25 maja 2018 roku w życie wejdą zmiany, którymi zainteresować się powinien (a nawet musi!) każdy przedsiębiorca. Nieznajomość nowego rozporządzenia o ochronie danych osobowych może grozić nawet wielomilionowymi karami.

RODO – czym jest i kogo będzie dotyczyć?

Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO) lub też General Data Protection Regulation (GDPR) było przygotowywane przez Parlament Europejski i Radę Unii Europejskiej przez 4 lata. To całkiem nowe wytyczne odnoszące się do ochrony danych osobowych, które dotkną bez wyjątku wszystkie przedsiębiorstwa funkcjonujące na terenie UE.

28 maja zostaną wprowadzone ujednolicone zasady ochrony danych osobowych dla wszystkich krajów członkowskich. Celem jest modernizacja regulacji, które większym modyfikacjom nie uległy od 1995 roku. Można uznać, że na zmiany najwyższa pora – w końcu 23 lata w dobie ciągłej cyfryzacji to cała wieczność.

Brak sztywnych wytycznych

Choć RODO obejmie wszystkie kraje Unii Europejskiej, w istocie jest rozporządzeniem ogólnym. Wynika to z faktu, że należałoby dostosować wytyczne odrębnie do każdej z funkcjonujących branż. Przepisy nie tłumaczą „krok po kroku”, co przedsiębiorca powinien zrobić – to sprawia, że metody zabezpieczania danych każdy z właścicieli firm musi dopasować indywidualnie do siebie, jak i charakteru prowadzonej działalności.

Czy poradzę sobie z RODO?

Zmiany mają swoje lepsze, ale i gorsze strony. Jak wiadomo, każda z firm działa inaczej i trudno o jednakowe zasady dla sektora bankowego, ubezpieczeniowego czy też sklepów internetowych. RODO to nowa forma ochrony, cechująca się dużą otwartością. Niestety – niejasność przepisów może być powodem ich nieprzestrzegania, nawet nieświadomego.

Na szczęście, przedsiębiorcy nie pozostaną bezradni. Ministerstwo Cyfryzacji deklaruje pomoc firmom, polegającą na rekomendowaniu odpowiednich praktyk dla danych sektorów. W skrócie: najważniejszym zadaniem firm będzie zdobycie świadomości tego, jakimi danymi operują. Za odpowiednie ich zabezpieczenie musi zadbać pracownik urzędu ochrony danych osobowych.

Możliwość usuwania danych

Istotnym elementem RODO jest prawo konsumenta do wystąpienia o usunięcie jego danych z konkretnej bazy. Procedura nazywana jest „prawem do bycia zapomnianym”. Dane mogą być usunięte jednak tylko wówczas, gdy aktualnie nie pozostają w użyciu. Z drugiej strony, obligatoryjnym działaniem firm odtąd będzie informowanie konsumenta o tym, jakie dane są wykorzystywane i jaki będzie czas ich przetwarzania.

Łatwy transfer informacji

Dla nowego rozporządzenia charakterystyczne są również zmiany w kwestii przenoszenia danych. Odtąd każdy z nas będzie mógł wystąpić o przekazanie własnych danych w formie pliku pdf. To prosty sposób na to, by sprawdzić, jakie informacje o nas faktycznie wykorzystuje przedsiębiorca. Wygodną możliwością okaże się również prośba o przesłanie danych osobowych bezpośrednio do innej instytucji (np. wówczas, gdy chcemy, by został nam udzielony kredyt). Ma to ograniczyć zbędną „papierologię” ale i skrócić czas załatwiania wielu, dotychczas czasochłonnych spraw urzędowych, czy finansowych. Sprawny transfer danych między instytucjami będzie możliwy jednak tylko wtedy, gdy wszystkie zostaną zaopatrzone w odpowiedni system, który pozwoli na ich kompatybilność.

IP i ciasteczka danymi osobowymi?

RODO poszerza pojęcie danych osobowych o kolejne elementy – adresy IP i pliki cookies. Jeśli w danej firmie dojdzie do ataku hakerskiego, ta obowiązkowo musi powiadomić inspektora ochrony danych osobowych w ciągu 72 godzin od zajścia. Według wielu ekspertów, niewielkie doświadczenie polskich przedsiębiorców w kwestii reagowania na takie naruszenia może okazać się problematyczne. Dodatkowo, każda z firm musi zaplanować własną strategię ochrony danych w podobnych sytuacjach. Kradzieże danych osobowych w Polsce nadal rzadko są zgłaszane, jednak istnieje szansa, że nowe rozporządzenie może zmniejszyć liczę cyberprzestępstw.

Gigantyczne kary

Niestosowanie się do rozporządzenia niesie ze sobą ryzyko ogromnych kar nakładanych na przedsiębiorców. Błąd może nas kosztować nawet do 20 milionów euro lub 4% rocznego obrotu firmy. Dokładna wysokość kar będzie ustalana w zależności od przewinienia, przy czym niższe stawki będą dotyczyły administracji publicznej.

Jak widać – warto nabyć maksimum informacji na temat RODO, zanim rozporządzenie wejdzie w życie. Choć jednolite dla państw UE przepisy docelowo ułatwią przedsiębiorstwom życie, niesprecyzowane reguły mogą okazać się nie lada problemem. Wiele zależy od deklarowanej pomocy resortu, w której powinny zawierać się nie tylko ogólne porady, ale i kursy dla właścicieli firm.