obowiązywać RODO?
Od dnia 25 maja 2018 roku przedsiębiorcy pozostają obowiązani, aby stosować Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. W Polsce rozporządzenie znane jest powszechnie pod skrótem „RODO”.
Do wejścia w życie RODO pozostało:
firmie i uniknij milionowych kar!
WPROWADZENIE DO RODO
Dlaczego wprowadzono RODO?
Celem RODO jest ujednolicenie przepisów o ochronie danych osobowych na terenie całej Unii Europejskiej, a także wzmocnienie ochrony osób fizycznych, których dane podlegają przetwarzaniu przez przedsiębiorców. W konsekwencji RODO jest aktem prawnym, który znajdzie bezpośrednie zastosowanie na terenie UE, zaś krajowe przepisy (np. nowelizowana w Polsce ustawa o ochronie danych osobowych) zostaną znacznie ograniczone, służąc w dużej mierze harmonizacji z RODO oraz określając zasady funkcjonowania organów kontrolnych.
Czy RODO dotyczy mojej firmy?
RODO znajdzie zastosowanie do wszystkich kategorii przedsiębiorców (spółki kapitałowe, spółki osobowe, jednoosobowa działalność gospodarcza). Funkcjonowanie firmy w praktyce nierozerwalnie związane jest z przetwarzaniem danych osobowych osób fizycznych (m.in. klienci, pracownicy, współpracownicy) dla celów bezpośrednio lub pośrednio związanych z prowadzoną działalnością (m.in. usługi, sprzedaż, marketing, promocja, newsletter). W konsekwencji prawidłowe przetwarzanie danych osobowych stanowi zarówno obowiązek prawny, jak też pozostaje niezbędne dla utrzymania wizerunku profesjonalnej firmy, a także wiarygodnego partnera biznesowego w relacjach B2B.
Czy konieczne jest uzyskanie nowych zgód na przetwarzanie danych osobowych?
RODO nie wymaga, aby zgody na przetwarzanie danych były zebrane w formie pisemnej, dopuszczalna jest każda forma, która w sposób wyraźny wskazuje, iż zgoda została wyrażona, a możliwe jest jednocześnie wykazanie jej udzielenia w przypadku kontroli (np. forma elektroniczna). Konieczna jest przy tym weryfikacja, czy uprzednio uzyskane zgody spełniają obecne wymogi RODO, a jeśli zgody nie odpowiadają wymogom RODO – podjęcie bezzwłocznie działań zmierzających do zapewnienia zgodności z prawem ich przetwarzania. W większości przypadków konieczna stanie się aktualizacja klauzul informacyjnych związanych ze zbieraniem oraz przetwarzaniem danych osobowych.
Co stanie się z administratorami bezpieczeństwa informacji (ABI)?
Instytucja administratora bezpieczeństwa informacji (ABI) zostanie zastąpiona Inspektorem Ochrony Danych (IDO). Powołanie IDO jest obowiązkowe dla podmiotów, które przetwarzają dane osobowe w ramach głównej działalności lub przetwarzają tzw. dane wrażliwe na dużą skalę. Powołanie IDO w pozostałych przypadkach będzie fakultatywne, jednakże w wielu przypadkach rekomendowane, co należy indywidualnie ocenić przy uwzględnieniu wyników audytu zgodności RODO (np. rodzaj danych, sposób lub skala przetwarzania, systemy bezpieczeństwa).
Czy RODO oznacza obowiązek wprowadzenia dodatkowej dokumentacji?
Dotychczasowa ustawa o ochronie danych osobowych wraz z przepisami wykonawczymi nakładały obowiązek dysponowania określoną dokumentacją o sprecyzowanej treści, ujednoliconą dla wszystkich administratorów danych osobowych. RODO – z pewnymi wyjątkami (np. obowiązkowy rejestr czynności przetwarzania, dodatkowe wymogi w zakresie treści umowy powierzenia) – co do zasady nie określa, jakie dokumenty powinny być posiadane przez przedsiębiorcę, ani nie precyzuje ich treści. Rodzaj, forma oraz treść takich dokumentów pozostaje uzależniona od przeprowadzonej oceny ryzyka dla poszczególnych administratorów danych (przedsiębiorców). Treść RODO, analiza ryzyka oraz zakresu przetwarzania danych może wiązać się z koniecznością lub rekomendacją do wprowadzenia określonego pakietu dokumentacji celem zapewnienia zgodności z RODO m.in. zgody określonej treści, klauzule informacyjne, umowy o powierzeniu przetwarzania, rejestr czynności przetwarzania, polityka bezpieczeństwa, upoważnienia i wielu innych.
Co stanie się z GIODO?
W pewnym uproszczeniu można stwierdzić, iż GIODO zostanie przekształcone w instytucję Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Uprawnieniem PUODO będzie kontrola zgodności wdrożenia RODO, a jednocześnie możliwość prowadzenia kontroli w trzech trybach tzw. kontrola planowa, doraźna oraz prowadzona w toku postępowania administracyjnego.
Jakie mogą być konsekwencje niezgodności z RODO?
Oprócz negatywnych konsekwencji natury biznesowej (np. utrata wizerunku rzetelnej oraz wiarygodnej firmy) RODO przewiduje sankcje finansowe. Wysokość administracyjnej kary pieniężnej ustalana jest indywidualnie w każdym przypadku, w szczególności przy uwzględnieniu rodzaju naruszenia oraz działań podjętych przez administratora celem zapobieżenia lub zminimalizowania skutków naruszenia (szkody). Ich wysokość może wynieść jednorazowo maksymalnie 20.000.000,00 EUR lub w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Jednym z czynników, który może posiadać pozytywny wpływ na ograniczenie wysokości kary jest podjęcie przez firmę działań zmierzających do pełnego oraz prawidłowego wdrożenia RODO.
