Czym grozi nieprzestrzeganie przepisów RODO?
Rozporządzeniem o ochronie danych osobowych objęte są wszystkie podmioty znajdujące się na terenie Unii Europejskiej, które w wyniku prowadzonej działalności przetwarzają dane osobowe. Wielkość instytucji nie ma w tym wypadku znaczenia - RODO obowiązuje zarówno w dużych przedsiębiorstwach, jak i tych jednoosobowych. Kluczowe jest zatem, aby każdy administrator danych dokładnie rozumiał swoje obowiązki i potrafił się z nich wywiązać tak, aby w razie kontroli firma bądź instytucja nie została obciążona karą za działania wbrew obowiązującym przepisom.
Należy zdawać sobie sprawę, że w razie stosowania praktyk niezgodnych z Rozporządzeniem o ochronie danych osobowych, organ nadzorczy może bez wcześniejszego upomnienia nałożyć karę pieniężną na dane przedsiębiorstwo lub instytucję. Wysokość otrzymanej kary uzależniona jest od kilku czynników, w tym:
-
skali naruszenia RODO,
-
umyślności bądź nieumyślności w postępowaniu administratora,
-
stopnia adekwatności stosowanych środków ochrony danych do panującego zagrożenia związanego z możliwością ich wycieku.
Kara finansowa to jednak nie jedyne konsekwencje, jakie mogą czekać przedsiębiorców nieprzestrzegających przepisów zawartych w Rozporządzeniu o ochronie danych osobowych. W przypadkach, gdy skala naruszenia RODO jest na tyle duża, że doprowadziła do poważnych szkód majątkowych lub niemajątkowych osób, których dane były przetwarzane, osoby fizyczne za to odpowiedzialne mogą ponieść odpowiedzialność karną. Chcąc się uchronić przed niepożądanymi konsekwencjami swoich działań, warto z bliska przyjrzeć się sytuacji w prowadzonej placówce i ocenić, czy stosowane w niej praktyki są zgodne z aktualnie panującymi przepisami oraz RODO.
Na czym polega wdrożenie RODO w firmie?
Każdy przedsiębiorca, któremu zależy na prowadzeniu działalności w zgodzie z prawem - a więc i uniknięciu kar finansowych -, powinien poważnie zastanowić się nad wdrożeniem RODO w swojej firmie. Wdrożenie RODO to proces polegający na wprowadzeniu w wybranej placówce nowych rozwiązań dotyczących przetwarzania danych osobowych. Zmiany te mają na celu dostosowanie się do aktualnie panujących przepisów, wraz z podniesieniem poziomu zabezpieczeń i przygotowaniem stosownej dokumentacji. Proces ten zazwyczaj poprzedza szczegółowa analiza funkcjonowania placówki - audyt RODO.
Wdrożenie RODO jest kluczowe dla każdej firmy i instytucji - to jedno z tych przedsięwzięć, bez których dana organizacja nie jest w stanie poprawnie funkcjonować. Należy sobie jednak zdawać sprawę, że cały proces nie jest prosty i nie kończy się na wypełnieniu kilku dokumentów. Skuteczne wdrożenie RODO opiera się przede wszystkim na rekomendacjach zawartych w raporcie poaudytowym, a także możliwościach organizacyjnych i finansowych danego przedsiębiorstwa. Przedstawiciel organizacji powinien już na początku się zastanowić, czy zamierza powołać w placówce Inspektora Ochrony Danych - jeśli tak, to musi on brać czynny udział we wszystkich pracach obejmujących wdrożenie RODO.
Stworzenie nowego stanowiska w firmie poprzez powołanie Inspektora Ochrony Danych nie jest jednak wymogiem obowiązującym wszystkich przedsiębiorców. Zgodnie z prawem, IOD musi zostać wyznaczony, jeśli:
-
Dana firma/organizacja ma status publiczny (z wyjątkiem sądów) bądź jest podmiotem prywatnym, który realizuje zadania publiczne (dostarczanie energii, wody, itp.),
-
Główna działalność przedsiębiorstwa oparta jest na procesie przetwarzania danych wrażliwych lub monitorowania osób na dużą skalę.
Wdrożenie RODO w firmie | Samodzielnie czy z pomocą specjalisty?
Część przedsiębiorców niekiedy decyduje się na samodzielne wdrożenie RODO w swojej firmie. Chęć redukcji kosztów często przysłania im wagę całego przedsięwzięcia, przez co na drodze mogą spotykać liczne problemy - bardzo często okazuje się, że powołany przez nich zespół nie posiada odpowiednich kompetencji w zakresie informatycznym oraz prawnym, przez co ostatecznie i tak zmuszeni są skorzystać z pomocy z zewnątrz.
