Ostatnie miesiące były zdominowane przez wchodzące w dniu dzisiejszym nowe przepisy chroniące dane osobowe. W zasadzie można było zauważyć, że inne gałęzie prawa przestały obowiązywać – liczy się tylko ochrona danych osobowych. Jako fan filmu Terminator miałem wrażenie, że w dniu 25 maja 2018 roku nastąpi słynny Dzień Sądu. Nawet na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych odliczano czas do wejścia w życie RODO.
Kto oglądał ostatnią część Terminatora Genisys z pewnością zna scenę, gdy właśnie odliczano czas do uruchomienia aplikacji Genisys, która miała stać się podstawą Dnia Sądu i końca rodzaju ludzkiego.
RODO zaczęło obowiązywać, Dzień Sądu nie nastąpił, przedsiębiorcy jeszcze nie zostali „ukarani” za błędy w ochronie danych osobowych. A RODO przewiduje kary, których wysokość stanie się w przyszłości Dniem Sądu dla wielu działalności gospodarczych. Dniem Sądu w którym z góry przedsiębiorca będzie uznawany za tego złego i winnego.
W związku z tym zabezpieczyć się w jak największym stopniu. RODO to bardzo ogólny akt, zawierający bardzo niejasne przepisy, mimo to, wprowadzający kary do 20 milionów euro. Dlatego może być nieciekawie.
Wobec tego, aby móc obronić się przez karami płynącymi z RODO przedsiębiorca powinien wykonać następujące czynności:
- Sprawdzić, czy ma prawo do posiadania danych osobowych, co sprowadza się do odpowiedzi na pytania: Jakie mam dane osobowe? Czyje te dane osobowe są? Po co mi te dane osobowe? Dlaczego te dane są w moim posiadaniu i jaka jest podstawa prawna ich posiadania?;
- Prowadzić rejestr czynności przetwarzania danych osobowych – choć zgodnie z art. 30 ust. 5 RODO, nie każdy przedsiębiorca musi taki rejestr prowadzić, ale ze względu na podstawową zasadę rozliczalności polecam jego prowadzenie każdemu przedsiębiorcy;
- Wdrożyć odpowiedną wewnętrzną politykę ochrony danych osobowych – pamiętaj, że RODO nie precyzuje zakresu merytorycznego takiej polityki ani jej formy, to przedsiębiorca musi uwzględnić w niej elementy istotne według RODO;
- Przeprowadzić analizę ryzyka;
- Wprowadzić przyjęte w polityce ochrony danych osobowych zasady ochrony danych osobowych takie jak: bezpieczeństwo informatyczne, używanie zabezpieczonych pendrive-ów, sprzętu komputerowego czy urządzeń mobilnych;
- Przygotować umowy powierzenia przetwarzania danych osobowych i zawrzeć takie umowy np. z biurem księgowym czy firmą informatyczną;
- Przygotować dokument upoważnienia do przetwarzania danych osobowych podpisany przez pracowników;
- Zaktualizować umowy z kontrahentami w kwestii zobowiązania do poufności, ochrony danych osobowych, zasad odpowiedzialności, zasad zawiadamiania o naruszeniu ochrony danych osobowych, zasad współpracy przy realizacji żądań jednostki;
- Opracować nowe klauzule informacyjne;
- Opracować opinię co do nie powołania Inspektora Ochrony Danych – zgodnie z art. 37 ust 1 RODO Inspektor Ochrony Danych jest obowiązkowy tylko w trzech sytuacjach wskazanych w tym przepisie;
- Sprawdzić, czy dane osobowe nie opuszczają terenu Unii Europejskiej;
- Szkolić personel z zakresu ochrony danych osobowych.
Wykonanie przez przedsiębiorcę powyższych 12 czynności sprawi, że obrona przez organem nadzoru ma szansę na duże powodzenie.
Jeżeli masz pytania, wątpliwości sugestie zapraszam do kontaktu.