln euro lub 4% obrotu, mogą spotkać przedsiębiorcę, np. za nieprzestrzeganie praw osób, których dane dotyczą, tj. za niepoinformowanie w chwili zbierania danych o tym, kto będzie ich administratorem. Kary mają być stosowane w ostateczności. Przy tym będzie brane pod uwagę zaangażowanie przedsiębiorcy w wypełnienie obowiązków RODO. Im więcej wykażemy, tym bardziej możemy oczekiwać łagodniejszego wymiaru kary.

W związku z tym, że firmy będą miały obowiązek wykazać, że przetwarzanie danych wykonują prawidłowo, w jaki sposób będą mogły to udowodnić?

Za zgodne z zasadą rozliczalności będzie można uznać opracowanie i zatwierdzenie przez przedsiębiorcę instrukcji i procedur, które będą opisywały zastosowane zabezpieczenia. Jednocześnie trzeba wykazać, że te zabezpieczenia się posiada i funkcjonują w sposób prawidłowy. Dlatego przedsiębiorca powinien prowadzić wewnętrzne sprawdzenia, rejestr naruszeń, dokumentować sposoby zrealizowania obowiązku informacyjnego. Przydatne będą także listy obecności ze szkoleń lub przynajmniej potwierdzenia zapoznania się przez pracowników z przepisami i wewnętrznymi procedurami. Trzeba więc pamiętać o zachowywaniu sobie wszelkich możliwych dowodów, które będą świadczyły o wykonaniu obowiązków RODO przez przedsiębiorcę.

W jaki sposób najlepiej się przygotować i wdrożyć zmiany? Czy niezbędne będą szkolenia w tym kierunku, zwiększenie zatrudnienia? Czy te zmiany mogą się wiązać z kosztami dla przedsiębiorców?

W niektórych przypadkach koszty będą z pewnością nieuniknione. Trzeba to jednak oceniać indywidualnie. Wszystko zależy od skali działania i kategorii przetwarzanych danych. W przypadku, gdy głównym działaniem przedsiębiorcy jest np. przetwarzanie danych o stanie zdrowia na dużą skalę, będzie potrzeba powołania inspektora ochrony danych. Bez względu na wybraną formę współpracy z inspektorem będzie wiązało się to z dodatkowym kosztem. I to niejednorazowym. Jednak, jeśli naszym działaniem jest produkcja, prowadzenie sklepu internetowego czy biura rachunkowego, to nie będziemy mieli takiego obowiązku. I ten koszt nas już nie będzie dotyczył.

Z pewnością, niezależnie od tego, czym się przedsiębiorca zajmuje, będzie potrzebne przejrzenie obecnie stosowanych zabezpieczeń i procedur. Zwiększanie świadomości pracowników poprzez szkolenia czy specjalistyczne doradztwo jest dobrym rozwiązaniem, jednak w przypadku niektórych firm, zwłaszcza mikro i małych, nie ma potrzeby wykonywania audytu, czy delegowania wszystkich pracowników na specjalistyczne szkolenia. Przedsiębiorca sam musi ocenić, jakie metody będą w jego przypadku najskuteczniejsze.

Sylwia Templin-Świtała - ekspert w dziedzinie ochrony danych, audytor wiodący normy ISO/IEC 27001, związanej z bezpieczeństwem informacji, pełni funkcję inspektora ochrony danych w wielu organizacjach. Jest trenerem i wykładowcą Wyższej Szkoły Ekonomii i Informatyki w Krakowie, gdzie prowadzi kurs stacjonarny dla osób, które chcą przygotować się do roli inspektora ochrony danych. Jest autorką programu Bezpieczni w biznesie, który pomaga małym firmom w zrozumieniu zasad ochrony danych osobowych: https://bezpieczniwbiznesie.pl/

Rozmawiała Joanna Niemyjska (Zielona Linia 19524, Centrum Informacyjne Służb Zatrudnienia)

Polecamy serwis: Ochrona danych osobowych

Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Kadry
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail

    Hybrydowy model pracy planuje 77% pracodawców

    Hybrydowy model pracy wybiera aż 77% pracodawców w Polsce. Ile dni pracy zdalnej w tygodniu planują wprowadzić?

    Jakie prawa ma ojciec?

    Ojciec - jakie prawa ma mężczyzna wychowujący dzieci? Czy tata może skorzystać z urlopu macierzyńskiego?

    Zlecenie studenta do 26 r. życia i umowa o dzieło bez składek ZUS

    Zlecenie studenta do 26 r. życia i umowa o dzieło nie będą oskładkowane - MRiPS.

    Niedziela handlowa - lipiec 2021

    Niedziela handlowa - lipiec 2021 r. ma 4 niedziele. Czy 4 lipca, 11 lipca, 18 lipca albo 25 lipca to niedziela handlowa? Kiedy jest najbliższa niedziela handlowa?

