We­dług ba­da­nia prze­pro­wa­dzo­ne­go przez IDC nie­mal 80% osób de­cy­zyj­nych z dzia­łów IT w fir­mach nie jest w pe­łni świa­do­mych kon­se­kwen­cji Roz­po­rządze­nia o Och­ro­nie Da­nych Oso­bo­wych lub w ogóle nie sły­sza­ło o RODO (ang. GDPR). Spo­śród po­zo­sta­łych 20% tyl­ko jed­na pi­ąta spe­łnia no­we wy­mo­gi, 59% wci­ąż pra­cu­je nad wdro­że­niem od­po­wied­nich zmian, a 21% przy­zna­je, że nie jest przy­go­to­wa­na.

No­we po­jęcie da­nych oso­bo­wych
RODO nie­ja­ko roz­sze­rza po­jęcie da­nych oso­bo­wych (PII – Per­so­nal Iden­ti­fia­ble In­for­ma­tion) – do tej po­ry do­ty­czy­ło ono głów­nie imion i na­zwisk, ad­re­sów, dat uro­dze­nia, e-ma­ili itp. We­dług no­we­go roz­po­rządze­nia da­ne oso­bo­we to rów­nież nu­me­ry ID, in­for­ma­cje do­ty­czące lo­ka­li­za­cji, wska­źni­ki od­no­śnie zdro­wia fi­zycz­ne­go i psy­chicz­ne­go, sta­tu­su ma­jąt­ko­we­go oraz spo­łecz­ne­go, a na­wet da­ne ge­ne­tycz­ne czy bio­me­trycz­ne, które po­mo­gły­by zi­den­ty­fi­ko­wać kon­kret­ną oso­bę.

Ja­kie głów­ne wy­mo­gi mu­szą spe­łnić fir­my?
1. Głów­nym wy­mo­giem jest za­pew­nie­nie zgod­no­ści prze­twa­rza­nia da­nych z pra­wem. Na­le­ży zwe­ry­fi­ko­wać ka­żdy pro­ces, w którym po­ja­wia­ją się da­ne oso­bo­we, a na­stęp­nie usta­lić pod­sta­wę ich prze­twa­rza­nia, np. zgo­da mo­że być udzie­lo­na w okre­ślo­nym ce­lu, być wa­run­kiem wy­ko­na­nia da­nej umo­wy lub wy­ni­kać z obo­wi­ąz­ku praw­ne­go. Ko­niecz­ne jest też opra­co­wa­nie klau­zul in­for­ma­cyj­nych dla osób, których da­ne są po­zy­ski­wa­ne.

2. Ko­lej­ny wy­móg mówi, że da­ne mo­gą być po­zy­ski­wa­ne tyl­ko w kon­kret­nych, praw­nie uza­sad­nio­nych ce­lach. Ozna­cza to, że nie mo­żna ich da­lej prze­twa­rzać w spo­sób, który by­łby nie­zgod­ny z ty­mi ce­la­mi. Da­ne mu­szą być pra­wi­dło­we i w ra­zie po­trze­by ak­tu­ali­zo­wa­ne. Ta­kie, które nie są pra­wi­dło­we, mu­szą być nie­zwłocz­nie usu­ni­ęte lub spro­sto­wa­ne. W wie­lu fir­mach ko­niecz­ny będzie za­tem do­kład­ny prze­gląd da­nych, które uda­ło się zgro­ma­dzić na prze­strze­ni ostat­nich lat.

3. Przed­si­ębior­stwa będą mu­sia­ły rów­nież zwe­ry­fi­ko­wać i usta­lić mak­sy­mal­ny czas na prze­cho­wy­wa­nie po­szcze­gól­nych ro­dza­jów da­nych, po­nie­waż we­dług wy­tycz­nych nie mo­gą one po­zo­sta­wać w po­sia­da­niu fir­my dłu­żej niż jest to nie­zbęd­ne dla re­ali­za­cji kon­kret­ne­go ce­lu.