Samodzielne wdrożenie RODO w firmie jest możliwe, jednak nie zawsze tak opłacalne, jak mogłoby się wydawać. W przypadku niedopatrzeń i popełnionych błędów, organ nadzorczy prawdopodobnie nałoży na organizację wysoką karę pieniężną, która znacznie będzie przewyższać koszty związane z zatrudnieniem zewnętrznego specjalisty do spraw ochrony danych. Dlatego też, przed podjęciem ostatecznej decyzji należy się poważnie zastanowić: czy moja firma jest w stanie podołać wyzwaniu?
Na tym etapie rozważań zazwyczaj większość przedsiębiorców stwierdza, że lepiej udać się po pomoc do specjalisty - i słusznie! Eksperci od RODO dysponują wiedzą i doświadczeniem, które pomagają podmiotom uchronić się przed nieprzyjemnymi konsekwencjami wynikającymi z działania niezgodnie z przepisami. Zatrudniając specjalistę zyskuje się pewność, że proces wdrożenia RODO zostanie dopięty na ostatni guzik, a organ nadzorczy nie będzie miał powodu do nałożenia na organizację kary finansowej.
Krótkim słowem podsumowania - wdrożenie RODO w firmie to przedsięwzięcie złożone, które wymaga posiadania dużej wiedzy - w szczególności w zakresie prawa. Jeżeli członkowie powołanego w tym celu zespołu nie mają kompetencji w tej dziedzinie, najlepszym rozwiązaniem będzie współpraca z zewnętrznym specjalistą do spraw ochrony danych.
Jak wygląda wdrożenie RODO dla firmy?
Jak zostało wspomniane wcześniej, proces wdrożenia RODO najczęściej poprzedzony jest audytem, który ma na celu wykrycie wszystkich nieprawidłowości w obszarze ochrony danych osobowych, a także wskazanie zaleceń dotyczących znalezionych problemów. To właśnie na tym dokumencie najczęściej bazują eksperci od RODO podczas wdrażania go w danej placówce.
Mając gotowy audyt RODO, można przystąpić do czynności właściwych. W pierwszej kolejności zazwyczaj powołuje się zespół, który zajmie się implementacją nowych procedur w poszczególnych działach przedsiębiorstwa - wdrożenie RODO w firmie jest bowiem przedsięwzięciem wymagającym zaangażowania wszystkich pracowników. Rolą zewnętrznego eksperta jest m.in. pokierowanie stworzonym zespołem, wykonanie fachowego projektu zabezpieczeń danych oraz zapewnienie sprawdzonej metodyki wdrożenia, gwarantującej powodzenie całego procesu.
Ponieważ Rozporządzenie o ochronie danych osobowych jasno mówi o konieczności zapewnienia bezpieczeństwa przetwarzanym informacjom, zazwyczaj w tym obszarze dochodzi do największych zmian w danym przedsiębiorstwie. Nowe zabezpieczenia dostosowywane są do poziomu zagrożenia panującego w placówce. Zazwyczaj są natury:
-
technologicznej - obejmują one, m.in. aktualizacje systemów komputerowych, wykonywanie kopii zapasowych danych oraz instalację stosownych programów antywirusowych,
-
fizycznej - polegają na instalacji monitoringu, wzmocnieniu ochrony oraz ograniczeniu dostępu osobom nieuprawnionym do pomieszczeń z danymi osobowymi,
-
organizacyjnej - to działania oparte na przydzieleniu stosownych uprawnień konkretnym osobom oraz rozpowszechnieniu odpowiednich regulaminów na terenie organizacji.
Wdrożenie RODO | Analiza ryzyka
Przed przystąpieniem do implementacji nowych zabezpieczeń danych trzeba ustalić, jakie rozwiązania sprawdzą się w danym przypadku najlepiej. Tylko, jak to zrobić? Na jakiej podstawie ustalić, które środki ochrony danych wdrożyć, aby zapewniały skuteczność, jednocześnie pokrywając się z wytycznymi zawartymi w RODO?
Każdy dobry Inspektor Ochrony Danych bądź ekspert RODO, wszystkie swoje działania poprzedzi sporządzeniem analizy ryzyka. Analiza ryzyka to dokument, który stanowi podstawę bezpieczeństwa danej organizacji lub firmy. Znaleźć w nim można oszacowany stopień zagrożenia związany z możliwością wycieku danych, ich nielegalnego wykorzystania przez osoby trzecie lub zniszczenia. Przykładowo, papierowa dokumentacja może być objęta ryzykiem spalenia w pożarze. Z kolei informacje przechowywane w chmurze narażone są na atak hakerski wynikający z niewystarczających zabezpieczeń plików. Do pozostałych zagrożeń zaliczyć możemy także:
-
ryzyko nieuprawnionego przeniesienia przetwarzanych danych na inny nośnik,
-
możliwość dostępu do pomieszczenia, w którym przetwarzane są dane osobowe przez osoby do tego nieuprawnione,
-
potencjalną szansę na ujawnienie bądź złamanie hasła dostępu do urządzenia, na którym przechowywane są dane osobowe.
