• 25 maja weszły w życie opracowane przez Unię Europejską zmiany w zakresie ochrony danych osobowych dla wszystkich przedsiębiorstw działających w krajach członkowskich.
• Firmy mają dwa lata na dostosowanie się do nowych przepisów.
• Po 25 maja 2018 r., w przypadku braku zgodności z unijnymi regulacjami, firmy muszą liczyć się z ryzykiem sankcji finansowych w wysokości do 20 mln euro lub 4 proc. globalnego rocznego obrotu z poprzedniego roku finansowego.
- Jedną z ważniejszych zmian z perspektywy przedsiębiorców jest konieczność wyczerpującego informowania klientów w zrozumiały i przystępny sposób o tym, jak ich dane są przetwarzane, czyli np. czy i do jakich krajów są transferowane i przez jaki czas pozostają w bazach danych. W praktyce oznacza to, że informacja mówiąca, iż dane przetwarzane są np. dla celów marketingowych czy rekrutacyjnych przestaje być wystarczająca – wyjaśnia Marcin Lewoszewski, radca prawny w zespole prawa nowych technologii kancelarii CMS.
- Przedsiębiorcy zobowiązani zostali teraz także do bardzo starannego wybierania podmiotów, którym powierzają przetwarzanie danych np. w związku z usługami kadrowo-płacowymi czy analizą danych – kontynuuje Marcin Lewoszewski.
Jego zdaniem, dwa lata jakie ustawodawca pozostawił firmom na przygotowanie się do nowych regulacji - są niezbędne ze względu na skalę zmian obejmujących m.in.: konieczność weryfikacji systemów IT, z których korzystają przedsiębiorcy, czy też poinformowanie klientów o nowych zasadach przetwarzania ich danych, jak też wprowadzenie nowego procesu w przedsiębiorstwie – oceny wpływu przetwarzania danych na prywatność.
- Ze względu na skalę zmian, potrzebne może być stworzenie interdyscyplinarnych zespołów ekspertów prawnych i technologicznych, które przeanalizują wpływ nowych regulacji na działalność przedsiębiorstwa. W pierwszej kolejności należy przyjrzeć się procesom biznesowym, istniejącej dokumentacji oraz oprogramowaniu używanemu do przetwarzania danych i ocenić ich zgodność z nowymi przepisami - wyjaśnia Kozyra.
Jak wynika z badania przeprowadzonego przez kancelarię CMS na ponad 100 przedsiębiorstwach, jedynie ok. 15 proc. badanych przedsiębiorców w Polsce podjęło już jakiekolwiek działania w swoich organizacjach, aby przygotować firmy na nowe wyzwania, podczas gdy zdecydowana większość respondentów (ok. 75 proc.) ogranicza się co najwyżej do monitoringu zmian prawnych w zakresie zarządzania danymi osobowymi.
85 proc. ankietowanych wyraża potrzebę bliższych informacji na temat praktycznych konsekwencji wprowadzanych zmian. Również większość respondentów uważa wprowadzane regulacje za na tyle istotne, aby zaangażować zarząd firmy w proces zmian w swoich organizacjach.
Zarząd zaangażowany w zmiany.
Udział zarządu ankietowani widzą w procesie identyfikacji kluczowych ryzyk, jak również ze względu na potrzebę uwzględnienia nowego podejścia do danych osobowych w kulturze organizacyjnej firmy, a także jako ważnego elementu zarządzania ryzykiem w przedsiębiorstwie.
Dodatkowo, prawie połowa respondentów uważa wprowadzone zmiany za na tyle rozległe, że zamierza skorzystać ze wsparcia firm zewnętrznych.
Firmy będą się wspierać we wprowadzaniu zmian usługami firm zewnętrznych.
Zdaniem respondentów, sprzedaż, marketing i IT są tymi działami w przedsiębiorstwie, które muszą podjąć największy wysiłek, aby przygotować się do zmian. Jedynie ok. 40 proc. widzi potrzebę dostosowania się po stronie działów czy procesów HR, a jeszcze mniej w obszarze finansów (poniżej 20 proc.).
Respondenci zapytani o konkretne plany informowania w ramach własnej organizacji pracowników o zmianach w podejściu do danych osobowych, rozważają przede wszystkim przekazywanie informacji poprzez Intranet (ponad 50 proc.) lub doszkalanie pracowników (45 proc.). Jednocześnie prawie ¼ nie ma planów lub wiedzy w zakresie planowanych działań.