– Prze­de wszyst­kim or­ga­ni­za­cje po­win­ny do­kład­nie spraw­dzić, ja­kie ka­te­go­rie da­nych prze­cho­wu­ją i czy są one wy­ko­rzy­sty­wa­ne do wła­ści­wych ce­lów. Ko­lej­ny krok to zwe­ry­fi­ko­wa­nie, kto ma do­stęp do da­nych i czy są one bez­piecz­nie prze­cho­wy­wa­ne – ko­niecz­na jest re­wi­zja po­li­ty­ki cy­ber­bez­pie­cze­ństwa. War­to przyj­rzeć się te­mu, jak dzia­ła obieg in­for­ma­cji we­wnątrz fir­my i w ko­ńcu, kto jest od­po­wie­dzial­ny za za­rządza­nie da­ny­mi – mówi Mar­cin Czar­nec­ki, Kon­sul­tant ds. Och­ro­ny Da­nych Oso­bo­wych w fir­mie Ko­ni­ca Mi­nol­ta Bu­si­ness So­lu­tions Pol­ska.

W co war­to za­in­we­sto­wać?
Aby le­piej przy­go­to­wać się do RODO, war­to roz­wa­żyć opra­co­wa­nie wła­snej po­li­ty­ki zgod­nej z roz­po­rządze­niem w na­stępu­jących ob­sza­rach:

- Za­rządza­nie da­ny­mi. Na­le­ży zre­wi­do­wać, czy prze­cho­wy­wa­ne w fir­mie da­ne oso­bo­we są bez­piecz­ne, jak są prze­cho­wy­wa­ne, mo­ni­to­ro­wać prze­twa­rza­nie da­nych oraz po­ziom do­stępu do nich. War­to roz­wa­żyć roz­wi­ąza­nia scen­tra­li­zo­wa­ne, które są przy­dat­ne rów­nież w sy­tu­acji, kie­dy klient za­rząda usu­ni­ęcia wszel­kich da­nych na je­go te­mat. Przy­kła­dem ta­kie­go roz­wi­ąza­nia jest plat­for­ma apli­ka­cyj­na OnBa­se Hy­land, która in­te­gru­je sys­te­my, in­for­ma­cje, do­ku­men­ty i pro­ce­sy bi­zne­so­we w ca­łej or­ga­ni­za­cji. Plat­for­ma jest od nie­daw­na do­stęp­na w Pol­sce dla klien­tów Ko­ni­ca Mi­nol­ta i dzia­ła w spo­sób zgod­ny (Com­plian­ce) z RODO;
- Opro­gra­mo­wa­nie. Wy­ko­rzy­sty­wa­ne w fir­mie opro­gra­mo­wa­nie po­win­no za­pew­niać od­po­wied­ni po­ziom bez­pie­cze­ństwa, jak rów­nież ła­twe od­szu­ki­wa­nie i ka­ta­lo­go­wa­nie da­nych oso­bo­wych;
- Part­ne­rzy i do­staw­cy usług. Ko­niecz­ne jest zwe­ry­fi­ko­wa­nie, czy wszyst­kie podmio­ty ze­wnętrz­ne, z który­mi fir­ma współpra­cu­je, dzia­ła­ją zgod­nie z RODO, a ta­kże za­pew­nie­nie od­po­wied­nie­go prze­bie­gu in­for­ma­cji mi­ędzy fir­mą a ty­mi podmio­ta­mi;
- Czyn­nik ludz­ki. Su­ge­ro­wa­ne jest – szcze­gól­nie w wi­ęk­szych fir­mach – za­trud­nie­nie lub od­de­le­go­wa­nie oso­by od­po­wie­dzial­nej za bez­pie­cze­ństwo da­nych, jak rów­nież za­an­ga­żo­wa­nie jej do wspól­nych dzia­łań nie tyl­ko z dzia­łem mar­ke­tin­gu i IT, ale ta­kże z dzia­łem HR, praw­nym czy fi­nan­so­wym;
- Pro­ce­sy. Na­le­ży zde­fi­nio­wać ja­sny plan dzia­ła­nia i ra­por­to­wa­nia po­ten­cjal­nych in­cy­den­tów zwi­ąza­nych z bez­pie­cze­ństwem prze­twa­rza­nia da­nych, umo­żli­wić klien­tom sko­rzy­sta­nie z pra­wa do „by­cia za­po­mnia­ny­m”, po­przez ca­łko­wi­te usu­ni­ęcie ich da­nych oso­bo­wych na żąda­nie (z uwzględ­nie­niem wszyst­kich pro­wa­dzo­nych w fir­mie re­je­strów) oraz za­dbać o ak­tu­ali­za­cję ich da­nych, kie­dy zaj­dzie ta­ka po­trze­ba. Bar­dzo istot­na jest rów­nież kwe­stia prze­no­sze­nia da­nych po­mi­ędzy fir­ma­mi. Po we­jściu w ży­cie no­we­go roz­po­rządze­nia klient będzie miał pra­wo po­pro­sić o prze­nie­sie­nie ich do in­ne­go podmio­tu i wó­wczas fir­ma będzie mu­sia­ła pod­jąć ta­kie dzia­ła­nie.

