Day May 25, 2018 A new EU Regulation on the protection of personal data (the so-called "Data Protection Regulation") will come into force in Poland this year. RODO). Zostało zatem niewiele czasu na przygotowanie firmy do zmian wynikających z RODO. Wbrew pierwszym skojarzeniom, pozyskiwanie i przetwarzanie danych osobowych ma miejsce in each company - With respect to employees, customers, contractors, as long as they are natural persons. This applies both to the processing of personal data by automated means (e.g., data from forms) and by other means (e.g., data from orders, invoices, emails, contracts, HR, including employment contracts). Obowiązki RODO dotyczą zatem każdej firmy, a nawet podmiotów nie będących formalnie przedsiębiorcami (np. osoba fizyczna wynajmująca kilka lokali).
Co istotne fines for failing to comply with RODO obligations can range from Up to EUR 20,000,000 or 4 % annual turnover przedsiębiorcy. Ale nie jest to jedyna motywacja do dostosowania się do przepisów. Sprawne wdrożenie nowych regulacji to także wyraz konkurencyjności i bycia lepszym od innych na rynku. Niewątpliwie do sprawnego przygotowania się do RODO motywuje tez potencjalna odpowiedzialność menedżerów za nieprzestrzeganie przepisów oraz ryzyko ich wykorzystania do szantażu przez ‘pseudo-stowarzyszenia’ (czy pamiętają Państwo słynne sprawy niedozwolonych klauzul w regulaminach sklepów internetowych?).
The significant scale of the changes envisaged by the RODO makes it necessary to existing data protection procedures become outdated and require re-examination and implementation of changes, or preparation from scratch. In their absence, it is necessary to develop and implement them. Procedures must take into account the specifics of the company and the scope of its activities. Using someone else's procedure will not constitute compliance with the obligation under the RODO.
The most important, in our opinion, legal aspects of the new regulation (in brief):
- It will be permitted to obtain data only to the extent that is necessary to achieve the stated purpose;
- The RODO formulates new rules for obtaining consent for the processing of personal data (e.g., prohibition of fine print clauses, understandable language, informing about the possibility of withdrawing consent), which will result in the need to Adaptation of procedures and forms for obtaining such consents to the new regulations under penalty of declaring the consent invalid and risking a fine;
- Bardzo rozszerzono obowiązki informacyjne, które muszą występować przy pozyskiwaniu danych osobowych (np. podawaniu adresu e-mail);
- It has been made mandatory to record the consents obtained;
- It will be necessary to implement security, monitoring and response measures on personal data (including the introduction of user access controls to data, security rules, data leakage response measures, etc.).;
- All communications to individuals must be formulated in an understandable manner. It will become necessary to review the content of communications regarding personal data for compliance with the Ordinance;
- The RODO requires that the entrustment of the processing of personal data shall be carried out only to entities that provide technical and organizational measures to guarantee the processing of data in accordance with the requirements of the Regulation;
- The requirements for the content of contracts under which personal data processing is entrusted to an external company will also change. Therefore, it becomes necessary to review the content of data processing agreements for mandatory provisions and possibly annex them;
- The RODO abolishes the requirement to register personal data sets replacing it with an obligation to keep a register of internal personal data processing operations for certain companies;
- Inspektor Ochrony Danych Osobowych zajmie miejsce ABI. O tym czy należy powołać IOD musi zdecydować sam przedsiębiorca kierując się wskazówkami z RODO.
Mając na uwadze ogromny zakres zmian wynikający z RODO oraz potencjalne sankcje za nieprzestrzeganie obowiązków wynikających z Rozporządzenia, oferujemy Państwu wsparcie w zakresie przygotowania się do wykonywania obowiązków wynikających z RODO – w szczególności w zakresie opracowania procedury ochrony danych osobowych oraz jej wdrożenia, jak również przeszkolenia pracowników i kadry menedżerskiej ze stosowania nowych regulacji.
