Newsy

Małe i średnie przedsiębiorstwa nadal nie dostosowały się do zmian przepisów o ochronie danych osobowych. Od maja grożą im wysokie kary

2017-12-14  |  06:40

Dostosowanie do nowych przepisów o ochronie danych osobowych, które wprowadzi od maja 2018 roku unijna dyrektywa RODO (GDPR), oznacza dla firm wielomiesięczne przygotowania, zarówno od strony organizacyjnej, jak i technicznej. Zanim nowe przepisy wejdą w życie, przedsiębiorstwa muszą dokonać analizy ryzyka, przeszkolić pracowników, wdrożyć rozwiązania i infrastrukturę IT, która zagwarantuje bezpieczeństwo danych osobowych oraz wymienić większość klauzul i formularzy. Na pół roku przed RODO tylko duże firmy zaczęły przygotowania do prawnej rewolucji. Wśród podmiotów z sektora MSP ich skala jest niewielka.

– Adaptacja do wymagań stawianych przez RODO może być kosztowna dla firm. To zależy od świadomości, dojrzałości i skomplikowania procesów biznesowych. Na pewno trzeba będzie ponieść koszty związane z analizą ryzyka, zmianami w organizacji czy stworzeniem stanowiska oficera danych osobowych – mówi agencji informacyjnej Newseria Biznes Przemysław Perz, menadżer działu Systemy CRM i Integracja w Hicron.

RODO, czyli ogólne rozporządzenie o ochronie danych osobowych, zacznie obowiązywać od 25 maja 2018 roku. Unijna regulacja ma ujednolicić przepisy w tym zakresie na terenie wszystkich dwudziestu ośmiu państw członkowskich Wspólnoty. Przygotowana na jej podstawie polska ustawa zastąpi dotychczasowy akt prawny, który obowiązuje od 20 lat.

Ekspert Hicron ocenia, że niecałe pół roku przed wejściem w życie RODO stan przygotowań polskich firm z sektora MSP do nowej regulacji jest marginalny. Z kolei duże przedsiębiorstwa i koncerny podjęły już kroki, które mają im pomóc zaadaptować się do nowych przepisów.

Stan przygotowań polskich firm zależy od wielkości organizacji. W tych większych prowadzone są analizy wewnętrzne, definiowane są obszary, które powinny w pierwszej kolejności podlegać zmianom. Są również wdrażane pierwsze rozwiązania i zmiany. Natomiast w mniejszych organizacjach ten problem jest prawie całkowicie marginalizowany. Biorąc pod uwagę bliski termin wdrożenia tej regulacji i skalę wymagań, które niesie za sobą RODO, stopień zaawansowania tych przygotowań jest naprawdę niewielki – mówi Przemysław Perz.

Nowe prawo narzuci szereg obowiązków podmiotom, które gromadzą i przetwarzają informacje o swoich klientach. Dla firm RODO oznacza więc wielomiesięczne przygotowania, m.in. konieczność przejrzenia i wymiany formularzy, klauzul i zgód na przetwarzanie danych osobowych klientów, zweryfikowania wewnętrznych procesów pod kątem bezpieczeństwa tych informacji, wdrożenia infrastruktury IT, która to zagwarantuje, przeszkolenia pracowników oraz utworzenia stanowiska administratora danych osobowych, który będzie czuwał nad ich bezpieczeństwem i przestrzeganiem nowej regulacji.

Jak podkreślają eksperci Hicron, sprawne przygotowanie do wdrożenia nowych przepisów obejmuje pięć najważniejszych kroków.

Pierwszy to zbudowanie w organizacji świadomości i wiedzy na temat wymagań stawianych przez nowe przepisy. W kolejnym kroku należy przeprowadzić analizę i zidentyfikować potencjalne ryzyko naruszeń tych przepisów. Dalej należałoby się zastanowić nad rozwiązaniami, które adresują te ryzyka. One powinny dotyczyć obszaru prawnego, IT, ale też zmiany procedur i funkcjonowania organizacji, choćby przez wprowadzenie stanowiska oficera danych osobowych czy współpracy z organami nadzorującymi – mówi Przemysław Perz.