Część przedsiębiorców ma zamiar doszkalać pracowników w zakresie zmian w prawie ochrony danych osobowych.
Jak pokazuje badanie, w nowych przepisach ankietowani przedsiębiorcy widzą przede wszystkim wzrost kosztów prowadzenia działalności biznesowej – taką obawę podziela prawie 80 proc. respondentów.
Zapytani o korzyści ze wzmożonej ochrony danych osobowych, ankietowani wskazują na wzrost zaufania klientów (ok. 40 proc.) oraz ograniczenie ryzyka prawnego (prawie 30 proc.). Wśród innych korzyści z zaostrzenia podejścia do ochrony danych osobowych pojawia się także: zwiększenie przewagi konkurencyjnej oraz urealnienie ochrony danych.
Zapytani o powody dostosowywania się do nowych przepisów respondenci podają dość oczywiste w tej sytuacji ryzyko sankcji finansowych i ryzyko regulacyjne (prawie 90 proc.). Na dalszych miejscach znalazło się ryzyko reputacyjne (ok. 75 proc.) oraz oczekiwania klientów (ok. 50 proc. wskazań). Jedynie ok. 30 proc. respondentów podchodzi do zmian proaktywnie, zwracając uwagę na korzyści z komercyjnego wykorzystania danych osobowych.
Poniżej przedstawiamy przykładowe zmiany w zakresie danych osobowych obowiązujące po 25 maja:
• Nowe przepisy wymagają od przedsiębiorców, by o wszystkich przypadkach naruszenia danych informowali Generalnego Inspektora Ochrony Danych Osobowych (GIODO), a niekiedy także zainteresowane osoby (np. klientów), których dane dotyczą. Wszelkie nieprawidłowości w tym zakresie trzeba będzie zgłosić organowi nadzorczemu (GIODO) bez zbędnej zwłoki, jeżeli to możliwe – nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia. Dotyczy to nie tylko takich przypadków, gdy dane zostaną na przykład bezprawnie opublikowane w Internecie, ale też sytuacji, kiedy zgubiony zostanie pendrive z danymi czy dane zostaną skasowane.
• Nowe prawo dopuszcza profilowanie oparte na automatycznym przetwarzaniu danych dopiero po uzyskaniu zgody zainteresowanego, chyba że profilowanie jest konieczne do zawarcia lub wykonania umowy. Regulacja nakazuje informowanie konsumentów o tym, że podlegają oni profilowaniu.
• Wszystkie osoby, których dane przetwarzane są przez firmę, na przykład pracownicy czy klienci, muszą być w znacznie szerszym zakresie niż dotychczas informowane o tym, co się dzieje z ich danymi. Przedsiębiorcy będą musieli zadbać o przejrzystość, rzetelność i czytelność tych informacji.
• Administratorzy danych będą mogli zawierać umowy o powierzenie przetwarzania danych tylko z takimi podmiotami, które gwarantują właściwe wdrożenie przepisów rozporządzenia, m.in. stosują środki bezpieczeństwa adekwatne do ryzyka związanego z przetwarzaniem i regularnie monitorują skuteczność zasobów technicznych oraz organizacyjnych, mających zapewnić bezpieczeństwo.
• Nowa regulacja zmienia rolę administratora bezpieczeństwa informacji. Według rozporządzenia zastąpi go inspektor ochrony danych. Jeden inspektor będzie mógł działać w więcej niż jednym przedsiębiorstwie tylko wówczas, gdy każda z tych firm będzie mogła łatwo nawiązać z nim kontakt. To powinno usprawnić funkcjonowanie grup kapitałowych, które koordynują działania zmierzające do ochrony danych.
• Katalog zadań inspektora został ujednolicony w skali całej Unii Europejskiej. Do jego obowiązków będzie należeć m.in. monitorowanie przestrzegania rozporządzenia poprzez działania i szkolenia pracowników danej spółki, jak również współpraca z Generalnym Inspektorem Ochrony Danych Osobowych (GIODO).
• Zgodnie z rozporządzeniem, powołanie inspektora ochrony danych w sektorze prywatnym będzie obowiązkowe w dwóch przypadkach: kiedy przetwarzanie danych ze względu na ich charakter, naturę, cel lub zakres wymaga regularnego i systematycznego monitorowania osób w szerokim zakresie, a także gdy na dużą skalę przetwarzane są dane szczególnej kategorii (dane wrażliwe) lub dane osobowe dotyczące wyroków skazujących. W pozostałych przypadkach powołanie inspektora ochrony danych będzie dobrowolne.
KOMENTARZE (0)