Mija już pięć lat od wprowadzenia obowiązku stosowania RODO. Przepisy dotyczące ochrony danych osobowych przyjęte zostały w formie rozporządzenia, co oznacza bezpośrednie stosowanie przepisów przez wszystkich przedsiębiorców przetwarzających dane osobowe na terytorium Unii Europejskiej. Tym samym RODO weszło w życie bez konieczności implementacji polską ustawą.
RODO– co nowego wprowadza?
RODO szczegółowo określa zasady przetwarzania danych osobowych przez przedsiębiorców. Co nowego wprowadza? W RODO znajdują się regulacje dotyczące:
- obowiązku zgłaszania naruszeń danych osobowych – do obowiązków administratorów danych osobowych należy zgłaszanie do właściwego organu, w terminie 72 godzin od wykrycia wszelkich naruszeń mogących skutkować zagrożeniem praw osób, których dane zostały naruszone,
- „prawa do bycia zapomnianym” – uprawnienie to polega na zgłoszeniu żądania usunięcia danych osobowych z baz danych przedsiębiorcy,
- uprawnienia do żądania przeniesienia danych,
- prawa dostępu oraz wglądu osoby zainteresowanej w jej dane,
- prawa sprzeciwu wobec przetwarzania danych,
- ograniczenia profilowania – profilowanie jest możliwe po otrzymaniu zgody przed rozpoczęciem zbierania danych, dodatkowo przedsiębiorca ma obowiązek poinformowania o profilowaniu oraz zaakceptowania braku zgody na profilowanie,
- Inspektora Ochrony Danych Osobowych, czyli osoby która będzie odpowiedzialna za przestrzeganie ochrony danych osobowych w większych przedsiębiorstwach oraz instytucjach,
- inwentaryzacji danych i wymagań związanych z dokumentacją – przedsiębiorcy przetwarzający dane osobowe mają obowiązek przygotowania oraz utrzymania wszechstronnych rejestrów dotyczących przetwarzanych danych, obejmujących między innymi: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry naruszeń,
- obowiązku uzyskiwania ważnych i weryfikowalnych zgód na przetwarzanie danych osobowych od osób, których dane dotyczą,
- rozszerzonego obowiązku informacyjnego – przepisy rozporządzenia RODO określają liczne informacje, które muszą być uwzględnione w komunikacji sposobu przetwarzania danych osobowych kierowanej do osób, których dane dotyczą,
- oceny wpływu planowanej czynności na ochronę danych.
- zasad i ograniczenia transferu danych poza Unię Europejską.
Wdrożenie RODO w firmie
Wdrożenie RODO polega na stworzeniu własnego systemu ochrony danych osobowych, odpowiedniego ze względu na specyfikę prowadzonej działalności i zagrożenie dla tych danych. Implementacja RODO w danym przedsiębiorstwie jest procesem wymagającym szeregu działań, których ilość oraz dynamiczność jest zależna od wielkości firmy, charakteru jej działalności, rodzaju oraz ilości przetwarzanych danych osobowych jak również rodzaju i ilości procesów przetwarzania.
W celu wdrożenia RODO należy podjąć między innymi następujące kroki:
- przeanalizować proces przetwarzania danych osobowych, określić jego zakres, przez przedsiębiorcę oraz określić statusu przedsiębiorcy jak podmiotu przetwarzającego,
- ustalić podstawy prawne przetwarzania danych osobowych,
- dokonać przeglądu dokumentacji ochrony danych osobowych stosowanej przez przedsiębiorcę (formularzy zgody na przetwarzanie, klauzul informacyjnych oraz polityki bezpieczeństwa),
- przeanalizować środki techniczne i organizacyjne stosowane przez przedsiębiorcę, pod kątem ich zgodności z RODO,
- opracować procedury realizacji obowiązków związanych z przetwarzaniem danych osobowych oraz zgłaszania ewentualnych naruszeń ochrony danych osobowych oraz kontaktu z organami nadzorczymi,
- określić zasadność powołania, status oraz zadania Inspektora Ochrony Danych Osobowych,
- opracować model rejestrowania działań związanych z przetwarzaniem danych osobowych;
- opracować mechanizm transferu danych osobowych do państw trzecich lub organizacji międzynarodowych.
Wdrożenie RODO jest zatem procesem złożonym, dlatego warto skorzystać z usług podmiotów zajmujących się profesjonalnie tego typu działaniami.