Według badania przeprowadzonego przez IDC niemal 80% osób decyzyjnych z działów IT w firmach nie jest w pełni świadomych konsekwencji Rozporządzenia o Ochronie Danych Osobowych lub w ogóle nie słyszało o RODO (ang. GDPR). Spośród pozostałych 20% tylko jedna piąta spełnia nowe wymogi, 59% wciąż pracuje nad wdrożeniem odpowiednich zmian, a 21% przyznaje, że nie jest przygotowana.
RODO niejako rozszerza pojęcie danych osobowych (PII – Personal Identifiable Information) – do
tej pory dotyczyło ono głównie imion i nazwisk, adresów, dat urodzenia, e-maili
itp. Według nowego rozporządzenia dane osobowe to również numery ID, informacje
dotyczące lokalizacji, wskaźniki odnośnie zdrowia fizycznego i psychicznego,
statusu majątkowego oraz społecznego, a nawet dane genetyczne czy biometryczne,
które pomogłyby zidentyfikować konkretną osobę.
1. Głównym wymogiem jest zapewnienie zgodności przetwarzania danych z
prawem. Należy zweryfikować każdy proces, w którym pojawiają się dane osobowe,
a następnie ustalić podstawę ich przetwarzania, np. zgoda może być udzielona w
określonym celu, być warunkiem wykonania danej umowy lub wynikać z obowiązku
prawnego. Konieczne jest też opracowanie klauzul informacyjnych dla osób,
których dane są pozyskiwane.
2. Kolejny wymóg mówi, że dane mogą być pozyskiwane tylko w konkretnych,
prawnie uzasadnionych celach. Oznacza to, że nie można ich dalej przetwarzać w
sposób, który byłby niezgodny z tymi celami. Dane muszą być prawidłowe i w
razie potrzeby aktualizowane. Takie, które nie są prawidłowe, muszą być
niezwłocznie usunięte lub sprostowane. W wielu firmach konieczny będzie zatem
dokładny przegląd danych, które udało się zgromadzić na przestrzeni ostatnich
lat.
3. Przedsiębiorstwa będą musiały również zweryfikować i ustalić maksymalny czas
na przechowywanie poszczególnych rodzajów danych, ponieważ według wytycznych
nie mogą one pozostawać w posiadaniu firmy dłużej niż jest to niezbędne dla
realizacji konkretnego celu.
– Przede wszystkim organizacje powinny dokładnie
sprawdzić, jakie kategorie danych przechowują i czy są one wykorzystywane do
właściwych celów. Kolejny krok to zweryfikowanie, kto ma dostęp do danych i czy
są one bezpiecznie przechowywane – konieczna jest rewizja polityki
cyberbezpieczeństwa. Warto przyjrzeć się temu, jak działa obieg informacji
wewnątrz firmy i w końcu, kto jest odpowiedzialny za zarządzanie danymi –
mówi Marcin
Czarnecki, Konsultant ds. Ochrony Danych Osobowych w firmie Konica Minolta
Business Solutions Polska.
Aby lepiej przygotować się do RODO,
warto rozważyć opracowanie własnej polityki zgodnej z rozporządzeniem w
następujących obszarach:
- Zarządzanie danymi. Należy
zrewidować, czy przechowywane w firmie dane osobowe są bezpieczne, jak są
przechowywane, monitorować przetwarzanie danych oraz poziom dostępu do nich. Warto
rozważyć rozwiązania scentralizowane, które są przydatne również w sytuacji,
kiedy klient zarząda usunięcia wszelkich danych na jego temat. Przykładem
takiego rozwiązania jest platforma aplikacyjna OnBase Hyland, która integruje
systemy, informacje, dokumenty i procesy biznesowe w całej organizacji.
Platforma jest od niedawna dostępna w Polsce dla klientów Konica Minolta i
działa w sposób zgodny (Compliance) z RODO;
- Oprogramowanie. Wykorzystywane w
firmie oprogramowanie powinno zapewniać odpowiedni poziom bezpieczeństwa, jak
również łatwe odszukiwanie i katalogowanie danych osobowych;
- Partnerzy i dostawcy usług. Konieczne jest zweryfikowanie, czy wszystkie podmioty zewnętrzne, z którymi firma
współpracuje, działają zgodnie z RODO, a także zapewnienie odpowiedniego
przebiegu informacji między firmą a tymi podmiotami;
- Czynnik ludzki. Sugerowane jest –
szczególnie w większych firmach – zatrudnienie lub oddelegowanie osoby
odpowiedzialnej za bezpieczeństwo danych, jak również zaangażowanie jej do
wspólnych działań nie tylko z działem marketingu i IT, ale także z działem HR,
prawnym czy finansowym;
- Procesy. Należy zdefiniować jasny
plan działania i raportowania potencjalnych incydentów związanych z
bezpieczeństwem przetwarzania danych, umożliwić klientom skorzystanie z prawa
do „bycia zapomnianym”, poprzez całkowite usunięcie ich danych osobowych na
żądanie (z uwzględnieniem wszystkich prowadzonych w firmie rejestrów) oraz
zadbać o aktualizację ich danych, kiedy zajdzie taka potrzeba. Bardzo istotna
jest również kwestia przenoszenia danych pomiędzy firmami. Po wejściu w życie
nowego rozporządzenia klient będzie miał prawo poprosić o przeniesienie ich do
innego podmiotu i wówczas firma będzie musiała podjąć takie działanie.
Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO, ang. GDPR) zacznie obowiązywać od 25 maja
2018 r. Obecnie większość firm jest nadal w fazie analizowania przepisów oraz
implementacji zmian koniecznych do spełnienia wymogów nowego rozporządzenia.
W przypadku niespełnienia wymogów RODO
firma zostanie obciążona karą w dwóch przedziałach kwotowych: do 10 milionów euro lub 2% całkowitego rocznego obrotu
przedsiębiorstwa (zastosowanie ma kwota wyższa) oraz do 20 milionów euro lub 4%
całkowitego rocznego obrotu.
Niedostosowanie się do wymogów RODO może narazić firmy nie tylko na kary
finansowe, ale również na wstrzymanie realizacji działań, a przez to wydłużenie
trwania projektów, zwiększenie kosztów inwestycji czy utratę reputacji.
Źródło:
Badanie IDC 2017
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*