Czy RODO oznacza obowiązek wprowadzenia dodatkowej dokumentacji?
Dotychczasowa ustawa o ochronie danych osobowych wraz z przepisami wykonawczymi nakładały obowiązek dysponowania określoną dokumentacją o sprecyzowanej treści, ujednoliconą dla wszystkich administratorów danych osobowych. RODO – z pewnymi wyjątkami (np. obowiązkowy rejestr czynności przetwarzania, dodatkowe wymogi w zakresie treści umowy powierzenia) – co do zasady nie określa, jakie dokumenty powinny być posiadane przez przedsiębiorcę, ani nie precyzuje ich treści. Rodzaj, forma oraz treść takich dokumentów pozostaje uzależniona od przeprowadzonej oceny ryzyka dla poszczególnych administratorów danych (przedsiębiorców). Treść RODO, analiza ryzyka oraz zakresu przetwarzania danych może wiązać się z koniecznością lub rekomendacją do wprowadzenia określonego pakietu dokumentacji celem zapewnienia zgodności z RODO m.in. zgody określonej treści, klauzule informacyjne, umowy o powierzeniu przetwarzania, rejestr czynności przetwarzania, polityka bezpieczeństwa, upoważnienia i wielu innych.
kroki wdrożenia rodo
W ofercie naszej Kancelarii znajduje się program wdrożenia RODO podzielony na kilka oddzielnych kroków. Współpraca może obejmować (w zależności od indywidualnych potrzeb Klientów) całość wdrożenia lub tylko poszczególne etapy. Zachęcamy do zapoznania się z ofertą oraz kontakt.
1. Audyt zgodności
Weryfikacji powinny podlegać min.:
- jakie dane osobowe są przetwarzane,
- przesłanki oraz podstawy przetwarzania danych osobowych,
- treści oraz formy zgód na przetwarzanie danych osobowych,
- treści oraz formy klauzul informacyjnych dotyczących danych osobowych,
- umowy dotyczące powierzenia przetwarzania/udostępnienia danych osobowych oraz
- obowiązek lub brak obowiązku powołania Inspektora Ochrony Danych.
W ramach tego etapu nastąpi między innymi:
- przeprowadzenie wewnętrznego audytu wszystkich podstawowych typów dokumentów związanych bezpośrednio lub pośrednio z dostępem lub z przetwarzaniem danych osobowych (np. zgody na przetwarzanie danych osobowych, pouczenia, umowy o pracę, umowy z osobami fizycznymi, umowy b2b, umowy z kontrahentami zewnętrznymi) wraz z opracowaniem raportu z audytu;
- ocena konieczności sporządzenia dokumentacji z podziałem na obowiązkowe (np. rejestr czynności przetwarzania), rekomendowane oraz fakultatywne, a także opracowanie podstawowych wymogów prawnych dla dokumentacji obowiązkowej,
- ocena konieczności powołania inspektora ochrony danych, ustalenie kryteriów wyboru inspektora, opracowanie wzory umowy z inspektorem ochrony danych osobowych;
2. Rekomendacje
Na podstawie audytu sporządzony zostanie raport z rekomendacjami w zakresie środków technicznych i organizacyjnych niezbędnych do prawidłowego przetwarzania danych osobowych, praktycznych wskazań w zakresie obsługi zgłoszeń dot. przetwarzanych danych.
Po omówieniu z Klientem jego indywidualnych potrzeb i zaproponowanych rekomendacji podjęte zostaną kroki mające na celu wprowadzenie zmian – min. w zakresie dostosowania dokumentacji, wdrożenia przepisów, stworzenia polityki bezpieczeństwa oraz wewnętrznego kodeksu dobrych praktyk, przeprowadzenia warsztatów i szkoleń dla pracowników
W ramach tego etapu nastąpi między innymi:
- opracowanie tzw. kodeksu dobrych praktyk (wewnętrznych regulacji), stanowiących podstawowy informator dla wszystkich zatrudnionych osób, których wykonywanie obowiązków zawodowych związane jest z dostępem do lub przetwarzaniem danych osobowych;
- opracowanie wzorów nowych dokumentów w całości (np. zgody na przetwarzanie danych osobowych, pouczenia) lub wprowadzenie zmian do obowiązujących dokumentów (np. umowy o pracę, umowy z osobami fizycznymi, umowy B2B, umowy z kontrahentami zewnętrznymi), w tym opracowanie nowej wersji umowy na powierzenie przetwarzania danych osobowych;
- przygotowanie szkoleń i warsztatów „szytych na miarę” zgodnie z potrzebami każdego Klienta, dzięki którym zrozumienie zmian i nowych obowiązków przebiegnie sprawniej.
Niezbędne jest praktyczne przygotowanie pracowników oraz kadr zarządzających do posługiwania się nowymi narzędziami, procedurami oraz dokumentami i właściwego rozpoznawania zagrożeń i reagowania na wszelkie możliwe naruszenia potencjalnie skutkujące nałożeniem kar finansowych. Oferta szkoleń w zależności od potrzeb klientów może dotyczyć praktycznych aspektów RODO dla firm lub dla poszczególnych działów firmy np. działu kadr i płac, działu sprzedaży.
Wdrożenie RODO to proces dynamiczny, w którym mogą nas spotkać również niemiłe niespodzianki. Warto mieć przy sobie Eksperta, który w sposób profesjonalny zaproponuje optymalne działania zmierzające do rozwiązania problemu lub minimalizowania ryzyk z nim związanych.
zadzwoń:
+48 501 015 613
lub napisz
biuro@kancelaria-ro.pl