RODO - Rozporządzenie Ogólne o Danych Osobowych w praktyce: Wielka zmiana, do której muszą dostosować się firmy

Czytaj dalej
Rafał Cieśla

RODO - Rozporządzenie Ogólne o Danych Osobowych w praktyce: Wielka zmiana, do której muszą dostosować się firmy

Rafał Cieśla

25 maja 2018 roku - od tego dnia zaczyna w krajach UE obowiązywać Rozporządzenie Ogólne o Danych Osobowych (RODO). - To wielka zmiana. Po raz pierwszy osoby fizyczne zyskają efektywne narzędzia ochrony danych osobowych - mówi mecenas Anna Sobol, radca prawny, koordynator zespołu odpowiedzialnego za wdrożenie RODO w Beyond.pl.

Dzięki rozporządzeniu RODO przeciętny Polak będzie mógł zarządzać swoimi danymi osobowymi i decydować o ich wykorzystaniu (np. poprzez prawo do bycia zapomnianym). Z kolei dla przedsiębiorców nowe prawo to wręcz rewolucja. To na nich bowiem spadną obowiązki związane z wdrożeniem przepisów o ochronie danych osobowych, które - co ważne - nie są precyzyjnie określone.

Ich błędne stosowanie może jednak oznaczać gigantyczne kary - nawet do 20 milionów euro. Jak się przed nimi ustrzec? Kim jest administrator i procesor według RODO? Jak bezpiecznie przechowywać dane w chmurze? Odpowiedzi między innymi na te pytania znajdą przedsiębiorcy podczas konferencji „RODO w praktyce”, która odbędzie się w centrum danych Beyond.pl 25 kwietnia, czyli dokładnie miesiąc przed wejściem w życie zmian związanych z zarządzaniem danymi osobowymi.

Kogo dotyczy rozporządzenie?

RODO będą musiały wdrożyć wszystkie firmy, które gromadzą i przetwarzają dane osobowe na dużą skalę. Chodzi między innymi o przedsiębiorstwa z branży takiej jak: e-commerce, marketingu czy te specjalizujące się w sprzedaży baz danych klientów.

- To pierwsza grupa. Do kolejnej zaliczyłabym instytucje finansowe: banki, ubezpieczycieli, jak i podmioty świadczące usługi na rynku medycznym - mówi mecenas Anna Sobol i zwraca uwagę, że w tej drugiej grupie znajdują się przedsiębiorstwa, które posiadają tzw. dane wrażliwe osób fizycznych. - I tutaj jest wymagane silniejsze zabezpieczenie tych danych, ponieważ szkody związane z ujawnieniem na przykład stanu zdrowia pacjenta są potencjalnie dużo większe niż te związane ze wskazaniem jego miejsca zamieszkania.

Rozporządzenie nie będzie dotyczyło tylko wielkich korporacji, np. medycznych, ale także właścicieli niewielkiej przychodni lekarskiej, która zatrudnia kilku lekarzy specjalistów. Tam bowiem także gromadzone i przetwarzane są dane osób fizycznych.

- Lekarz prowadzący przychodnię też musi zastosować to rozporządzenie. Co prawda w polskim projekcie ustawy o ochronie danych osobowych wskazano, że pewne ułatwienia będą mieli mikroprzedsiębiorcy zatrudniający do 9 osób, ale faktycznie będą one niewielkie

- wyjaśnia ekspert.

Nowe prawo, ale bez jednoznacznych wytycznych

Rozporządzenie RODO trzeba stosować wprost - zgodnie z prawem unijnym. Ale problemem, który niewątpliwie utrudni działania polskich przedsiębiorców, jest fakt, że nie ma jednoznacznych wytycznych, jak należy spełnić te przepisy. Przedstawiciele firm wskazują, że brakuje „instrukcji obsługi RODO”, czyli dokumentu dającego przykłady konkretnych wdrożeń nowego prawa krok po kroku.

Co prawda pojawiają się ogólnie dostępne, bezpłatne publikacje na temat wdrożenia RODO, lecz w większym stopniu zwraca się w nich uwagę jedynie na wymogi prawne oraz ryzyka, jakie każda z organizacji powinna uwzględnić.

RODO - Rozporządzenie Ogólne o Danych Osobowych w praktyce: Wielka zmiana, do której muszą dostosować się firmy
Mat. pras. Beyond.pl/Marcin Pflanz

Wynika to z założenia, że przedsiębiorcy mają samodzielnie decydować, co ich zdaniem zapewni właściwą ochronę danych osobowych - tylko oni znają bowiem własną organizację, procesy biznesowe i przepływ danych osobowych. RODO nie wskazuje jednak, jakimi metodami, procedurami można tę ochronę zapewnić.