Analiza ryzyka jest kluczowym i obowiązkowym elementem podczas wdrażania RODO. Ostatecznie to, jakie środki techniczne i organizacyjne zostaną zaimplementowane zależy od zakresu, kontekstu, charakteru i celu przetwarzania danych osobowych.
Wdrożenie RODO | Potrzebna dokumentacja
Jednym z najważniejszych działań podczas procesu wdrażania RODO w firmie jest sporządzenie odpowiedniej dokumentacji. Obowiązek ten zazwyczaj spoczywa na zatrudnionym, zewnętrznym specjaliście ds. ochrony danych, który posiada odpowiednią wiedzę i kompetencje, aby wszystko przygotować zgodnie z aktualnymi przepisami prawa. W skład wyżej wymienionej dokumentacji wchodzi:
-
polityka ochrony danych,
-
rejestr naruszeń ochrony danych,
-
procedura zgłaszania naruszeń do organów nadzorczych,
-
raporty oceniające skuteczność środków ochrony danych (jeśli wymagane),
-
rejestr czynności oraz kategorii czynności przetwarzania danych osobowych,
-
dokumentacja dotycząca wdrożonych środków organizacyjnych oraz technicznych w placówce.
Powyższe dokumenty, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem i przepływem danych osobowych, należy sporządzić obowiązkowo.
Warto dodać, że poza wyżej wymienionymi obowiązkowymi pozycjami, RODO zawiera również listę dokumentów mocno zalecanych i zalecanych, których sporządzenie nie jest wymagane, jednak skutecznie mogą one pomóc danemu przedsiębiorstwu poprawnie funkcjonować i trzymać się narzuconych przez Rozporządzenie o ochronie danych osobowych procedur. O jakich dokumentach mowa?
Wdrożenie RODO w firmie | Dodatkowe dokumenty
Chcąc być przygotowanym na wszelkie ewentualności, warto poprosić powołanego Inspektora Ochrony Danych lub zewnętrznego specjalistę ds. RODO o przygotowanie następującej dokumentacji:
-
instrukcji niszczenia danych,
-
schematu postępowania w przypadku cyberataku,
-
instrukcji korzystania z urządzeń mobilnego przetwarzania,
-
procedur postępowania w przypadku naruszenia bezpieczeństwa danych w przedsiębiorstwie,
-
wytycznych odnośnie postępowania podczas przekazywania danych zewnętrznym podmiotom.
Jeśli chodzi o dokumenty zalecane przez RODO, wyróżnić możemy ewidencję upoważnień oraz materiały informacyjne dla pracowników. Pierwsza pozycja występuje zazwyczaj w formie rejestru, a za jej uzupełnienie odpowiada administrator. W dokumencie tym znajdują się imiona i nazwiska osób posiadających zezwolenie do przetwarzania danych w wybranej placówce - taki spis umożliwia lepszą kontrolę nad liczbą pracowników, którzy otrzymali stosowne upoważnienia.
Materiały informacyjne dla pracowników z kolei to dokumenty, których celem jest podnoszenie świadomości personelu na temat istoty ochrony danych osobowych. Co ciekawe, Polityka Ochrony Danych Osobowych może pełnić rolę owego materiału informacyjnego, ze względu na zawartość szczegółowego opisu zasad przetwarzania informacji. Na ewentualną potrzebę stworzenia tego dokumentu wskazuje art. 24 ust. 2 RODO.
Wdrożenie RODO dla spółki | Szkolenia i audyt końcowy
Wdrożenie RODO to proces wieloetapowy, który zazwyczaj kończy się przeprowadzeniem szkolenia dla pracowników. Szkolenia te powinny odbyć się w sposób odrębny dla każdego działu firmy tak, aby za każdym razem położyć nacisk na inne kwestie, istotne w przypadku konkretnych sektorów działalności. Kluczowe jest, aby osoba prowadząca (zazwyczaj ekspert do spraw ochrony danych) posługiwała się prostymi przykładami i potrafiła swoją wiedzę w całości przekazać uczestnikom szkolenia. Po wydarzeniu, personel powinien:
-
wiedzieć czym są dane osobowe i jak je przetwarzać w sposób bezpieczny,
-
znać prawa osób fizycznych w zakresie ochrony danych,
-
mieć świadomość istnienia socjotechnik i związanych z nimi zagrożeń,
-
zdawać sobie sprawę, czym są naruszenia ochrony danych i jak się przed nimi chronić,
-
potrafić funkcjonować w nowoczesnym ekosystemie informatycznym (praca w trybie hybrydowym, korzystanie z social mediów, poczty elektronicznej).
