RODO dla przedsiębiorców to dla wielu powód nieprzespanych nocy. Od 25 maja br. we wszystkich państwach Unii Europejskiej zaczęły obowiązywać nowe przepisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych.
RODO dla przedsiębiorców oznacza nic innego jak wdrożenie szeregu procedur i analiz, mających na celu szczególną dbałość o przetwarzanie danych osobowych. Na stronie internetowej Ministerstwa Cyfryzacji znajduje się informator, który w miarę prosty sposób przybliża zagadnienia związane z funkcjonującymi już przepisami RODO.
Znajdziemy tam m.in. tematykę:
- Rejestru czynności przetwarzania danych osobowych.
- Kwestię prawa do bycia zapomnianym.
- Prawa do przenoszenia danych.
- Uzyskiwanie zgody dziecka.
- Obowiązek aktualizowania uzyskanej już raz zgody na przetwarzanie danych po wejściu w życie RODO.
- Różnice między anonimizacją oraz pseudonimizacją.
- Obowiązek zgłaszania naruszeń przepisów RODO.
Co warto wiedzieć?
Ministerstwo Cyfryzacji w jednej z publikowanych ulotek dla przedsiębiorców, wskazuje na 8 zasad, które należy wziąć pod uwagę:
- NEUTRALNOŚĆ TECHNOLOGICZNA – Rodo nie wskazuje na konkretne wytyczne co do zastosowanych rozwiązań technologicznych, które miałyby zabezpieczyć proces przechowywania i przetwarzania danych. Wybrana metoda musi być skuteczna i dopasowana do prowadzonej działalności (inne mechanizmy powinny być zastosowane w niewielkim zakładzie fryzjerskim, inne w dużym sklepie internetowym).
- ZASADA MINIMALIZMU – zbierane dane muszą być adekwatne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
- ZASADA ROZLICZALNOŚCI – w świetle tej zasady Administrator danych osobowych jest nie tylko odpowiedzialny za przestrzeganie przepisów RODO, ale potrafi także udowodnić, że ich przestrzega, np. dysponuje dokumentacją potwierdzającą prawidłowe zabezpieczenie danych oraz posiada zgody na przetwarzanie danych.
- OCENA RYZYKA – to analiza, której celem jest znalezienie zagrożeń mogących naruszyć prywatność osób oraz zlokalizowanie w swojej firmie aktyw, które mogą zostać zagrożone. W ocenie ryzyka powinno się wskazać na prawdopodobieństwo jego wystąpienia oraz określić jaki będzie wpływ danego zdarzenia na aktywa. Istotne jest również, aby pamiętać o okresowych przeglądach i zmianach w analizie, w miarę pojawiania się nowych zagrożeń.
- POWOŁANIE INSPEKTORA OCHRONY DANYCH – Inspektor Ochrony Danych (IOD) to pośrednik między przedsiębiorstwem a osobami, których dane są przetwarzane oraz między przedsiębiorstwem a organem nadzorującym. IOD powinien również być odpowiedzialny w firmie za przeprowadzenie oceny ryzyka oraz włączenie takich technologii zabezpieczających, które zminimalizują przetwarzanie danych.
IOD należy powołać kiedy:
a) dane osobowe przetwarzane są na dużą skalę
b) główną gałęzią działalności jest przetwarzanie danych osobowych
c) jeśli prowadzone są systematyczne monitorowania (np. wszelkie formy śledzenia i profilowania w sieci) - REJESTR CZYNNOŚCI PRZETWARZANIA – to dokument, w którym zapisuje się informacje o czynnościach dokonywanych na danych osobowych.
- OBOWIĄZEK INFORMACYJNY – każda osoba, której dane będą przetwarzane powinna zostać o tym poinformowana. Ponadto osoba ta powinna wiedzieć, w jakim celu będzie następował proces przetwarzania, a także czy dane będą profilowane i jakie będą tego konsekwencje.
- OBOWIĄZEK ZGŁASZANIA NARUSZEŃ – to poinformowanie organu nadzorczego max. do 72 h od wykrycia naruszenia prywatności osób. W myśl tej zasady należy również poinformować te osoby o ww. fakcie.