Trwa ładowanie...
Notowania
Przejdź na
Martyna Kośka
Martyna Kośka
|

Miesiąc do RODO. Jeśli firmy nie zaczęły się przygotowywać, mogą nie zdążyć

45
Podziel się:

Firmy, które nie zaczęły jeszcze przygotowywać się do RODO, raczej nie znajdą już eksperta, który przed 25 maja dokona audytu i wdrożeń. Czasu mało, kolejka oczekujących duża. Na szczęście mali przedsiębiorcy sami poradzą sobie z nowymi obowiązkami.

Jeśli duża firma nie zaczęła jeszcze przygotowywac się do nowych wymogów, może nie zdążyc do 25 maja
Jeśli duża firma nie zaczęła jeszcze przygotowywac się do nowych wymogów, może nie zdążyc do 25 maja (Jakub Orzechowski/Agencja Gazeta)

Firmy, które nie zaczęły jeszcze przygotowywać się do RODO, nie znajdą już eksperta, który przed 25 maja dokona audytu i wdrożeń. Czasu mało, kolejka oczekujących duża. Na szczęście mali przedsiębiorcy sami poradzą sobie z nowymi obowiązkami.

Do wejścia w życie zupełnie nowych przepisów regulujących ochronę danych osobowych został niewiele ponad miesiąc. To nie nowelizacja: przepisy zostały napisane zupełnie od początku i w bardzo wielu miejscach mamy do czynienia z całkowicie nową "filozofią" ochrony danych osobowych.

Nie bez przyczyny w artykułach zapowiadających RODO (ogólne rozporządzenie o ochronie danych osobowych) przewija się słowo "rewolucja". 25 maja 2018 r. zacznie nie tylko obowiązywać nowa ustawa, ale drobne zmiany obejmą też blisko 200 innych aktów prawnych.

Czasu było dużo, ale wiele firm zwlekało

Zakres zmian jest ogromny, stąd firmy miały bardzo dużo czasu na przygotowanie się do nich. Choć w kwietniu 2016 r. uchwalono RODO, które zastąpi przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych i już od tego momentu było wiadomo, co konkretnie się zmieni, wiele firm ignorowało konieczność dostosowania się do zmian.

Zobacz też: * *Tajemniczy czteroliterowy skrót. Co RODO oznacza dla mikroprzedsiębiorców

Właściwie każda firma przetwarza dane osobowe swoich klientów, kontrahentów albo potencjalnych klientów, czyli na przykład odbiorców newslettera. Nie przetwarza danych osobowych szewc czy krawiec, który przyjmuje buty do naprawy w warsztacie czy pracowni, nie podpisuje umów, nie prowadzi programów lojalnościowych, ale to raczej wyjątki.

Znakomita część przedsiębiorców jednak dane takie jak: imię i nazwisko, adres mailowy, numer telefonu, przetwarza, więc można uznać, że nowe przepisy powinny zainteresować każdego, kto prowadzi działalność.

Przetwarzanie to pojęcie bardzo szerokie. Rejestracja, porządkowanie, przechowywanie, gromadzenie, ale też blokowanie i ich niszczenie mieszczą się w tej kategorii.

Audyt ochrony danych osobowych: przydatny, ale dobrowolny

Zanim przedsiębiorca zacznie dostosowywać się do nowych regulacji, musi zorientować się, jak działa ochrona danych osobowych w jego firmie, czego brakuje, jak osiągnąć cel możliwie najmniejszym nakładem sił i środków. Odpowiedzi na to i wiele innych pytań udzieli audyt dokonany przez specjalistę.

Audytor zbada, jakie konkretnie dane są przetwarzane, w jakim celu i zakresie się to odbywa – i czy rzeczywiście jest to niezbędne dla osiągnięcia celu. Skoro dane podlegają jak najdalej idącej ochronie, to powinny być przetwarzane tylko w niezbędnym zakresie. Przykładowo, po co przy zapisaniu się do newslettera klient ma podawać adres domowy? To nieuzasadnione i powinno zostać zmienione.

Należy zbadać, jakie konkretnie dane przetwarzamy, w jakim celu to robimy i czy zakres, w którym je zbieramy, jest faktycznie niezbędny dla deklarowanego celu. Tam, gdzie audyt wykaże naruszenia, należy oczywiście jak najszybciej wdrożyć działania korygujące.

Rzetelnie przeprowadzona analiza to pierwszy krok do utworzenia rejestru czynności przetwarzania, który będzie obowiązkowy dla przedsiębiorców zatrudniających więcej niż 250 pracowników oraz tych, którzy przetwarzają dane wrażliwe – a to tylko przykłady.

Audyt pomoże też w aktualizacji wszystkich przetwarzanych danych i uporządkowaniu dokumentacji oraz procedur.

Duże kolejki po poradę

Duże firmy – które też ryzykują najwyższe kary za brak dostosowania się do wymogów – zapewne takim profesjonalnym badaniem będą zainteresowane. Właściciele małych pewnie będą mieć dylemat, czy się na taką usługę zdecydować. Audyt nie jest bowiem obowiązkowy: firma ma stosować się do zasad, a jakimi sposobami ustali, czy jej procedury spełniają wymogi prawne, to już sprawa drugorzędna.

