Rok po RODO
26 maja mija rok od wprowadzenia RODO. Co się wydarzyło? Czego nauczyliśmy się w ciągu ostatnich 12 miesięcy? Czy firmy mają pełną kontrolę nad wymogami dotyczącymi zbierania i przetwarzania danych?
Ostatnie miesiące przyniosły wiele przykładów egzekwowania przepisów RODO w różnych krajach i branżach, w tym wysokie grzywny nałożone na gigantów internetowych. Istnieje jednak kilka innych przypadków mniejszych, mniej znanych organizacji ilustrujących, jak poważnie naruszenia są traktowane przez organy ochrony danych w całej Europie. Najbardziej znanym przykładem jest grzywna w wysokości 943 000 zł wydana przez polski Urząd Ochrony Danych Osobowych (UODO) pod koniec marca za niepoinformowanie osób, że ich dane będą przetwarzane.
Ostatnio UODO nałożył kolejną karę w wysokości 55 750 zł na jeden ze związków sportowych, który upublicznił w sieci nie tylko imiona i nazwiska, ale także dokładne adresy zamieszkania i numery PESEL sędziów, którym przyznano licencje sędziowskie.
Z czym ciągle mamy problem?
Nawet rok po wejściu w życie RODO nadal istnieje wiele mitów i błędnych przekonań na temat przepisów rozporządzenia. Obowiązek informacyjny, pozyskiwanie zgody, realizacja praw osób, których dane dotyczą – to zaledwie kilka kwestii, z którymi borykają się przedsiębiorcy nie tylko w Polsce, ale i w całej Europie. Wydaje się jednak, że najwięcej problemów sprawia wypełnienie rejestru czynności przetwarzania. Prowadzenie rejestru ma na celu zapewnienie zgodności z zasadami i warunkami przetwarzania danych osobowych, a dzięki zebranym w tym rejestrze informacjom przedsiębiorcy mogą ocenić, w jakim zakresie dotyczą ich obowiązki wynikające z RODO. Aby jednak właściwie wypełnić rejestr, należy zidentyfikować wszystkie procesy przetwarzania danych osobowych w przedsiębiorstwie, co w wielu przypadkach nastręcza przedsiębiorcom niemałych problemów.
Co nowego?
Od 4 maja 2019 roku obowiązuje nowa ustawa sektorowa, która wprowadziła zmiany do blisko 170 aktów prawnych w tym m.in. kodeksu pracy, ustawy o świadczeniu usług drogą elektroniczną, prawa zamówień publicznych, prawa budowlanego, ustawy o działalności ubezpieczeniowej i reasekuracyjnej oraz ustawy o obrocie instrumentami finansowymi.
Jakie wyzwania dla przedsiębiorców?
Najistotniejsza zmiana wynikająca z ustawy sektorowej sprowadza się do obowiązku dostosowania wszelkich zgód wyrażanych na podstawie ustawy o świadczeniu usług drogą elektroniczną (np. zgoda na mailing marketingowy), jak i zgód wyrażanych na podstawie prawa telekomunikacyjnego (np. zgoda na telemarketing) do wymogów RODO.
Praktycznie każdego przedsiębiorcę obejmą również nowe regulacje z zakresu prawa pracy, jak np. nowe wytyczne dotyczące zbierania danych w procesie rekrutacyjnym lub obostrzenia w zakresie monitoringu.
Jak możemy Państwu pomóc?
- Przeprowadzimy audyty powdrożeniowe – czyli sprawdzimy, czy i jakich aktualizacji dokumentacji Państwo potrzebują.
- Przeprowadzimy audyt działalności z perspektywy prawa ochrony danych osobowych (w tym zgodności z RODO i przepisami sektorowymi).
- Zweryfikujemy, z perspektywy ochrony danych osobowych, spójność przyjętych rozwiązań, procedur, procesów w związku z wdrożeniem przepisów sektorowych (np. MIFID, PSD2, e-privacy, Al, AML) oraz usługi audytu powdrożeniowego w tym zakresie.
- Zaopiniujemy nowe procesy biznesowe i rozwiązania informatyczne z perspektywy zgodności z przepisami o ochronie danych osobowych.
- Opracujemy struktury przepływu danych w ramach procesów biznesowych.
- Sporządzimy i zweryfikujemy dokumentację wewnętrzną związaną z przetwarzaniem danych osobowych, w tym polityk prywatności, instrukcji, procedur wewnętrznych i dokumentowania obowiązków wynikających z RODO pod kątem zasady oceny ryzyka i zasady rozliczalności.
- Przeprowadzimy dedykowane szkolenia sektorowe i przygotowujemy instrukcje z zakresu ochrony danych osobowych.
- W razie potrzeby będziemy Państwa reprezentować w postępowaniach przed Prezesem Urzędu Ochrony Danych Osobowych.
Zapraszamy do kontaktu z nami w razie jakichkolwiek pytań.
