Dostosowanie do nowych przepisów o ochronie danych osobowych, które wprowadzi od maja 2018 roku unijna dyrektywa RODO (GDPR), oznacza dla firm wielomiesięczne przygotowania, zarówno od strony organizacyjnej, jak i technicznej. Zanim nowe przepisy wejdą w życie, przedsiębiorstwa muszą dokonać analizy ryzyka, przeszkolić pracowników, wdrożyć rozwiązania i infrastrukturę IT, która zagwarantuje bezpieczeństwo danych osobowych oraz wymienić większość klauzul i formularzy. Na pół roku przed RODO tylko duże firmy zaczęły przygotowania do prawnej rewolucji. Wśród podmiotów z sektora MSP ich skala jest niewielka.
– Adaptacja do wymagań stawianych przez RODO może być kosztowna dla firm. To zależy od świadomości, dojrzałości i skomplikowania procesów biznesowych. Na pewno trzeba będzie ponieść koszty związane z analizą ryzyka, zmianami w organizacji czy stworzeniem stanowiska oficera danych osobowych – mówi Przemysław Perz, menadżer działu Systemy CRM i Integracja w Hicron.
RODO, czyli ogólne rozporządzenie o ochronie danych osobowych, zacznie obowiązywać od 25 maja 2018 roku. Unijna regulacja ma ujednolicić przepisy w tym zakresie na terenie wszystkich dwudziestu ośmiu państw członkowskich Wspólnoty. Przygotowana na jej podstawie polska ustawa zastąpi dotychczasowy akt prawny, który obowiązuje od 20 lat.
Ekspert Hicron ocenia, że niecałe pół roku przed wejściem w życie RODO stan przygotowań polskich firm z sektora MSP do nowej regulacji jest marginalny. Z kolei duże przedsiębiorstwa i koncerny podjęły już kroki, które mają im pomóc zaadaptować się do nowych przepisów.
– Stan przygotowań polskich firm zależy od wielkości organizacji. W tych większych prowadzone są analizy wewnętrzne, definiowane są obszary, które powinny w pierwszej kolejności podlegać zmianom. Są również wdrażane pierwsze rozwiązania i zmiany. Natomiast w mniejszych organizacjach ten problem jest prawie całkowicie marginalizowany. Biorąc pod uwagę bliski termin wdrożenia tej regulacji i skalę wymagań, które niesie za sobą RODO, stopień zaawansowania tych przygotowań jest naprawdę niewielki – mówi Przemysław Perz.
Nowe prawo narzuci szereg obowiązków podmiotom, które gromadzą i przetwarzają informacje o swoich klientach. Dla firm RODO oznacza więc wielomiesięczne przygotowania, m.in. konieczność przejrzenia i wymiany formularzy, klauzul i zgód na przetwarzanie danych osobowych klientów, zweryfikowania wewnętrznych procesów pod kątem bezpieczeństwa tych informacji, wdrożenia infrastruktury IT, która to zagwarantuje, przeszkolenia pracowników oraz utworzenia stanowiska administratora danych osobowych, który będzie czuwał nad ich bezpieczeństwem i przestrzeganiem nowej regulacji.
Jak podkreślają eksperci Hicron, sprawne przygotowanie do wdrożenia nowych przepisów obejmuje pięć najważniejszych kroków.
– Pierwszy to zbudowanie w organizacji świadomości i wiedzy na temat wymagań stawianych przez nowe przepisy. W kolejnym kroku należy przeprowadzić analizę i zidentyfikować potencjalne ryzyko naruszeń tych przepisów. Dalej należałoby się zastanowić nad rozwiązaniami, które adresują te ryzyka. One powinny dotyczyć obszaru prawnego, IT, ale też zmiany procedur i funkcjonowania organizacji, choćby przez wprowadzenie stanowiska oficera danych osobowych czy współpracy z organami nadzorującymi – mówi Przemysław Perz.
Czwartym krokiem w przygotowaniach do RODO jest wdrożenie rozwiązań, które wynikają z tej regulacji. Na koniec firma nie może też zapomnieć o monitorowaniu ryzyka, ciągłym analizowaniu ryzyka i zagrożeń, które stoją przed organizacją w kontekście zapewnienia bezpieczeństwa danych osobowych.
– Głównym celem RODO jest legislacyjne potwierdzenie, że ochrona danych osobowych jest podstawowym prawem obywateli UE, podstawowym prawem człowieka. Dlatego RODO niesie też szereg korzyści dla osób prywatnych, nadaje im więcej praw. Po drugie, mamy też większą transparentność w odniesieniu do użycia naszych danych osobowych, wiemy, kto i kiedy, w jakim procesie i dlaczego je wykorzystał – mówi Przemysław Perz.
Zgodnie z wymogami RODO firmy będą musiały przekazywać klientom bardzo szczegółowe informacje o przetworzeniu ich danych osobowych bądź prosić o zgodę na ich wykorzystanie w kontekście konkretnego procesu biznesowego (legitim interest). Jednym z największych wyzwań będzie tzw. prawo do bycia zapomnianym (right to be forgotten), które oznacza, że dane osób, które sobie tego zażyczą, muszą zostać w całości usunięte z systemów administratora. Dotyczy to także kopii, linków, odniesień i dokumentacji papierowej, na przykład wydruków czy skanów dokumentów. Jeżeli wcześniej te dane zostały udostępnione albo trafiły do internetu, administrator musi się upewnić, że wszystkie ich kopie i linki zostały skasowane i usunięte na dobre, nawet jeżeli są już w posiadaniu innych podmiotów.
– Wszystko zależy od skali skomplikowania procesów biznesowych, które są na styku z osobami prywatnymi, konsumentami czy pracownikami, oraz od skali złożoności systemów IT, dojrzałości organizacji i tego, jak dba ona o prawa osób prywatnych – mówi przedstawiciel Hicron.