Dwa lata brzmią jak długi czas, jednak dla wielu firm termin wdrożenia ogólnego rozporządzenia o ochronie danych jest zbyt krótki. Pod koniec 2017 r. jedna piąta firm nie miała jeszcze do czynienia z rozporządzeniem, wynika z badania przeprowadzonego przez stowarzyszenie cyfrowe. Odważne 13% stwierdziło, że nie chce mieć do czynienia z przepisami o ochronie danych osobowych, pomimo wysokich sankcji, jakie grożą za ich naruszenie. Co sprawia, że wdrożenie jest tak trudne?
Wypełnianie prawa dostępu do RODO
Osoby, których dane osobowe są przetwarzane, mają prawo dostępu (art. 15), mogą zapytać podmiot przetwarzający dane, czy przetwarza on (zapisuje, gromadzi, przechowuje, konsultuje, modyfikuje) ich dane. Jeżeli ma miejsce przetwarzanie danych, administrator musi być w stanie udzielić informacji o następujących kwestiach:
- cele przetwarzania danych
- kategorie danych
- odbiorcy lub kategorie odbiorców
- okres przechowywania danych lub kryteria dotyczące okresu przechowywania
- pochodzenie danych, które nie zostały zebrane od osób, których dane dotyczą
- profilowanie
Osoba fizyczna musi również zostać poinformowana o przysługujących jej prawach:
- prawo do sprostowania
- prawo do usunięcia danych
- prawo do żądania ograniczenia przetwarzania danych
- prawo do sprzeciwu
- prawo do złożenia skargi do organu nadzorczego
Podmiot przetwarzający dane powinien być w stanie dostarczyć kopię danych osobowych w odpowiednim czasie, zapewniając, że dane są kompletne i dokładne. Kopia może zostać przesłana na piśmie na adres kontaktowy znajdujący się w aktach sprawy. Kopia pisma powinna być przechowywana w archiwum dla celów dokumentacyjnych. Ponieważ dane nie mogą być udostępniane nieupoważnionym stronom trzecim, należy zweryfikować tożsamość wnioskodawcy. Jeżeli istnieje uzasadniona wątpliwość co do tożsamości osoby, może ona zażądać dodatkowych informacji w celu potwierdzenia tożsamości. Jeżeli dana osoba dostarczy kopię swojego dowodu tożsamości, należy ją poinformować, że dane, które nie są niezbędne do identyfikacji (np. kolor oczu, wzrost) zostaną usunięte.
Przechowywanie danych dłużej niż to konieczne
Dane osobowe muszą być przechowywane tak długo, jak to konieczne do celów, dla których są przetwarzane. Po spełnieniu celu przetwarzania i wygaśnięciu prawnego lub umownego okresu przechowywania, dane muszą zostać usunięte. Podmioty przetwarzające dane powinny rejestrować cele, dla których przetwarzają dane i kiedy okres ten wygasa.
Przetwarzanie danych dokumentów
Podmioty przetwarzające dane muszą prowadzić rejestr czynności przetwarzania:
- w jaki sposób zarządzane są dane osobowe klientów, pracowników, kandydatów, osób zainteresowanych lub osób kontaktowych?
- jakie procedury obowiązują przy przetwarzaniu danych?
- kto ma uprawnienia dostępu?
Szyfrowanie danych
Nieupoważnione osoby trzecie nie mogą mieć dostępu do danych osobowych. Szyfrowanie danych zapewnia ochronę przed nieuprawnionym dostępem. Odpowiednie szyfrowanie sprawia, że dane na własnym komputerze są nieczytelne dla nieuprawnionych współużytkowników lub osób, które chcą uzyskać do nich nieautoryzowany dostęp. Jednym ze sposobów szyfrowania plików jest zabezpieczanie dokumentów pakietu Office hasłem i zaciemnianie wrażliwych informacji. Użytkownicy powinni być świadomi, że odpowiednie dane mogą być również zawarte we właściwościach dokumentu. Istnieją różne programy szyfrujące do szyfrowania plików. Aby lepiej chronić wiadomości e-mail w trakcie ich przesyłania, użytkownicy mogą aktywować szyfrowanie (TSL/SSL). Szyfruje ono połączenie między serwerami podczas transmisji. W przypadku szyfrowania typu end-to-end szyfrowana jest również treść wiadomości e-mail. W procesie szyfrowania muszą brać udział zarówno nadawca, jak i odbiorca wiadomości e-mail.
Deklaracja zobowiązania
W przypadku dostępu do komputera przez zewnętrznych usługodawców (np. techników komputerowych) istnieje ryzyko, że uzyskają oni nieuprawniony dostęp do danych. Firmy mają możliwość sporządzenia oświadczenia o zobowiązaniu, w którym usługodawca deklaruje, że zobowiązuje się do ochrony danych osobowych i będzie przestrzegać zasad określonych w RODO. Wzory umów o powierzenie przetwarzania danych można znaleźć np. w Internecie. Konkretnych informacji na temat unijnego rozporządzenia o ochronie danych osobowych z 2018 roku i jego wpływu na dostawców usług personalnych dostarcza seminarium "Update EU General Data Protection Regulation in Temporary Employment".
RODO
Od 25 maja 2018 r. podmioty przetwarzające dane osobowe w obrocie gospodarczym muszą spełniać wymogi ogólnego rozporządzenia o ochronie danych Unii Europejskiej. W tym samym czasie weszła w życie nowa federalna ustawa o ochronie danych, która zastępuje starą. W praktyce oznacza to, między innymi, że podmioty przetwarzające dane muszą przestrzegać prawa osób, których dane dotyczą, do informacji i chronić dane przed nieuprawnionym dostępem osób trzecich (np. poprzez procedury szyfrowania). Procedury przetwarzania muszą być udokumentowane.