Czwartym krokiem w przygotowaniach do RODO jest wdrożenie rozwiązań, które wynikają z tej regulacji. Na koniec firma nie może też zapomnieć o monitorowaniu ryzyka, ciągłym analizowaniu ryzyka i zagrożeń, które stoją przed organizacją w kontekście zapewnienia bezpieczeństwa danych osobowych.

Głównym celem RODO jest legislacyjne potwierdzenie, że ochrona danych osobowych jest podstawowym prawem obywateli UE, podstawowym prawem człowieka. Dlatego RODO niesie też szereg korzyści dla osób prywatnych, nadaje im więcej praw. Po drugie, mamy też większą transparentność w odniesieniu do użycia naszych danych osobowych, wiemy, kto i kiedy, w jakim procesie i dlaczego je wykorzystał – mówi Przemysław Perz.

Zgodnie z wymogami RODO firmy będą musiały przekazywać klientom bardzo szczegółowe informacje o przetworzeniu ich danych osobowych bądź prosić o zgodę na ich wykorzystanie w kontekście konkretnego procesu biznesowego (legitim interest). Jednym z największych wyzwań będzie tzw. prawo do bycia zapomnianym (right to be forgotten), które oznacza, że dane osób, które sobie tego zażyczą, muszą zostać w całości usunięte z systemów administratora. Dotyczy to także kopii, linków, odniesień i dokumentacji papierowej, na przykład wydruków czy skanów dokumentów. Jeżeli wcześniej te dane zostały udostępnione albo trafiły do internetu, administrator musi się upewnić, że wszystkie ich kopie i linki zostały skasowane i usunięte na dobre, nawet jeżeli są już w posiadaniu innych podmiotów.

Wszystko zależy od skali skomplikowania procesów biznesowych, które są na styku z osobami prywatnymi, konsumentami czy pracownikami, oraz od skali złożoności systemów IT, dojrzałości organizacji i tego, jak dba ona o prawa osób prywatnych – mówi przedstawiciel Hicron.

Czytaj także

Kalendarium

Więcej ważnych informacji

Jedynka Newserii

Jedynka Newserii

Przemysł

Polityka

Parlament Europejski zatwierdził unijny budżet na 2025 rok. Wśród priorytetów ochrona granic i konkurencyjność

Parlament Europejski w tym tygodniu zaakceptował przyszłoroczny budżet Unii Europejskiej. Jest o 6 proc. wyższy niż tegoroczny i znalazły się w nim dodatkowe środki na skuteczniejsze wsparcie w zakresie ochrony zdrowia, pomocy humanitarnej, zarządzania granicami i zmian klimatu. – Wielkim zadaniem, które dzisiaj w budżecie nie ma swojego finansowania, jest pomaganie europejskiemu rynkowi zbrojeniowemu. Musimy znaleźć europejskie źródło finansowania tzw. militarnej strefy Schengen – ocenia europoseł Andrzej Halicki.

Infrastruktura

PGE: Na dniach zapadnie decyzja inwestycyjna dla Baltica 2. Ta morska farma wiatrowa ma zacząć działać od 2027 roku

Wyniki finansowe i operacyjne PGE Polskiej Grupy Energetycznej za III kwartał 2024 roku są stabilne i zgodne z wcześniejszymi szacunkami, co pozwala utrzymać kurs na wielkoskalowe inwestycje transformujące polską energetykę – podała spółka. Jednym z flagowych projektów jest budowa Morskiej Farmy Wiatrowej Baltica o łącznej mocy ok. 2,5 GW. W najbliższych dniach zapadnie decyzja inwestycyjna w sprawie jej pierwszego etapu, projektu Baltica 2.

Partner serwisu

Instytut Monitorowania Mediów

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.