RODO

Szanowni Państwo

Rok 2018 to rok przyjęcia do stosowania nowych przepisów ochrony danych UE, przepisów które w sposób niezwykle dotkliwy dla przedsiębiorstw przewidują mechanizmy nakładania kar administracyjnych w takich kwotach, iż dla wielu oznaczałoby to poważne problemy z płynnością finansową w ramach prowadzonej działalności gospodarczej. Wszyscy słyszycie o RODO. Nasz zespół prawny również styka się z Państwa zapytaniami o RODO, jakie zadajecie w związku z współpracą między Państwem a naszą Kancelarią Prawną Zajdel & Szafraniec sp. j. Ponieważ czas jest bliski, dlatego też przygotowaliśmy Państwu kompendium informacji, byście nie popadli w nieuzasadnione obawy co do tego, czym w sumie jest RODO, zwłaszcza że wokół tematu narosło wiele niepotrzebnych mitów.

RODO – czyli co?

RODO to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016 / 679 z dnia 27 kwietnia 2016r w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95 / 46 / WE. Inaczej mówiąc RODO to skrót Rozporządzenia o Ochronie Danych Osobowych. Rozporządzenie to ma za zadanie ujednolicić przepisy regulujące ochronę danych osobowych w Państwach Unii Europejskiej. RODO wejdzie w życie w dniu 25 maja 2018 roku.

Wszyscy administratorzy danych muszą spełniać wymogi określone w Rozporządzeniu, które zmieni dotychczasowe podejście do ochrony danych, albowiem to właśnie administratorzy danych w większym niż dotąd stopniu staną się podmiotami odpowiedzialnymi za to, by dane osobowe były przetwarzane zgodnie z prawem. Administratorem i podmiotem przetwarzającym dane osobowe może być każdy, nawet przedsiębiorca prowadzący jednoosobową działalność, który zapisuje sobie w wybrany przez siebie sposób dane osobowe m.in. swoich klientów, pracowników i kontrahentów. Oznacza to, iż administratorzy muszą dokonać szczegółowej weryfikacji stosowanych dotychczas rozwiązań z zakresu ochrony danych osobowych i w wielu przypadkach je zmodyfikować. Jednocześnie muszą być przygotowani na właściwą realizację zwiększonych praw osób, których dane dotyczą.

Regulacje RODO należy wdrożyć przed rozpoczęciem ich obowiązywania tj. przed 25 maja 2018 r., by nie narażać się na odpowiedzialność finansową. Całość zaś będzie wymagała optymalizacji i aktualizacji podczas codziennej praktyki stosowania. Aktualizacja ta zapewni Państwu stosowanie optymalnej wersji dokumentacji i procedur wg wytycznych UE, działania nowego organu i praktyki funkcjonowania RODO, na co dzień w tym najtrudniejszym 2018 roku.

Z perspektywy przedsiębiorstw najogólniej rzecz ujmując szykują się istotne zmiany:

weryfikacja stosowanych dotychczas rozwiązań,
nowe obowiązki – w wielu firmach pojawi się obowiązek powołania stanowiska niezależnego Inspektora Ochrony Danych,
wiele nowych procedur, m.in. oceny ryzyk przetwarzania danych, prowadzenie rejestrów czynności czy zgłaszania incydentów w 72 h,
konieczność dostosowania funkcjonującego w firmie modelu bezpieczeństwa i ochrony danych osobowych do wymogów RODO,
konieczność dostosowania zaplecza technologicznego.

Jakie działania należy wykonać

Dla wielu z Was Szanowni Państwo, oznacza to poważne zmiany, do których trzeba się z odpowiednim wyprzedzeniem przygotować. Nasi prawnicy proponują outsourcing w zakresie kompleksowego wprowadzenia Państwa na grunt nowych uregulowań oraz wdrożenie nowych wymogów w podmiotach, przetwarzających dane osobowe. Na tę okoliczność będziemy musieli:

