Ogólne rozporządzenie o ochronie danych (RODO), które obowiązuje wszystkich polskich przedsiębiorców przetwarzających dane osobowe, będzie w pełni stosowane od 25 maja 2018 r. Jest ono ogromnym wyzwaniem dla firm, zarówno pod względem kosztów, jak też zasobów ludzkich – twierdzą eksperci PwC. Rozporządzenie nakłada dodatkowe obowiązki w zakresie ochrony danych osobowych, nie określając przy tym dokładnej ścieżki postępowania. Naruszenie przepisów będzie wiązać się z ryzykiem nałożenia na przedsiębiorstwa kary finansowej do 20 mln euro lub 4% wartości rocznego obrotu przedsiębiorstwa.
24 maja 2016 r. weszło w życie rozporządzenie UE, które zmienia przepisy o ochronie danych osobowych.
Rozporządzenie jest stosowane wprost, dlatego jest wiążącym prawem dla wszystkich przedsiębiorców (i zastąpi przepisy polskiej ustawy o ochronie danych osobowych). Obecnie trwa okres ustanowiony dla przedsiębiorców na wdrożenie wymagań rozporządzenia, które w pełni stosowane będzie od 25 maja 2018 roku.
„Wprowadzenie Ogólnego rozporządzenia o ochronie danych jest gigantyczną zmianą dla polskich firm, które do tej pory poruszały się w obrębie krajowych, dobrze znanych przepisów. W nowym podejściu ochrona danych osobowych w przedsiębiorstwie to ciągły proces, dlatego z jednej strony niezwykle ważne jest, by jak najlepiej przygotować się do nowych obowiązków, z drugiej zaś, by proces ten w późniejszych etapach doskonalić, oddalając ryzyko sankcji” – mówi Sylwia Pusz, partner w PwC.
Nowe prawo wprowadzi wiele zmian w podejściu do ochrony osobowych. Konieczne będzie m.in. uwzględnienie ochrony danych osobowych już w fazie projektowania rozwiązań informatycznych. Obowiązkowe będzie także rejestrowanie czynności przetwarzania danych osobowych, a także przeprowadzania analizy skutków planowanych operacji dla ochrony danych osobowych. Dodatkowo, administratorzy danych osobowych będą zobowiązani do zawiadamiania organu ochrony danych o naruszeniu przepisów.
„Przedsiębiorcy – poza branżą telekomunikacyjną – nie są przyzwyczajeni do zgłaszania własnych naruszeń ochrony danych osobowych organom nadzoru. Ten nowy obowiązek wymaga nie tylko identyfikowania zaistniałego naruszenia, ale także przygotowania procedur reagowania na incydenty ochrony danych” – mówi Anna Kobylańska, adwokat w kancelarii PwC Legal.
Naruszenie przez przedsiębiorcę przepisów RODO będzie wiązać się z ryzykiem nałożenia na kary finansowej do 20 mln euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa. Jednak, jak podkreślają eksperci PwC, ryzyko finansowe to nie jedyne zagrożenie. Równie ważne są także ryzyko operacyjne (ewentualne problemy z działalnością na terenie Unii Europejskiej) oraz ryzyko reputacyjne, związane z utratą zaufania klientów.
Jak przygotować się do nowych obowiązków?
Wymagania zawarte w Ogólnym rozporządzeniu o ochronie danych mają wpływ na bardzo wiele obszarów działalności firmy. Nie dotyczą tylko działu prawnego, ale również marketingu, HR-u czy obsługi klienta. Jak się przygotować do nowych obowiązków?
Przygotowanie warto zacząć od oceny stanu obecnego u przedsiębiorcy w kontekście sposobu, zakresu i podstawy prawnej przetwarzania danych osobowych. Istotnym elementem tego procesu będzie także inwentaryzacja danych, czyli ustalenie, jakie dane osobowe, jak, gdzie i po co są wykorzystywane przez przedsiębiorcę. Analizy te umożliwią przygotowanie wykazu luk w sposobie chronienia danych osobowych oraz zidentyfikowanie elementów ochrony, które powinny być zmienione lub uzupełnione w celu dostosowania do wymagań Ogólnego rozporządzenia o ochronie danych. Kolejnym krokiem będzie podjęcie opracowanych działań wdrożeniowych i naprawczych, w tym zaplanowanie ciągłego procesu weryfikacji i uwzględniania ochrony danych osobowych.
„RODO wprowadza istotną zmianę podejścia do zabezpieczania danych osobowych. Nie opisuje konkretnych mechanizmów bezpieczeństwa w warstwie technologicznej, proceduralno-procesowej i organizacyjnej, które muszą być wdrożone, a jedynie ogólne wymagania w obszarze bezpieczeństwa danych osobowych. W związku z tym sposób spełnienia tych wymagań dla różnych firm może być inny, a nawet dla jednej firmy może istnieć kilka scenariuszy. Należy jednak pamiętać, że każda decyzja powinna być poprzedzona pogłębioną analizą, która pozwoli na wybranie najlepszego rozwiązania” – podsumowuje Łukasz Ślęzak, menedżer w zespole ds. cyberbezpieczeństwa w PwC.
