Ogólne rozporządzenie o ochronie danych (RODO), które obowiązuje wszystkich polskich przedsiębiorców przetwarzających dane osobowe, będzie w pełni stosowane od 25 maja 2018 r.

Jest ono ogromnym wyzwaniem dla firm, zarówno pod względem kosztów, jak też zasobów ludzkich – twierdzą eksperci PwC. Rozporządzenie nakłada dodatkowe obowiązki w zakresie ochrony danych osobowych, nie określając przy tym dokładnej ścieżki postępowania. Naruszenie przepisów będzie wiązać się z ryzykiem nałożenia na przedsiębiorstwa kary finansowej do 20 mln euro lub 4% wartości rocznego obrotu przedsiębiorstwa.

24 maja 2016 r. weszło w życie rozporządzenie UE, które zmienia przepisy o ochronie danych osobowych.

Rozporządzenie jest stosowane wprost, dlatego jest wiążącym prawem dla wszystkich przedsiębiorców (i zastąpi przepisy polskiej ustawy o ochronie danych osobowych). Obecnie trwa okres ustanowiony dla przedsiębiorców na wdrożenie wymagań rozporządzenia, które w pełni stosowane będzie od 25 maja 2018 roku.

Nowe prawo wprowadzi wiele zmian w podejściu do ochrony osobowych. Konieczne będzie m.in. uwzględnienie ochrony danych osobowych już w fazie projektowania rozwiązań informatycznych. Obowiązkowe będzie także rejestrowanie czynności przetwarzania danych osobowych, a także przeprowadzania analizy skutków planowanych operacji dla ochrony danych osobowych. Dodatkowo, administratorzy danych osobowych będą zobowiązani do zawiadamiania organu ochrony danych o naruszeniu przepisów.

Naruszenie przez przedsiębiorcę przepisów RODO będzie wiązać się z ryzykiem nałożenia na kary finansowej do 20 mln euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa. Jednak, jak podkreślają eksperci PwC, ryzyko finansowe to nie jedyne zagrożenie. Równie ważne są także ryzyko operacyjne (ewentualne problemy z działalnością na terenie Unii Europejskiej) oraz ryzyko reputacyjne, związane z utratą zaufania klientów.

Jak przygotować się do nowych obowiązków?

Wymagania zawarte w Ogólnym rozporządzeniu o ochronie danych mają wpływ na bardzo wiele obszarów działalności firmy. Nie dotyczą tylko działu prawnego, ale również marketingu, HR-u czy obsługi klienta. Jak się przygotować do nowych obowiązków?

Przygotowanie warto zacząć od oceny stanu obecnego u przedsiębiorcy w kontekście sposobu, zakresu i podstawy prawnej przetwarzania danych osobowych. Istotnym elementem tego procesu będzie także inwentaryzacja danych, czyli ustalenie, jakie dane osobowe, jak, gdzie i po co są wykorzystywane przez przedsiębiorcę. Analizy te umożliwią przygotowanie wykazu luk w sposobie chronienia danych osobowych oraz zidentyfikowanie elementów ochrony, które powinny być zmienione lub uzupełnione w celu dostosowania do wymagań Ogólnego rozporządzenia o ochronie danych. Kolejnym krokiem będzie podjęcie opracowanych działań wdrożeniowych i naprawczych, w tym zaplanowanie ciągłego procesu weryfikacji i uwzględniania ochrony danych osobowych.