Od maja 2018 r. obowiązuje RODO czyli nowe rozporządzenie unijne dotyczące ochrony danych osobowych. Wspomniane rozporządzenie w znaczący sposób poszerza obowiązki wszystkich podmiotów przetwarzających dane osobowe, wprowadzając jednocześnie wysokie kary finansowe za ewentualne naruszenia. Od maja 2018 r. zagadnienie to nie powinno być marginalizowane i należy traktować je poważnie, by uniknąć kar pieniężnych mogących sięgać wielu milionów złotych. Ochrona danych osobowych musi stanowić ważny element prowadzonej działalności. Zwłaszcza u tych podmiotów, które przetwarzają wiele informacji o osobach fizycznych, np. w przypadku sklepów stacjonarnych i internetowych, biur rachunkowych, firm IT.

Lista kroków, jakie należy podjąć na potrzeby wdrożenia RODO:

• Zaplanowanie procesu wdrażania systemu ochrony danych osobowych w czasie, wyznaczenie osób odpowiedzialnych za koordynowanie działań, nawiązanie współpracy z prawnikiem i informatykiem;
• Audyt wewnętrzny — w szczególności inwentaryzacja posiadanych zasobów danych osobowych, ustalenie procesów przetwarzania danych osobowych, stwierdzenie, co należy poprawić, aby system ochrony danych był zgodny z RODO;
• Ocena ryzyka związanego z przetwarzaniem danych osobowych;
• Przemyślenie rozwiązań organizacyjnych i technicznych, które będą wdrażane (np. stworzenie rejestru czynności przetwarzania, nadanie identyfikatorów pracownikom, którzy mają dostęp do danych osobowych, usunięcie danych osobowych przetwarzanych niezgodnie z prawem i wiele innych);
• Realizacja projektowanych rozwiązań organizacyjnych i technicznych oraz ich wdrożenie;
• Opis wdrożonych rozwiązań organizacyjnych i technicznych, jak również przygotowanie założeń potrzebnych do stworzenia dokumentacji RODO (m.in. polityka ochrony danych, wzór upoważnienia do przetwarzania danych osobowych, wzór umowy o przetwarzanie danych osobowych i wiele innych);
• Przygotowanie dokumentacji RODO przez specjalistę;
• Przeszkolenie pracowników z zakresu ochrony danych osobowych.

Wdrożenie w każdej firmie wygląda inaczej

Rok 2018 to wyzwanie dla każdej firmy i instytucji, która przetwarza dane osobowe. Stosować RODO powinien praktycznie każdy przedsiębiorca. Zmiany dotyczą praktycznie wszystkich firm oraz osób prowadzących działalność gospodarczą i posiadających jakichkolwiek klientów. Rozporządzenie nie będzie natomiast dotyczyć osób fizycznych przetwarzających dane osobiste lub domowe na własny użytek.

RODO ma zastosowanie do firm, które:

• Prowadzą działalność w Unii Europejskiej, niezależnie od tego, gdzie znajduje się siedziba firmy, ani gdzie faktycznie następują czynności przetwarzania danych (czyli niezależnie od tego, gdzie znajdują się serwery albo pracownicy przetwarzający dane);
• Przetwarzają dane osób przebywających w Unii towary lub usługi firmy są kierowane do tych osób albo jest monitorowane zachowanie tych osób.

RODO nakazuje, by każda firma posiadająca bazę danych osobowych poszukała rozwiązań informatycznych zapewniających stopień bezpieczeństwa dostosowany do skali działalności tej konkretnej firmy.

Koszty takich działań będą mniejsze dla jednoosobowej działalności gospodarczej, która tylko raz na tydzień wysyła swój własny newsletter, a o wiele większe dla portalu społecznościowego, taki portal, na co dzień przetwarza dane i prywatne informacje milionów osób. Należy przede wszystkim dostosować zabezpieczenia do tego, co i na jaką skalę dana firma robi z danymi osobowymi. Rozporządzenie RODO dotyczy wszystkich przedsiębiorców, jednakże inny poziom ochrony danych zakłada dla danych klientów dużego banku, pacjentów szpitala czy też kwiaciarni, w której prowadzony jest rejestr osób zamawiających wiązanki kwiatów. Przedsiębiorcy będą musieli przeprowadzić analizę ryzyka, właściwego dla prowadzonej działalności i na jej podstawie przygotować odpowiednie procedury oraz rozwiązania technologiczne zabezpieczające bazy danych przed nieuprawnionym dostępem osób trzecich.