RODO - co firmy rodzinne powinny wiedzieć o reformie danych osobowych?

1. Czym jest GDPR lub RODO?

„GDPR”, zwane także „RODO” lub „Ogólnym Rozporządzeniem o Ochronie Danych” to ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE .

2. Czy RODO będzie miało znaczenie dla firm rodzinnych?

Pozyskiwanie i przetwarzanie danych osobowych jest powszechnym procesem obecnym w wielu firmach, niezależnie od rodzaju i skali prowadzonej działalności. Warto podkreślić, iż każde, nawet sporadyczne i okazjonalne przetwarzanie danych osobowych, będzie podlegało pod nowe standardy unijne przewidziane w Rozporządzeniu.

3. Jakie są najważniejsze postanowienia RODO?

a) Podstawa przetwarzania danych

Przetwarzanie danych możliwe jest tylko w oparciu o wskazaną w Rozporządzeniu podstawę prawną.

b) Pozyskiwanie zgody na przetwarzanie danych

Procedura pozyskiwania zgody na przetwarzanie danych została w znaczący sposób zmieniona w stosunku do obecnie obowiązujących przepisów. Może to oznaczać konieczność pozyskania nowych zgód. Zgodnie z RODO zgoda musi być udzielona w formie oświadczenia lub wyraźnego działania, a wyrażenie zgody w sposób domyślny nie będzie już dozwolone. Klauzula zgody musi również informować o celu przetwarzania danych, a zmiana celu oznacza konieczność pozyskania nowej zgody.

c) Nowe obowiązki informacyjne

Podczas pozyskiwania danych osobowych konieczne będzie przekazanie osobie, której dane dotyczą szeregu informacji takich jak: dane administratora danych, cel i podstawa prawna przetwarzania, okres przechowywania danych, a także informacje dotyczące uprawnień przysługujących osobie, której dane dotyczą. Oprócz rodzaju przekazywanych informacji należy zapewnić, że są one przekazywane w sposób łatwo dostępny, zrozumiałym i zwięzłym językiem.

d) Nowe uprawnienia osób fizycznych

RODO przyznaje osobom, których dane są przetwarzane szereg nowych uprawnień, w tym przykładowo prawo żądania usunięcia danych, sprostowania danych, czy zaprzestania przetwarzania danych. Z punktu widzenia administratora danych, uprawnienia te są dla nich źródłem nowych obowiązków.

4. Czy Twoja firma jest gotowa na RODO?

a) Czy wiesz, jakie dane osobowe, w jaki sposób uzyskane, na jakiej prawnej podstawie, w jakim celu, w jaki sposób, przetwarzane są w Twojej organizacji?

b) Czy jesteś przekonany, że dane, które są przetwarzane, to wyłącznie dane niezbędne do celu, w jakim są przetwarzane?

c) Czy osoby, których dane są przetwarzane, mają dostęp do przejrzystej, wyrażonej łatwym językiem informacji o tym, jakie dane są przetwarzane, w jakich celach i w jaki sposób

d) Czy przetwarzasz dane osobowe na podstawie zgody udzielonej przez osoby, których dane dotyczą?

e) Czy w Twoich systemach cofnięcie zgody na przetwarzanie danych osobowych jest technicznie tak samo łatwe jak jej udzielenie?

f) Czy wiesz, jakie kary mogą zostać nałożone na organizacje w przypadku braku zgodności z GDPR?

5. Co wymagać będzie zmiany?

Administrator jest zobowiązany zapewnić zgodność procesów przetwarzania z GDPR. W tym celu, przeglądu wymagają w szczególności:

1. Formularze zgód na przetwarzanie danych – GDPR wprowadza postanowienia mające na celu zapewnienie, że zapytania o zgodę zostały wyrażone w jasny i zrozumiały sposób, a administrator jest w stanie wykazać, że uzyskał odpowiednie zgody;

2. Formularze informacji przekazywanych podmiotom danych – katalog informacji został rozszerzony;

3. Dokumenty zawierające rejestr czynności przetwarzania;

4. Umowy powierzenia przetwarzania – zaostrzone wymogi dotyczące przetwarzających, nowe wymogi dotyczące umów powierzenia przetwarzania;

5. Systemy informatyczne służące do przetwarzania – GDPR kładzie nacisk na zapewnienie funkcjonalności systemów pozwalających na wypełnienie nowych obowiązków administratorów (np. przenoszenie danych, ograniczenie przetwarzania, prawo do bycia zapomnianym, zgłaszanie incydentów).

6. Jakie kary będą mogły zostać nałożone na przedsiębiorcę za nieprzestrzeganie przepisów RODO?

Wysokość kar przewidzianych w Rozporządzeniu jest wielokrotnie wyższa niż kary nakładane obecnie przez GIODO na podstawie ustawy o ochronie danych osobowych. Przewidziane kary to do 20.000.000 EUR lub do 4% całkowitego światowego obrotu za rok poprzedni za ciężkie uchybienia w ochronie danych osobowych oraz do 10.000.000 lub do 2% całkowitego światowego obrotu za rok poprzedni za uchybienie mniejszej wagi.

7. Od kiedy GDPR zacznie obowiązywać?

Rozporządzenie weszło w życie dnia 17 maja 2016 r. Zacznie ono obowiązywać bezpośrednio w krajowych porządkach prawnych od dnia 25 maja 2018 r. Zastąpi ono polską ustawę o ochronie danych osobowych z dnia 29 sierpnia 1997 r., w której to pozostaną w zasadzie jedynie regulacje dotyczące polskiego organu nadzoru oraz sankcji karnych.

8. Dlaczego warto zacząć przygotowywać się już teraz?

Proces dostosowania działalności do wymogów GDPR jest procesem długotrwałym. Aby dobrze się do niego przygotować przedsiębiorca powinien podjąć następujące kroki:

a) zorganizować szkolenie dla pracowników, na działalność których przepisy Rozporządzenia będą miały wpływ (a więc przede wszystkim – pracowników działów compliance, marketingu, sprzedaży oraz HR);

b) przygotować mapę wdrożenia GDPR; a następnie

c) implementować poszczególne rozwiązania o naturze organizacyjnej i technicznej do swojej struktury.