W ramach naszej witryny stosujemy pliki cookies w celu świadczenia Państwu usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza, że będą one zamieszczane w Państwa urządzeniu końcowym. Szczegółowe informacje znajdują się w POLITYCE PRYWATNOŚCI I WYKORZYSTYWANIA PLIKÓW COOKIES. OK, rozumiem

Polecane wpisy

Od 25 maja 2018 r. zacznie obowiązywać w Polsce Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. 
Co to będzie oznaczało dla wszystkich podmiotów, które w związku z prowadzoną działalnością przetwarzają dane osobowe? 
Poniżej wymieniamy w bardzo dużym skrócie najważniejsze zmiany:
  1. 1. Inspektor Danych Osobowych (IDO) - firmy przetwarzające dane osobowe, a w szczególności dane wrażliwe, i takie, których naruszenie może stanowić zagrożenie dla wolności osób fizycznych, będą musiały powołać w swoich szeregach funkcję Inspektora Danych Osobowych. Jego obowiązkiem ma być nadzór nad polityką bezpieczeństwa danych w firmie oraz każdorazowe zgłaszanie do urzędu nadzorczego przypadków naruszeń danych.
  2. Osobista odpowiedzialność przetwarzającego dane za każde naruszenie przepisów spocznie na kierownictwie podmiotu (dotyczy to zarówno przedsiębiorstw, jak i jednostek administracji). Uwaga: RODO wprowadza odpowiedzialność bezpośrednią dyrektora podmiotu, bez względu na to, czy i w jaki sposób w organizacji funkcjonuje IDO.
  3. Konieczność rewizji danych osobowych, modelu ich przetwarzania i klauzul. Oznacza to, że w firmie należy przeprowadzić audyt sprawdzający, w jaki sposób są przetwarzane dane, jak są chronione i udostępniane. Jest to niezbędne do tego, aby skutecznie wdrożyć politykę i procedury bezpieczeństwa i działać zgodnie z RODO. Nie ma niestety precyzyjnych wytycznych, w jaki sposób firmy mają zapewnić bezpieczeństwo danych. Pełna odpowiedzialność spoczywa na kierownictwie firm.
  4. Obligatoryjny rejestr naruszeń i powiadamianie organów do 72 godzin. Każdy przypadek naruszenia ochrony danych osobowych podlega obowiązkowej rejestracji wraz z informacją o okolicznościach zajścia, skutków i podjętych działań zaradczych. Dodatkowo IDO będą musieli poinformować organ nadzorczy o każdym przypadku naruszenia nie później niż 72 godziny od zdarzenia.
  5. Prawo do bycia zapomnianym i inne prawa obywateli. Przepisy RODO bardzo poszerzyły uprawnienia obywateli, których dane są przetwarzane. Jednym z nich jest prawo do bycia zapomnianym i polega na trwałym usunięciu danych osobowych wnioskującego ze wszystkich nośników. Poprzez nośniki rozumie się: przenośne pamięci, notatki, płyty etc. Drugie uprawnienie daje poszerzone prawo wglądu do przetwarzanych danych i - co istotne - prawo do uzyskania kopii danych. Trzecie prawo to możliwość żądania przeniesienia przetwarzanych danych do innego podmiotu. Czwarte pozwala na dochodzenie przed sądem odszkodowań za szkody spowodowane niewłaściwym przetwarzaniem danych. 
Temat nie jest prosty, wymaga sporych nakładów pracy od firm, które przetwarzają dane osobowe. Tym bardziej, że RODO przewiduje dotkliwe kary finansowe za uchybienia związane z nieprzestrzeganiem obowiązków wynikających z przepisów.
Jako firma wdrażająca m.in. systemy ERP już od jakiegoś czasu staramy się budować świadomość u naszych klientów. Wskazujemy, gdzie w organizacji należy szukać obszarów, w których występują dane osobowe i operacji, które są na nich wykonywane. Pytamy gdzie dane osobowe występują, kto ma do nich dostęp, jakie operacje może na nich wykonywać, jakie są źródła pozyskiwania danych, czy są udostępniane poza organizację i w jakim celu. Zalecamy przegląd dokumentacji pod względem klauzul, zgód na pozyskiwanie, przetwarzanie i powierzanie danych osobowych i dostosowanie jej do nowych wymogów. 
Administratorom systemów IT zalecamy analizę systemów informatycznych. To w końcu w nich przechowywane są informacje zgromadzone o pracownikach czy też kontakty zebrane podczas działań marketingowych i sprzedażowych. Poza systemami trzeba także zabezpieczyć serwery, na których są one zainstalowane.

Autor: AJ
Źródło: broszury informacyjne producentów: Soneta Sp. z o.o., SAGE, Comarch S.A.

Partnerzy