Z dniem wejścia w życie RODO w branży IT nastały wielkie zmiany. Poparte milionowymi karami, nowe przepisy prawne wystraszyły wielu przedsiębiorców. Uchwalone w trakcie posiedzenia Parlamentu Europejskiego i Rady UE Rozporządzenie o Ochronie Danych Osobowych pociągnęło za sobą zmiany w ponad 200 innych dokumentach prawnych. Ochrona danych osobowych nabrała nowej mocy, a konsekwencje naruszenia przepisów o ochronie danych osobowych mogą być bardzo dotkliwe. Jak się to ma do branży IT?
Czy RODO trzeba się przejmować?
Z chwilą wejścia w życie RODO, wielu przedsiębiorców mogło jeszcze nie zdawać sobie sprawy z tego, z czym wiąże się ochrona danych osobowych. Bardzo szybko jednak okazało się, że RODO dotyczy każdego przedsiębiorstwa, które przetwarza dane osobowe m.in. swoich klientów i pracowników, którzy de facto są również obywatelami UE. Należą do nich również firmy IT, które także zajmują się przetwarzaniem danych osobowych. Kary za niestosowanie się do RODO są wystarczającą zachętą do tego, by przestrzegać jego postanowień. W interesie każdego przedsiębiorcy powinno być zatem to, by sprawdzić, czy faktycznie jego firma przestrzega obowiązujących w tym zakresie przepisów prawnych. Tylko jak tego dokonać?
Jak wdrożyć RODO w swojej firmie?
Jeżeli dopiero stoisz przed tym wyzwaniem, lub chcesz się upewnić, czy aby na pewno w Twojej firmie RODO jest prawidłowo przestrzegane – dobrym pomysłem jest rozpoczęcie od audytu. Identyfikacja zasobów firmy pod kątem zgodności przetwarzania danych osobowych z RODO, czyli audyt RODO pomoże uzyskać Ci odpowiedzi na to, czy dopełniłeś wszelkich, związanych z przepisami formalności. Mowa tu m.in. o prowadzeniu dokumentacji ochrony danych osobowych zgodnej z RODO. Ważne jest również, by zasady te funkcjonowały nie tylko w teorii, ale były również poparte praktyką. Jeżeli masz już pewność, że gromadzone przez Ciebie dane osobowe są dobrze strzeżone, możesz przystąpić do dalszych działań.
Prowadzenie rejestrów
Poza zapoznaniem pracowników z treścią dokumentów firmowych, które opisują i wyjaśniają wszelkie zagadnienia związane z RODO, warto również sięgnąć po inne kroki. Pomocne okazuje się także prowadzenie rejestrów. Są one poniekąd odpowiednikiem wcześniej wymaganego wykazu zbiorów danych osobowych. W przeciwieństwie do nich zgodnie z przepisami RODO, prowadzenie rejestrów nie zawsze jest jednak obowiązkowe. Obowiązek prowadzenia rejestru czynności przetwarzania mają przedsiębiorcy lub podmioty zatrudniające co najmniej 250 osób. Jednakże także przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób są zobowiązane do prowadzenia rejestru jeżeli przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o czym mowa w art. 10. (art. 30 ust. 5 RODO)
W praktyce okazuje się zatem, że posiadanie takiego rejestru zaleca się każdemu z przedsiębiorstw. Jest to pomocne m.in. w dokonaniu analizy, odnośnie tego, w jakim zakresie i celu dane osobowe w Twojej firmie są przetwarzane. Wiedza na ten temat pozwala także określić, czy prowadzona przez Ciebie działalność, rzeczywiście jest upoważniona do przetwarzania wszystkich danych osobowych. Oznacza to, że Twoja firma nie powinna gromadzić informacji osobowych, poza tymi, do których dostęp jest uznany za niezbędny.
Informuj osoby, których dane przetwarzasz.
RODO przywiązuje dużą wagę do spełniania obowiązków informacyjnych, które opisano w art. 13 i 14 RODO. Realizowanie obowiązku informacyjnego polega na przekazywaniu osobie, której dane dotyczą (np. klientom), określonych informacji, m.in. odnośnie tego w jakim celu przetwarza się ich dane. Jeżeli więc prowadzisz sklep internetowy, a do zrealizowania zamówienia swojego klienta, potrzebny jest Ci dostęp do jego danych osobowych – musisz wypełnić wobec niego obowiązek informacyjny. Możesz to zrobić np. poprzez dodanie klauzuli informacyjnej pod stosownym formularzem. Czasami objętość takich klauzul może przyprawić o ból głowy. Dlatego też na tym etapie warto skorzystać z pomocy fachowca, który zajmuje się projektowaniem stron.
Gdy wydaje Ci się to zbyt skomplikowane…
Niestety RODO to dość złożona kwestia, która może przysporzyć nie lada problemów. Naruszenie przepisów o ochronie danych osobowych może być jednak przykre w swoich konsekwencjach, a przede wszystkim kosztowne. Dlatego, zanim wdrażanie poprawnych metod stanie się w Twojej firmie dobrym nawykiem, warto pomyśleć o zatrudnieniu firmy zewnętrznej, która pomoże Ci się z tym uporać.