RODO już w ma­ju 2018
Ogól­ne Roz­po­rządze­nie o Och­ro­nie Da­nych Oso­bo­wych (RODO, ang. GDPR) za­cznie obo­wi­ązy­wać od 25 ma­ja 2018 r. Obec­nie wi­ęk­szo­ść firm jest na­dal w fa­zie ana­li­zo­wa­nia prze­pi­sów oraz im­ple­men­ta­cji zmian ko­niecz­nych do spe­łnie­nia wy­mo­gów no­we­go roz­po­rządze­nia.

W przy­pad­ku nie­spe­łnie­nia wy­mo­gów RODO fir­ma zo­sta­nie ob­ci­ążo­na ka­rą w dwóch prze­dzia­łach kwo­to­wych: do 10 mi­lio­nów eu­ro lub 2% ca­łko­wi­te­go rocz­ne­go obro­tu przed­si­ębior­stwa (za­sto­so­wa­nie ma kwo­ta wy­ższa) oraz do 20 mi­lio­nów eu­ro lub 4% ca­łko­wi­te­go rocz­ne­go obro­tu.

Nie­do­sto­so­wa­nie się do wy­mo­gów RODO mo­że na­ra­zić fir­my nie tyl­ko na ka­ry fi­nan­so­we, ale rów­nież na wstrzy­ma­nie re­ali­za­cji dzia­łań, a przez to wy­dłu­że­nie tr­wa­nia pro­jek­tów, zwi­ęk­sze­nie kosz­tów in­we­sty­cji czy utra­tę re­pu­ta­cji.

Na pod­sta­wie in­for­ma­cji fir­my Ko­ni­ca Mi­nol­ta Bu­si­ness So­lu­tions Pol­ska

• Prze­czy­taj też: Pol­skie Brac­two Ka­wa­le­rów Gu­ten­ber­ga wspie­ra czy­tel­ni­cze pre­zen­ty dla no­wo­rod­ków
• Prze­czy­taj też: Ko­ni­ca Mi­nol­ta Ac­cu­rio­Jet KM-1 już w Pol­sce – cy­fro­wa re­wo­lu­cja w for­ma­cie B2+
• Prze­czy­taj też: Ko­ni­ca Mi­nol­ta wpro­wa­dza w Eu­ro­pie plat­for­mę do za­rządza­nia tre­ścią Hy­land OnBa­se
• Prze­czy­taj też: Cer­ty­fi­ka­ty eko­lo­gicz­ne urządzeń Bro­ther
• Prze­czy­taj też: No­wy ra­port Smi­thers Pi­ra po­ka­zu­je: ma­szy­ny dru­ku­jące fir­my He­idel­berg są naj­bar­dziej pro­duk­tyw­ne i ge­ne­ru­ją naj­ni
• Prze­czy­taj też: Ko­ni­ca Mi­nol­ta zwi­ęk­sza wzrost na ryn­ku dru­ku prze­my­sło­we­go
• Prze­czy­taj też: Ko­ni­ca Mi­nol­ta otwie­ra w Pol­sce no­wo­cze­sne Cen­trum Po­ka­zo­we
• Prze­czy­taj też: Ksz­ta­łto­wa­nie cen dru­ku ety­kiet – ra­port
• Prze­czy­taj też: Ca­non świ­ętu­je 20. rocz­ni­cę wpro­wa­dze­nia na ry­nek ska­ne­ra do­ku­men­tów
• Prze­czy­taj też: Nie­wy­ko­rzy­sta­ny po­ten­cjał: 30% pra­cow­ni­ków biu­ro­wych uni­ka uży­wa­nia tech­no­lo­gii