- To przedsiębiorcy muszą wiedzieć, na co ich stać, jakie są ich możliwości, jak wdrożyć te regulacje - przekonuje Anna Sobol. - To oczywiście wymaga bardzo dużej świadomości. RODO tworzy możliwości korzystania z kodeksów dobrych praktyk, uzyskania certyfikatów potwierdzających spełnianie wymogów, jednak do czasu uchwalenia polskiej ustawy o ochronie danych osobowych te narzędzia nie są dostępne. Mam nadzieję, że niebawem ustawodawca uchwali ustawę precyzującą zasady uzyskania certyfikatu czy akceptacji kodeksów dobrych praktyk. Do tego czasu pozostaje posiłkowanie się wytycznymi opracowanymi przez reprezentantów urzędów ochrony danych osobowych ze wszystkich krajów Unii Europejskiej w ramach tzw. grupy art. 29 - dodaje.

RODO bez strachu

Firmy, które nie wdrożą nowych zasad bezpieczeństwa, muszą liczyć się z surowymi karami administracyjnymi: do 20 milionów euro lub do 4 proc. całkowitego rocznego obrotu z poprzedniego roku obrotowego.

Eksperci przekonują jednak, że mimo wątpliwości związanych z wejściem w życie nowego rozporządzenia, nie należy się go bać.

- Te gigantyczne kary, o których sporo mówi się przy okazji RODO, to maksymalne stawki. Wątpię, by po 25 maja 2018 roku kary były masowo nakładane na przedsiębiorców, którzy wadliwie wdrożą RODO. Organ nadzoru z pewnością będzie szczegółowo analizował, czy podmiot przetwarzający dane osobowe wziął pod uwagę ryzyka związane z naruszeniem zasad ich bezpieczeństwa i w jaki sposób je zabezpieczył. Na ostateczną wysokość kary z pewnością będą miały także wpływ podejmowane przez przedsiębiorców działania zapewniające ochronę danych osobowych. Co więcej, proces ochrony danych osobowych będzie okazją do ciągłego rozwoju każdego przedsiębiorcy w tym zakresie. Błędy będzie można skorygować między innymi dzięki zaleceniom publikowanym przez organ nadzoru, czyli Głównego Inspektora Ochrony Danych Osobowych - tłumaczy radca prawny Anna Sobol, która wyjaśnia także na czym będzie polegała rola procesora.

RODO - Rozporządzenie Ogólne o Danych Osobowych w praktyce: Wielka zmiana, do której muszą dostosować się firmy
Marcin Pflanz

- Beyond.pl świadczący usługi przechowywania danych w chmurze będzie miał także szereg obowiązków wynikających z roli procesora, a o tym mało się obecnie mówi. Główny przekaz dotyczy administratorów, czyli firm, które gromadzą dane osobowe. W rozporządzeniu unijnym o RODO po raz pierwszy precyzyjnie określono, czego administrator może oczekiwać od procesora. Kluczowy stanie się czas reakcji, zdolność do raportowania oraz zaświadczenie, że wykonało się wszystko, aby dane były należycie chronione. W Beyond.pl spełniamy najwyższe standardy bezpieczeństwa, co potwierdzają uzyskane przez nas certyfikaty - mówi ekspert i dodaje:

- Wyróżnia nas także to, że nie mamy podwykonawców, którzy odpowiadają za zwirtualizowanie i utrzymanie infrastruktury IT. U nas wszystkie zasoby znajdują się w jednym miejscu co w znacznym stopniu pozwala wprowadzić jednolite standardy i procedury

- mówi mecenas Sobol.

To jednak nie jedyne ułatwienie dla przedsiębiorców. Dzięki porozumieniu Microsoft i Beyond.pl polscy klienci uzyskali również możliwość przetwarzania danych w chmurze Microsoft Azure z lokalnego, polskiego centrum danych, które znajduje się w stolicy Wielkopolski.

RODO - SŁOWNIK POJĘĆ:

Rafał Cieśla

Dziennikarz, redaktor, menager. Z Głosem Wielkopolskim jest związany od lat. Oprócz zarządzania treścią cały czas z wielkim zapałem podejmuje tematy śledcze, czy biznesowe. Mimo wielkiego przeobrażenia się mediów i powstawania coraz to nowych kanałów dystrybucji informacji najważniejsze pozostają dla niego uniwersalne zasady, czyli bezstronność i obiektywizm (dziś już nieco zapomniane). I tych zasad cały czas się trzyma w życiu zawodowym.
Prywatnie wielki fan piłki nożnej, ale przede wszystkim rodziny, która jest dla niego najważniejsza w życiu.

Polska Press Sp. z o.o. informuje, że wszystkie treści ukazujące się w serwisie podlegają ochronie. Dowiedz się więcej.

Jesteś zainteresowany kupnem treści? Dowiedz się więcej.

© 2000 - 2024 Polska Press Sp. z o.o.