2 miesiące do RODO

Dnia 25 maja 2018 roku zacznie obowiązywać w Polsce nowe Rozporządzenie unijne dotyczące ochrony danych osobowych (tzw. RODO). Zostało zatem niewiele czasu na przygotowanie firmy do zmian wynikających z RODO. Wbrew pierwszym skojarzeniom, pozyskiwanie i przetwarzanie danych osobowych ma miejsce w każdej firmie – w odniesieniu do pracowników, klientów, kontrahentów, o ile są nimi osoby fizyczne. Dotyczy to zarówno przetwarzania danych osobowych w sposób zautomatyzowany (np. dane z formularzy) oraz w inny sposób (np. dane ze zleceń, faktur, maili, umów, działu kadr, w tym umów o pracę, a nawet wizytówek). Obowiązki RODO dotyczą zatem każdej firmy, a nawet podmiotów nie będących formalnie przedsiębiorcami (np. osoba fizyczna wynajmująca kilka lokali).

Co istotne kary finansowe za nie przestrzeganie obowiązków RODO mogą sięgać do 20.000.000 EUR lub 4 % rocznego obrotu przedsiębiorcy. Ale nie jest to jedyna motywacja do dostosowania się do przepisów. Sprawne wdrożenie nowych regulacji to także wyraz konkurencyjności i bycia lepszym od innych na rynku. Niewątpliwie do sprawnego przygotowania się do RODO motywuje tez potencjalna odpowiedzialność menedżerów za nieprzestrzeganie przepisów oraz ryzyko ich wykorzystania do szantażu przez ‘pseudo-stowarzyszenia’ (czy pamiętają Państwo słynne sprawy niedozwolonych klauzul w regulaminach sklepów internetowych?).

Znaczna skala zmian przewidzianych przez RODO powoduje że dotychczas stosowane procedury ochrony danych osobowych ulegają dezaktualizacji i wymagają ponownej analizy i wdrożenia zmian, albo przygotowania od podstaw. W przypadku ich braku, konieczne jest ich opracowanie i wdrożenie. Procedury muszą uwzględniać specyfikę firmy i zakresu jej działalności. Posłużenie się cudzą procedurą nie będzie stanowiło wykonania obowiązku wynikającego z RODO.

Najważniejsze, w naszej ocenie, aspekty prawne nowej regulacji (w skrócie):

  • Dozwolone będzie pozyskiwanie danych tylko w takim zakresie, jaki jest niezbędny do realizacji wyznaczonego celu;
  • RODO formułuje nowe zasady pozyskiwania zgody na przetwarzanie danych osobowych (np. zakaz klauzul drobnym drukiem, zrozumiały język, poinformowanie o możliwości wycofania zgody), czego konsekwencją będzie konieczność dostosowania procedur i formularzy pozyskiwania takich zgód do nowych przepisów pod rygorem uznania zgody za nieważną i wystąpienia ryzyka nałożenia kary pieniężnej;
  • Bardzo rozszerzono obowiązki informacyjne, które muszą występować przy pozyskiwaniu danych osobowych (np. podawaniu adresu e-mail);
  • Wprowadzono obowiązek ewidencjonowania pozyskanych zgód;
  • Konieczne będzie wdrożenie środków bezpieczeństwa, monitorowania i reagowania w sprawie danych osobowych (w tym wprowadzenia kontroli dostępu użytkowników do danych, zasad bezpieczeństwa, środków reagowania na wyciek danych itp.);
  • Wszelkie informacje kierowane do osób fizycznych muszą być formułowane w sposób zrozumiały. Konieczna stanie się weryfikacja treści komunikatów dotyczących danych osobowych pod kątem ich zgodności z Rozporządzeniem;
  • RODO wymaga, aby powierzenie przetwarzania danych osobowych następowało wyłącznie na rzecz podmiotów, które zapewniają środki techniczne i organizacyjne gwarantujące przetwarzanie danych zgodnie z wymogami Rozporządzenia;
  • Zmianie ulegną również wymogi co do treści umów, na podstawie których następuje powierzenie przetwarzania danych osobowych firmie zewnętrznej. Konieczna zatem staje się weryfikacja treści umów o przetwarzania danych pod kątem obowiązkowych zapisów i ewentualne ich aneksowanie;
  • RODO znosi wymóg rejestracji zbiorów danych osobowych zastępują go obowiązkiem prowadzenia rejestru wewnętrznego operacji przetwarzania danych osobowych dla niektórych przedsiębiorstw;
  • Inspektor Ochrony Danych Osobowych zajmie miejsce ABI. O tym czy należy powołać IOD musi zdecydować sam przedsiębiorca kierując się wskazówkami z RODO.

Mając na uwadze ogromny zakres zmian wynikający z RODO oraz potencjalne sankcje za nieprzestrzeganie obowiązków wynikających z Rozporządzenia, oferujemy Państwu wsparcie w zakresie przygotowania się do wykonywania obowiązków wynikających z RODO – w szczególności w zakresie opracowania procedury ochrony danych osobowych oraz jej wdrożenia, jak również przeszkolenia pracowników i kadry menedżerskiej ze stosowania nowych regulacji.

Udostępnij na…

Warto Przeczytać

Bartosz Nadra

Adwokat | Partner Zarządzający

#czasnafaktoring

Pierwszy w Polsce blog o prawnych aspektach faktoringu

Łukasz Jaśkowiak

Adwokat | Partner Zarządzający

#czasnanieruchomości

Blog poświęcony szeroko rozumianemu prawu nieruchomościowemu

Piotr Szwechłowicz

Radca Prawny | Partner Zarządzający

#czasnatransport

Witaj na blogu poświęconym transportowi publicznemu oraz branży TSL.