przeprowadzić audyt wstępny w tym zweryfikować obecne standardy przetwarzania danych w Państwa firmie,
wskazać wszelkie działania, które powinny zostać wdrożone,
przeprowadzić analizy ryzyka,
przeprowadzić nowe procedury w tym przygotować niezbędną dokumentację z uwzględnieniem wytycznych jak poniżej,
zaprojektować nowe schematy postępowań i harmonogram ich wdrożenia ze wskazaniem: jak zaplanować poszczególne czynności, ile przeznaczyć czasu na ich implementację, jak budować zespoły merytoryczne oraz wyznaczać osoby odpowiedzialne za wdrożenie,
wskazać najważniejsze wymagania RODO dla obszaru rekrutacji i zatrudnienia ze wskazaniem: jakie podstawy prawne należy stosować przy przetwarzaniu danych kadrowych, jaki zakres danych można zbierać i wykorzystywać w obszarze HR i z czego to wynika, jaką politykę informacyjną należy stosować wobec kandydatów do pracy i pracowników zgodnie z RODO, jaki jest możliwy okres przechowywania danych kandydatów do pracy i pracowników w świetle zasady ograniczenia czasowego wynikającej z RODO, jakie są uprawnienia kandydatów do pracy i pracowników w zakresie przetwarzania ich danych i jak do nich musi przygotować się pracodawca, a także pozostałe wymagania RODO, które dział HR koniecznie musi wdrożyć przed 25 maja 2018r,
wskazać najważniejsze wymagania RODO w obszarze marketingu ze wskazaniem: kiedy dane w marketingu przetwarzamy za zgodą, a kiedy możemy na innych podstawach prawnych, jak mają wyglądać klauzule zgody na przetwarzanie danych według RODO i jak je prawidłowo konstruować, jak mają wyglądać klauzule informacyjne jakie należy spełniać wobec osób, których dane wykorzystujemy w celach marketingowych, co trzeba zrobić aby profilować dane w celach marketingowych zgodnie z prawem, jakie są wymagania wobec systemów informatycznych w zakresie ich funkcjonalności w tym co systemy typu CRM powinny zapewniać, aby była możliwa realizacja uprawnień osób fizycznych (np. prawo do przenoszenia danych, odnotowywanie zgód, odnotowywanie złożonych sprzeciwów na przetwarzanie danych),
wskazać wymagania RODO w kwestii sprzedaży, obsługi reklamacji, windykacji roszczeń z uwzględnieniem: jak konstruować zapisy w umowach z Państwa klientami, by legalnie pozyskiwać zgody na przetwarzanie danych (np. w celach marketingowych, udostępnianie ich do innych podmiotów etc.) wobec wymaganej zasady wyrażania zgody w różnych dokumentach, jak konstruować klauzule informacyjne, jakie należy stosować wobec osób fizycznych przy przetwarzaniu danych na potrzeby zawarcia i realizacji umowy, rozpatrywania reklamacji, czynności windykacyjnych, jakie są podstawy prawne przy sprzedaży tradycyjnej a sprzedaży przez Internet (np. za pomocą sklepu internetowego) w związku z obowiązkiem przetwarzania danych osobowych klientów, określenie zasad dotyczących możliwego czasu przechowywania dokumentacji zawierającej dane klientów, osób składających reklamacje, dłużników w szczególności wytyczne dla procedury archiwizacji i brakowania dokumentów,
wskazać jak prowadzić rejestr czynności przetwarzania danych w tym w szczególności: jak prowadzić w formie rejestru opis operacji realizowanych w poszczególnych komórkach organizacyjnych, jak rozumieć pojęcie czynność przetwarzania danych, jak szczegółowy powinien być rejestr operacji przetwarzania, ile rejestrów należy prowadzić, (jeden dla całej organizacji czy rejestry w poszczególnych komórkach organizacyjnych np. rekrutacja, HR, marketing, sprzedaż, obsługa klienta), w jakiej formie należy prowadzić rejestr, jaki zakres informacji powinien zawierać rejestr.

Powyższe działania musimy wykonać indywidualnie dla każdego z Was. Nie ma tu możliwości działania na tzw. szablonach, zmiany dla każdego z Państwa są to każdorazowo inne działania, gdyż inny jest zakres przetwarzania danych osobowych.

Sankcje za brak RODO

Niestety na dzień dzisiejszy wiele podmiotów przetwarzających dane osobowe nie jest gotowych na wdrożenie nowych przepisów, a kary za ich nieprzestrzeganie mają być bardzo dotkliwe. Obecnie już za złamanie obowiązujących przepisów regulujących ochronę danych osobowych przedsiębiorcom grożą sankcje o charakterze karnym, administracyjno – prawnym oraz cywilnoprawnym. Z dniem 25 maja 2018 roku, tj. datą wejścia w życie RODO, sankcje mają być jeszcze bardziej niekorzystne i można się spodziewać bardzo wysokich kar finansowych i tak niestosowanie się do nowych zasad przetwarzania danych osobowych może m.in. skutkować odpowiedzialnością finansową – administracyjnymi karami pieniężnymi nawet do 20 milionów euro lub do 4 % całkowitego rocznego światowego obrotu albo odpowiedzialnością cywilną, gdyż osoby, których dane dotyczą, będą miały prawo dochodzić odszkodowania od administratora danych lub podmiotu przetwarzającego za szkodę majątkową lub niemajątkową spowodowaną naruszeniem przepisów rozporządzenia.

Zgodnie z ogólnymi założeniami RODO, poniżej wskazano regulacje i sankcje z niego wynikające:

art. 25 – naruszenie zasad ochrony danych osobowych w fazie projektowania (privacy by design) oraz domyślna ochrona danych (privacy by default)