RODO wdrożone, pracownicy przeszkoleni, pozostaje tylko jedno - audyt końcowy. Jego celem jest poddanie ocenie, czy wykryte w organizacji lub firmie uchybienia pod kątem Rozporządzenia o ochronie danych zostały odpowiednio potraktowane. Audyt końcowy to także doskonała okazja na ostateczną weryfikację, czy wszystkie założone cele zostały zrealizowane, czy nasz zespół przestrzega wszystkich obowiązkowych procedur a także, czy posiadamy całą wymaganą przez RODO dokumentację.
Wdrożenie RODO w Twojej firmie
Poprawne wdrożenie RODO w firmie polega nie tylko na odtwórczej implementacji przepisów prawa, ale przede wszystkim na realnym zaangażowaniu placówki w stworzenie własnego, niezawodnego systemu ochrony danych osobowych. Wielu przedsiębiorców - czy to ze względu na niewystarczające kompetencje w zakresie RODO, czy też niewiedzę powołanego przez siebie zespołu wdrożeniowego - nie jest w stanie poprowadzić całego przedsięwzięcia tak, aby zakończyło się sukcesem. Na szczęście, Ty nie musisz się już o to martwić. Jeżeli prowadzisz własną firmę i musisz wdrożyć w niej RODO ale nie wiesz, jak się do tego zabrać - chętnie Ci we wszystkim pomogę.
Nazywam się Agata Lasota-Jądrzak i jestem ekspertem do spraw ochrony danych osobowych. W branży działam już od blisko 23 lat, na bieżąco poszerzam także swoje kompetencje w zakresie prawnej ochrony informacji. W Twojej firmie kompleksowo przeprowadzę proces wdrożenia RODO w zgodzie z unijną reformą o ochronie danych osobowych. Sporządzę niezbędną dokumentację, w tym analizę ryzyka, procedury ochrony danych, czy też rejestr czynności ich przetwarzania. Poprowadzę również szkolenia dla personelu, aby mógł on w pełni zrozumieć zaistniałe w organizacji zmiany. Na koniec szkolenia każdy z pracowników otrzyma certyfikat, potwierdzający jego uczestnictwo w warsztatach.
W zakresie świadczonych przeze mnie usług mieści się również wykonanie audytu RODO - dokumentacji przedstawiającej zaistniałe w firmie uchybienia pod względem Rozporządzenia o ochronie danych. Dzięki temu nie musisz zatrudniać szeregu specjalistów odpowiedzialnych za pojedyncze zadania - zajmę się wszystkim od początku, aż do samego końca.
Dlaczego warto wdrożyć RODO w swojej firmie?
Choć przepisy RODO potrafią skutecznie spędzić sen z powiek niejednemu przedsiębiorcy, ich wdrożenie w struktury firmy niesie ze sobą wiele korzyści. Najważniejsza z nich to zapewnienie bezpieczeństwa zarówno danej organizacji, jak i jej klientom. Odpowiednie środki zabezpieczające oraz regularne szkolenia pracowników umożliwiają eliminację zagrożenia związanego z wyciekiem danych, tym samym zwiększając zaufanie marki w oczach klientów. Kontrahenci są o wiele bardziej skłonni nawiązać współpracę z firmą, która przestrzega najwyższych norm związanych z ochroną danych osobowych.
Wdrożenie RODO zwiększa również wiarygodność przedsiębiorstwa na rynku europejskim. Ponieważ przepisy zawarte w Rozporządzeniu o ochronie danych obowiązują we wszystkich państwach członkowskich UE, przedsiębiorcy są skrupulatnie sprawdzani pod tym kątem. Wdrażając RODO firma dba o swój wizerunek, wykazuje się profesjonalizmem i potwierdza swoją wiarygodność. Zagraniczni kontrahenci także chętniej podejmują z takimi przedsiębiorstwami współpracę, ponieważ mogą być pewni, że ich dane będą odpowiednio chronione.
Proces wdrożenia RODO jest kluczowy w kwestii zwiększenia stopnia ochrony tajemnic danego przedsiębiorstwa. Nie da się ukryć, że bazy danych, projekty oraz umowy z kontrahentami stanowią istotną wartość każdej firmy. Informacje o klientach mogą pomóc w podniesieniu jakości świadczonych usług, a także w skutecznym doborze metod reklamowych - w końcu każda dobra reklama opiera się przede wszystkim na znajomości grupy docelowej, a więc i jej danych osobowych. Wdrożenie RODO pozwala dbać o jakość owych danych, a także usprawnia liczne procesy przebiegające w przedsiębiorstwie.
ul. Wrzosowa 18
62-023 Borówiec
REGON: 369652320
Agata Lasota - Jądrzak
ul. Wrzosowa 18
62-023 Borówiec
Blog - RODO i ochrona danych osobowych