Nie ma jakiegoś uniwersalnego cennika. Firmy audytorskie różnie wyceniają swoje usługi w zależności od tego, jak złożony jest ich zakres. Audyt przeprowadzony w małej firmie będzie oczywiście tańszy niż gdy zleci go przedsiębiorstwo zatrudniające stu pracowników, ale bez względu na wielkość firmy właściciel musi mieć na względzie, że zlecenie audytu „na zaraz” raczej się nie uda.

Specjalistów od ochrony danych osobowych, którzy potrafią kompleksowo zbadać ich przetwarzanie w różnych obszarach działalności firmy, jest niewielu i od wielu miesięcy mają długie listy oczekujących. Sytuacji nie poprawia wspomniany już fakt, że gros przedsiębiorców zaczął myśleć o dostosowaniu się do nowych przepisów zaledwie na kilkanaście miesięcy przed ostatecznym terminem, a więc naprawdę w ostatniej chwili.

Małe firmy nie potrzebują wielotysięcznych nakładów

Co robić, gdy firma „przespała” moment, w którym należy zlecić audyt i przygotować się do nowego prawa? Nie panikować. Nie jest tak, że każda firma potrzebuje jakichś bardzo daleko idących zmian, przebudowy systemu, zakupu drogiego oprogramowania. Małe, które nie przetwarzają wielu danych (bo zatrudniają niewielu pracowników i świadczą usługi na rzecz niewielkiej i stałej grupy kontrahentów), prawdopodobnie poradzą sobie z tym zadaniem same.

Weźmy jako przykład właściciela niewielkiej szkoły językowej. Nie zatrudnia nauczycieli, lekcji indywidualnych udziela tylko jej właściciel. Szkoła działa na rynku od roku, więc w bazie klientów ma zaledwie około 30 kursantów. Szkoła nie wysyła newslettera.

Właściciel powinien przeanalizować, jakie dane osobowe przetwarza, w jakim celu i na jakiej podstawie prawnej (zgoda osoby, umowa). Następnie musi zastanowić się, jak przechowuje dane i kto ma do nich dostęp. Czy dane są odpowiednio zabezpieczone?

Zgoda na przetwarzanie danych ma być sformułowana w sposób przejrzysty – żadnego prawniczego żargonu, żadnych niezrozumiałych sformułowań.

Ustawa więcej wymaga od dużych przedsiębiorców, a mali mogą korzystać z pewnych ułatwień. Dodajmy przy tym, że w myśl omawianych przepisów za małą firmę uważa się taką, która zatrudnia do 250 osób!

Dla przykładu, nie muszą one informować klientów o okresie, przez który dane będą przechowywane, prawie do cofnięcia zgody, prawie do wniesienia skargi i prawie do żądania od administratora dostępu do swoich danych, możliwości ich sprostowania i usunięcia.

Każdy przedsiębiorca, bez względu na wielkość, będzie natomiast zobowiązany do poinformowania osób, których danebędą przetwarzane, o celu i podstawie prawnej przetwarzania danych.

Ponadto małe i średnie firmy będą też zobowiązane do poinformowania prezesa Urzędu Ochrony Danych Osobowych o ewentualnych naruszeniach RODO.

wiadomości
gospodarka
Oceń jakość naszego artykułu:
Twoja opinia pozwala nam tworzyć lepsze treści.
KOMENTARZE
(45)
WYRÓŻNIONE
PANORAMIX
7 lat temu
niedlugo to polske bedzie mozna kupic bez wojny
ooo
7 lat temu
RODO to prawny bzdet który służy dojeniu firm przez kancelarie prawne z zaprzyjaźnionymi molochami IT Prawo to mocno opiera się na IT ale tworzyły go osoby o bardzo ograniczonej wiedzy z IT albo w pełni świadome tworzenia narzędzia do WYMUSZEŃ RODO TO NIEKOŃCZĄCA SIĘ ŚCIEŻKA WYDATKÓW po których i tak nie da się uniknąć potencjalnej KARY która może zlikwidować dowolną firmę poza największymi gigantami. CIEKAWE ? A dane medyczne, bankowe, administracyjne jak wyciekały tak wyciekać będą. Pozytywny skutek dla osób fizycznych można było osiągnąć banalnym i prostym przepisem wspartym siłą urzędu BEZ CYRKU który posłuży likwidacji niewygodnych
zcx
7 lat temu
kolejna ustawa wyłudzająca u wymuszająca wyrażenie zgody na przetwarzanie danych osobowych,
NAJNOWSZE KOMENTARZE (45)
Przedsiębiorc...
7 lat temu
Kupiłem ostatnio papier toaletowy z napisem RODO. Czy jestem dobrze przygotowany?
Marek
7 lat temu
Naciąganie POlakow na pieniądze!!!!!!! Wielkie BREDNIE!!!!
xxl
7 lat temu
Nr telefonu czy adres email to nie są dane osobowe. To są jakieś identyfikatory wynajęte na jakiś czas.
Janek
7 lat temu
Jak wp przygotowała się do RODO ? Czy to oznacza że już nie będę otrzymywał spamu z wp którego nie mogę dodać nawet do czarnej listy ?
Viki
7 lat temu
RODO to przedsionek do ustawy o zaczipowaniu ludzi. Teraz to firmy a później zwykli obywatele.
...
Następna strona