O czym pamietac wdrazajac w firmie RODO

Przedsiębiorcy muszą stosować się do postanowień ogólnego rozporządzenia o ochronie danych osobowych (RODO). Nakłada ono na nich wiele obowiązków, wśród których najważniejszym jest konieczność wdrożenia procedur zapewniających ochronę danych osobowych. W praktyce przepisy RODO stanowią dla znacznej części przedsiębiorców bardzo duże wyzwanie. Inna sprawa, że niektórzy celowo lekceważą wspomniane obowiązki. Z badań wynika, że świadomość Polaków dotycząca ochrony danych osobowych z roku na rok rośnie. A jak jest wśród przedsiębiorców? - W firmach jest ona bardzo różna. Z roku na rok się to zmienia i widać to choćby na przykładzie naruszeń zgłaszanych do Urzędu Ochrony Danych Osobowych (UODO). Skala tych powiadomień pokazuje, że administratorzy danych mają dużą świadomość istnienia obowiązków nałożonych na nich przez RODO, ale różnie je realizują. To, co urząd obserwuje, to fakt, że zgłoszenia coraz częściej są lepiej realizowane – jest w nich więcej informacji, administratorzy dokładniej badają i wyjaśniają przyczyny takich zdarzeń - mówi Karol Witowski, rzecznik prasowy UODO. Dodaje, że problemy z prawidłowym wdrażaniem procedur uwidaczniają się podczas analizy zgłaszanych naruszeń. - Przedsiębiorcy – szczególnie mniejsi - wdrażają RODO i mają polityki prywatności. Jednak w niektórych przypadkach na tym się kończy. Tymczasem ochrona danych osobowych to nie jednorazowe działanie, ale ciągły proces. Nie da się wdrożyć RODO, dokonać pewnych analiz, przygotować dokumentację i na tym poprzestać. Zmieniają się technologie, pojawiają nowe ryzyka, a cyberprzestępcy udoskonalają swoje działania. Administratorzy muszą nieustannie mierzyć i testować wdrożone rozwiązania, a także je uaktualniać. Tego zresztą wymaga RODO. Analiza zgłoszonych naruszeń ochrony danych osobowych pokazuje, że do wielu z nich by nie doszło, gdyby administratorzy testowali swoje rozwiązania i po wykryciu pewnych luk wprowadzali zmiany w systemach, zabezpieczeniach czy procedurach – przyznaje Karol Witowski. Podobnego zdania jest Karol Witas, prawnik z kancelarii The Heart Legal. Podkreśla, że wielu przedsiębiorcom wydaje się, że wystarczy jednorazowo wdrożyć RODO, żeby skutecznie chronić dane i uniknąć ewentualnych sankcji. Z kolei o szkoleniach w zakresie ochrony danych osobowych przypominają sobie dopiero wtedy, gdy dojdzie do wycieku informacji. Zapewnienie zgodności to proces, który wymaga zapewniania odpowiednich środków, w tym cyklicznych szkoleń. - Jak pokazują wyniki badania przeprowadzonego na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych, administratorzy liczą na to, że nie są atrakcyjnym celem dla hakerów. Tymczasem każdy z nich może być ofiarą cyberprzestępców. Administratorzy przetwarzają dane osobowe swoich pracowników, klientów, kontrahentów, które są bardzo cenne dla hakerów. Trzeba mieć tego świadomość – informuje Karol Witowski. Karol Witas dodaje, że przedsiębiorcy, którzy chcą działać legalnie i bezpiecznie, powinni w pierwszej kolejności przeanalizować rodzaje otrzymywanych danych i zrozumieć procesy używane do ich przechowywania i przetwarzania. Ważne jest również poznanie ryzyka naruszeń praw lub wolności osób fizycznych w kontekście RODO. - Powyższy cel można osiągnąć np. poprzez audyt wdrożeniowy przeprowadzony poprzez zorganizowanie spotkań z osobami zaangażowanymi w przetwarzanie danych w spółce. W oparciu o pozyskane informacje konieczne jest dostosowanie procesów przetwarzania danych do obowiązującego prawa. Przykładowo firmy powinny zrezygnować z przetwarzania niektórych informacji na podstawie zasady minimalizacji danych lub zrezygnować z procesów, których nie da się pogodzić z RODO – mówi prawnik z kancelarii The Heart Legal. Dlaczego warto kłaść większy nacisk na RODO? Bo w razie wycieku danych firmy narażają się na utratę pozytywnego wizerunku, odpowiedzialność finansową względem poszkodowanych oraz sankcje nałożone przez UODO. - Kary finansowe w RODO to tylko jeden z instrumentów oddziaływania, jakimi dysponuje prezes UODO, żeby zapewnić przestrzeganie prawa. Ogólne rozporządzenie zawiera bowiem gamę różnych rozwiązań, które służą wzmocnieniu ochrony danych osobowych. Wśród nich wymienić należy m.in. wydane ostrzeżenie, udzielone upomnienie czy nakaz dostosowania określonych działań do obowiązujących przepisów. Prezes UODO reaguje odpowiednio do wagi konkretnego naruszenia, korzystając z licznych uprawnień, jakie mu przysługują na podstawie RODO – zwraca uwagę Karol Witowski. Najdotkliwszą sankcją dla wielu firm są kary pieniężne, jakie mogą zostać nałożone na administratora danych. Ich górna granica może wynieść nawet 20 mln EUR lub nawet 4 proc. całkowitego światowego obrotu przedsiębiorstwa z ostatniego roku.