    System kadrowo-płacowy - o co pytać dostawcę

    System kadrowo-płacowy - o co należy pytać dostawcę przy wyborze oprogramowania HR?

    Praca zdalna - Kodeks pracy [PROJEKT]

    Praca zdalna - Kodeks pracy będzie zawierał przepisy dotyczące pracy zdalnej. Jakie regulacje przewiduje projekt?

    Prace sezonowe a bezpieczeństwo pracowników

    Prace sezonowe zalewają portale z ofertami pracy. Co z bezpieczeństwem pracowników?

    Zmiana warunków pracy cudzoziemca a zezwolenie na pracę

    Czy zmiana warunków pracy cudzoziemca wiąże się z koniecznością zmiany zezwolenia na pracę lub uzyskania nowego?

    Ochrona danych przy pracy zdalnej - 5 wskazówek na wakacje

    Ochrona danych przy pracy zdalnej czyli jak nie narazić firmy na kradzież wrażliwych danych. Oto 5 wskazówek na wakacje dla pracowników zdalnych.

    Wyższe wynagrodzenia lekarzy rezydentów od 1 lipca 2021 r.

    Wyższe wynagrodzenia lekarzy rezydentów od 1 lipca 2021 r. przewiduje projekt rozporządzenia ministra zdrowia o zasadniczych wynagrodzeniach dla rezydentów. Ile wyniosą?

    "Blaski i cienie PPK" - niezależne badanie naukowe

    PPK - jakie są opinie o programie? Poznaj wyniki niezależnego badania naukowego "Blaski i cienie PPK".

    Tata wybiera urlop ojcowski

    Urlop ojcowski to urlop najczęściej wykorzystywany przez ojców urlop po narodzinach dziecka. Najrzadziej korzystają z urlopu rodzicielskiego.

    Monitoring poczty elektronicznej pracownika a przepisy

    Monitoring poczty elektronicznej pracownika - jakie są przepisy prawne? Czy to nie narusza dóbr osobistych pracownika?

    Zasiłek macierzyński i opiekuńczy - będzie okres wyczekiwania?

    Okres wyczekiwania przy zasiłku macierzyńskim i opiekuńczym? To propozycja ZUS mająca zapobiegać nadużyciom.

    Zwolnienie z ZUS - do kiedy wniosek?

    Zwolnienie z ZUS - do kiedy można złożyć wniosek o zwolnienie ze składek za grudzień 2020, styczeń, luty, marzec i kwiecień 2021 r. z tarczy 9.0?

    Pracownik niepełnosprawny – jakie prawa?

    Pracownik niepełnosprawny - jakie prawa przyznaje Kodeks pracy i ustawa o rehabilitacji zawodowej? Jaki jest wymiar czasu pracy i urlopu?

    Elektroniczne wypowiedzenie umowy o pracę - jak przechowywać?

    Elektroniczne wypowiedzenie umowy o pracę polega na złożeniu oświadczenia woli w postaci elektronicznej i opatrzeniu go kwalifikowanym podpisem elektronicznym. Jak je przechowywać?

    Czas wolny za nadgodziny a odpoczynek tygodniowy

    Czas wolny za nadgodziny może zostać zaliczony do 35-godzinnego odpoczynku tygodniowego. To stanowisko MRPiT z dnia 5 maja 2021 r.

    PIP kontroluje małe budowy

    Kontrole PIP - mała budowa to miejsce, gdzie najczęściej w budownictwie występują wypadki przy pracy. PIP rozpoczęła więc akcję "Kontrole na małych budowach".

    Przeciętne wynagrodzenie 2021

    Przeciętne wynagrodzenie w 2021 r. wzrosło o 10% w stosunku do roku poprzedniego. Ile wynosi?

    Amerykański pracodawca wymarzony dla Polaków

    Amerykański pracodawca jest pracodawcą wymarzonym dla Polaków. Najchętniej pracowaliby dla korporacji z zagranicznym kapitałem, przede wszystkim z USA.

    Praca na magazynie - ile zarabia pracownik i kierownik magazynu

    Praca na magazynie - jakie są zarobki? Ile zarabia pracownik, a ile kierownik magazynu?

    Pandemia lekcją dla HR-owców

    Pandemia jest dla HR-owców lekcją, która wpłynie na przyszłość tego zawodu

    Stawka godzinowa 2022 – netto, zlecenie

    Stawka godzinowa 2022 i umowa zlecenie – kwota netto i brutto? Ile wynosi minimalne wynagrodzenie na umowach cywilnoprawnych, a ile na umowie o pracę?

    Elektroniczny system kadrowy na praca.gov.pl - nowa ustawa

    Elektroniczny system kadrowy na praca.gov.pl to ułatwienie dla mikroprzedsiębiorcy, rolnika i osoby fizycznej. Za pomocą systemu będzie można zawrzeć umowę o pracę i zlecenia. Automatycznie dokona zgłoszenia do ZUS i KAS, wyliczy wynagrodzenie, składki, podatki i rozliczy urlopy.