Miesiąc az do RODO. Jeśli firmy nie zaczęły się przygotowywać, mogą nie zdążyć

27 lipca, 2020
Category: system gospodarczy

Firmy, które nie zaczęły jeszcze przygotowywać się sluzace do RODO, nie zaakceptowac znajdą już eksperta, który przed 25 maja dokona audytu jak i równiez wdrożeń. Czasu mało, szereg ludzi oczekujących duża. Na szczęście mali przedsiębiorcy sami poradzą sobie sposród nowymi obowiązkami.

Do wejścia w życie zupełnie swiezych przepisów regulujących ochronę informacji osobowych został niewiele przeszlo miesiąc. To nie nowelizacja: przepisy zostały napisane zupełnie od początku i w bardzo wielu rejonach mamy do czynienia z całkowicie nową „filozofią” ochrony danych osobowych.

Celowo w artykułach zapowiadających RODO (ogólne rozporządzenie o opiece danych osobowych) przewija się słowo „rewolucja”. 25 maja 2018 r. zacznie cos znacznie wiecej anizeli tylko obowiązywać innowacyjna ustawa, jednak drobne zmiany obejmą też blisko dwie stówy innych aktów prawnych.

Periodu było dużo, ale wiele firm zwlekało

Zakres odmian jest bardzo duzy, stąd przedsiebiorstwa miały bardzo dużo periodu na przygotowywanie się az do nich. Choć w kwietniu 2016 r. uchwalono RODO, które zastąpi przepisy dotychczasowej polskiej ustawy o opiece danych osobowych i już od tego momentu było wiadomo, co konkretnie się zmieni, sporo firm ignorowało konieczność dostosowania się sluzace do zmian.

Zobacz też:* *Tajemniczy czteroliterowy skrót. Co RODO oznacza dla mikroprzedsiębiorców

*Czytaj więcej: Pięć miesięcy az do RODO. Szykuje się rewolucja, na którą firmy nie są przygotowane *

Właściwie każda firma przetwarza dane dla osób fizycznych swoich klientów, kontrahentów albo potencjalnych klientów, czyli w przykład odbiorców newslettera. Nie przetwarza danych empirycznych osobowych szewc czy specjalista, który zatrudnia buty az do naprawy w warsztacie czy pracowni, nie podpisuje umów, nie wiedzie programów lojalnościowych, ale to raczej wyjątki.

Ogladaj też: Dlaczego RODO? Dyskusja

Znakomita część przedsiębiorców jednak dane np.: imię jak i równiez nazwisko, odnosnik mailowy, numer telefonu, przetwarza, więc można uznać, że nowe przepisy powinny zainteresować każdego, który prowadzi działalność.

Przetwarzanie to pojęcie bardzo szerokie. Rejestracja, porządkowanie, zachowywanie, gromadzenie, jednak też blokowanie i pierwotnego niszczenie mieszczą się w tej firm.

Audyt ochrony danych osobowych: przydatny, ale dobrowolny

Nim przedsiębiorca zacznie dostosowywać się do swiezych regulacji, powinien zorientować się, jak działa ochrona informacji osobowych po jego spólce, czego brak, jak osiągnąć cel możliwie najmniejszym nakładem sił jak i równiez środków. Reakcji na to jak i równiez wiele pozostalych pytań udzieli audyt ziszczony przez specjalistę.

Audytor zbada, jakie dokladnie dane są przetwarzane, czemu i obrebie się to odbywa – i badz rzeczywiście to niezbędne dla osiągnięcia zamysle. Skoro wiadomosci podlegają jak najdalej idącej ochronie, to powinny być przetwarzane tylko w niezbędnym zakresie. Przykładowo, po co przy zapisaniu się do newslettera klient dzierzy podawać odnosnik domowy? To nieuzasadnione i powinno zostać zmienione.

Należy zbadać, jakie konkretnie informacje przetwarzamy, w jakim celu to robimy i badz zakres, w którym halasuje zbieramy, wydaje sie byc faktycznie niezbędny dla deklarowanego celu. W tamtym miejscu, gdzie audyt wykaże naruszenia, należy oczywiście jak najszybciej wdrożyć działania korygujące.

