W maju przyszłego roku wchodzi w życie Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO). Dla przedsiębiorców oznacza to szereg nowych obowiązków. Firmy powinny się porządnie przygotować, gdyż za nieprzestrzeganie przepisów mogą ich spotkać poważne konsekwencje, na czele z wysokimi karami pieniężnymi. Jak to zrobić?
Analiza to podstawa
– Przygotowanie firmy albo innej organizacji na wejście RODO to przede wszystkim konieczność kompleksowej analizy działalności danej organizacji. Powinno się wyjść od tego, czy przetwarza ona dane osobowe. Następnie należałoby sprawdzić, jakiego rodzaju są to dane, na jakiej podstawie są przetwarzane, czy istnieją środki pozwalające na ich zabezpieczenie, czy są procedury umożliwiające ich przetwarzanie zgodnie z przepisami RODO oraz jak duże jest ryzyko, że te dane mogą wycieknąć lub ich bezpieczeństwo może być zagrożone w inny sposób – mówi w wywiadzie dla agencji informacyjnej infoWire.pl Krzysztof Muciak z kancelarii JSLegal.
Nowe procedury
Po drugie konieczne będzie przygotowanie potrzebnych dokumentów, np. wzoru rejestru czynności przetwarzania danych. Trzeba będzie też opracować klauzule informacyjne – osoby, których dane są przetwarzane, będą mogły się z nich dowiedzieć, w jakim celu są te dane wykorzystywane, przez kogo, kto ma do nich dostęp etc. Ponadto firmy będą musiały wprowadzić nowe procedury i zmiany do swoich systemów informatycznych, tak aby była możliwa realizacja praw osób, których dane są przetwarzane, m.in. prawa do bycia zapomnianym czy prawa do przeniesienia danych. Wreszcie należało będzie stworzyć procedury pozwalające na płynne i szybkie zgłaszanie naruszeń do organu nadzoru oraz informowanie o nich osób, których dane są przetwarzane. Poza tym firmy prowadzące profilowanie klientów powinny sprawdzić, czy nie będą potrzebować dodatkowych zgód na tego typu działania.
Inspektor ochrony danych (IOD) zawsze się przyda
Niektóre organizacje staną także przed koniecznością powołania IOD. „Wyznaczenie inspektora ochrony danych będzie obowiązkowe dla organów i podmiotów publicznych z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości, dla podmiotów, których główną działalnością jest monitorowanie osób w sposób regularny i konsekwentny na dużą skalę, jak również dla podmiotów przetwarzających na dużą skalę dane wrażliwe oraz dane o skazaniach i naruszeniach prawa” – informuje ekspert. Warto jednak nadmienić, że z uwagi na zakres nowych obowiązków i konieczność niemal ciągłego monitorowania przetwarzania danych osobowych powołanie IOD będzie pożądane w prawie każdej organizacji.