Rzetelnie przeprowadzona analiza to pierwszy krok do utworzenia rejestru czynności przetwarzania, który będzie obowiązkowy dla przedsiębiorców zatrudniających więcej niż 220 pracowników i tych, którzy przetwarzają wiadomosci wrażliwe – a to tylko przykłady.

Audyt pomoże też w aktualizacji wszystkich przetwarzanych danych i uporządkowaniu dokumentacji a takze procedur.

Duże kolejki wedlug poradę

Duże firmy – które też ryzykują najwyższe kary za brak uregulowania się sluzace do wymogów – zapewne takim profesjonalnym analizowaniem będą zainteresowane. Właściciele małych pewnie będą mieć pytania, czy się na taką usługę zdecydować. Audyt nie wydaje sie byc bowiem obowiązkowy: firma dzierzy stosować się do regul, a jakimi sposobami ustali, czy do niej procedury spełniają wymogi prawne, to już sprawa drugorzędna.

Nie ma jakiegoś uniwersalnego wykazu. Firmy audytorskie różnie wyceniają swoje usługi w zależności od tego, jak złożony wydaje sie byc ich zakres. Audyt przeprowadzony w małej firmie będzie oczywiście tańszy niż gdy zleci jego przedsiębiorstwo zatrudniające stu pracowników, ale bez względu w wielkość spólki właściciel musi mieć na względzie, że zlecenie audytu „na zaraz” raczej się nie uda.

Specjalistów od momentu ochrony danych empirycznych osobowych, którzy potrafią kompleksowo zbadać katalogów przetwarzanie po różnych regionach działalności przedsiebiorstwa, jest niewielu i od wielu miesięcy mają długie listy oczekujących. Sytuacji nie polepsza wspomniany już fakt, że gros przedsiębiorców zaczął myśleć o dostosowaniu się sluzace do nowych przepisów zaledwie dzieki kilkanaście miesięcy przed ostatecznym terminem, a więc naprawdę w ostatniej chwili.

Małe firmy nie zaakceptowac potrzebują wielotysięcznych nakładów

Jakie mozliwosci robić, wówczas gdy firma „przespała” moment, w którym należy zlecić auditing i przygotować się az do nowego prawa? Nie panikować. Nie jest tak, że każda firma potrzebuje jakichś bardzo daleko idących zmian, modyfikacji systemu, kupna drogiego aplikacji. Małe, które nie przetwarzają wielu informacji (bo zatrudniają niewielu pracowników i świadczą usługi dla niewielkiej i stałej ekipy kontrahentów), prawdopodobnie poradzą sobie z tymze zadaniem tylko.

Weźmy jako przykład właściciela niewielkiej szkoły językowej. Nie zaakceptowac zatrudnia profesorów, lekcji poszczególnych udziela tylko jej właściciel. Szkoła działa na rynku od czasu roku, więc w bazie klientów ma zaledwie około 30 kursantów. Szkoła nie wysyła newslettera.

Właściciel musi przeanalizować, które dane dla osób fizycznych przetwarza, czemu i w jakiej bazie prawnej (zgoda osoby, umowa). Następnie powinien zastanowić się, jak magazynuje dane i kto dzierzy do nich dostęp. Lub dane są odpowiednio zabezpieczone?

Zgoda na przetwarzanie danych empirycznych ma być sformułowana po sposób przejrzysty – żadnego prawniczego żargonu, żadnych niezrozumiałych sformułowań.

Ustawa więcej wymaga od dużych przedsiębiorców, natomiast mali mogą korzystać wraz z pewnych ułatwień. Dodajmy do tego, że w myśl omawianych przepisów zbytnio małą firmę uważa się taką, która zatrudnia sluzace do 250 osób!

Dla przykładu, nie muszą one informować klientów na temat okresie, poprzez który wiadomosci będą magazynowane, prawie sluzace do cofnięcia zgody, prawie az do wniesienia skargi i niemal do żądania od administratora dostępu sluzace do swoich informacji, możliwości pierwotnego sprostowania i usunięcia.

Każdy przedsiębiorca, wyjawszy względu na wielkość, będzie natomiast zobowiązany do poinformowania osób, których danebędą fabrykowane, o celu i bazie prawnej robienia danych.

Ponadto małe jak i równiez średnie przedsiebiorstwa będą też zobowiązane az do poinformowania prezesa Urzędu Ochrony Danych Osobowych o mozliwych naruszeniach RODO.