eOstroleka.pl
Polska,

Małe i średnie przedsiębiorstwa nadal nie dostosowały się do zmian przepisów o ochronie danych osobowych. Od maja grożą im wysokie kary [WIDEO]

REKLAMA
zdjecie 480
fot. eOstroleka.plfot. eOstroleka.pl
REKLAMA

Dostosowanie do nowych przepisów o ochronie danych osobowych, które wprowadzi od maja 2018 roku unijna dyrektywa RODO (GDPR), oznacza dla firm wielomiesięczne przygotowania, zarówno od strony organizacyjnej, jak i technicznej. Zanim nowe przepisy wejdą w życie, przedsiębiorstwa muszą dokonać analizy ryzyka, przeszkolić pracowników, wdrożyć rozwiązania i infrastrukturę IT, która zagwarantuje bezpieczeństwo danych osobowych oraz wymienić większość klauzul i formularzy. Na pół roku przed RODO tylko duże firmy zaczęły przygotowania do prawnej rewolucji. Wśród podmiotów z sektora MSP ich skala jest niewielka.

 
 
 
RODO, czyli ogólne rozporządzenie o ochronie danych osobowych, zacznie obowiązywać od 25 maja 2018 roku. Unijna regulacja ma ujednolicić przepisy w tym zakresie na terenie wszystkich dwudziestu ośmiu państw członkowskich Wspólnoty. Przygotowana na jej podstawie polska ustawa zastąpi dotychczasowy akt prawny, który obowiązuje od 20 lat.
 
Ekspert Hicron ocenia, że niecałe pół roku przed wejściem w życie RODO stan przygotowań polskich firm z sektora MSP do nowej regulacji jest marginalny. Z kolei duże przedsiębiorstwa i koncerny podjęły już kroki, które mają im pomóc zaadaptować się do nowych przepisów.
 
– Stan przygotowań polskich firm zależy od wielkości organizacji. W tych większych prowadzone są analizy wewnętrzne, definiowane są obszary, które powinny w pierwszej kolejności podlegać zmianom. Są również wdrażane pierwsze rozwiązania i zmiany. Natomiast w mniejszych organizacjach ten problem jest prawie całkowicie marginalizowany. Biorąc pod uwagę bliski termin wdrożenia tej regulacji i skalę wymagań, które niesie za sobą RODO, stopień zaawansowania tych przygotowań jest naprawdę niewielki – mówi Przemysław Perz.
 
Nowe prawo narzuci szereg obowiązków podmiotom, które gromadzą i przetwarzają informacje o swoich klientach. Dla firm RODO oznacza więc wielomiesięczne przygotowania, m.in. konieczność przejrzenia i wymiany formularzy, klauzul i zgód na przetwarzanie danych osobowych klientów, zweryfikowania wewnętrznych procesów pod kątem bezpieczeństwa tych informacji, wdrożenia infrastruktury IT, która to zagwarantuje, przeszkolenia pracowników oraz utworzenia stanowiska administratora danych osobowych, który będzie czuwał nad ich bezpieczeństwem i przestrzeganiem nowej regulacji.
 
Jak podkreślają eksperci Hicron, sprawne przygotowanie do wdrożenia nowych przepisów obejmuje pięć najważniejszych kroków.
 
– Pierwszy to zbudowanie w organizacji świadomości i wiedzy na temat wymagań stawianych przez nowe przepisy. W kolejnym kroku należy przeprowadzić analizę i zidentyfikować potencjalne ryzyko naruszeń tych przepisów. Dalej należałoby się zastanowić nad rozwiązaniami, które adresują te ryzyka. One powinny dotyczyć obszaru prawnego, IT, ale też zmiany procedur i funkcjonowania organizacji, choćby przez wprowadzenie stanowiska oficera danych osobowych czy współpracy z organami nadzorującymi – mówi Przemysław Perz.
 
Czwartym krokiem w przygotowaniach do RODO jest wdrożenie rozwiązań, które wynikają z tej regulacji. Na koniec firma nie może też zapomnieć o monitorowaniu ryzyka, ciągłym analizowaniu ryzyka i zagrożeń, które stoją przed organizacją w kontekście zapewnienia bezpieczeństwa danych osobowych.
 
– Głównym celem RODO jest legislacyjne potwierdzenie, że ochrona danych osobowych jest podstawowym prawem obywateli UE, podstawowym prawem człowieka. Dlatego RODO niesie też szereg korzyści dla osób prywatnych, nadaje im więcej praw. Po drugie, mamy też większą transparentność w odniesieniu do użycia naszych danych osobowych, wiemy, kto i kiedy, w jakim procesie i dlaczego je wykorzystał – mówi Przemysław Perz.
 
Zgodnie z wymogami RODO firmy będą musiały przekazywać klientom bardzo szczegółowe informacje o przetworzeniu ich danych osobowych bądź prosić o zgodę na ich wykorzystanie w kontekście konkretnego procesu biznesowego (legitim interest). Jednym z największych wyzwań będzie tzw. prawo do bycia zapomnianym (right to be forgotten), które oznacza, że dane osób, które sobie tego zażyczą, muszą zostać w całości usunięte z systemów administratora. Dotyczy to także kopii, linków, odniesień i dokumentacji papierowej, na przykład wydruków czy skanów dokumentów. Jeżeli wcześniej te dane zostały udostępnione albo trafiły do internetu, administrator musi się upewnić, że wszystkie ich kopie i linki zostały skasowane i usunięte na dobre, nawet jeżeli są już w posiadaniu innych podmiotów.
 
– Wszystko zależy od skali skomplikowania procesów biznesowych, które są na styku z osobami prywatnymi, konsumentami czy pracownikami, oraz od skali złożoności systemów IT, dojrzałości organizacji i tego, jak dba ona o prawa osób prywatnych – mówi przedstawiciel Hicron.
 
Źródło: newseria.pl
 
 

Wasze opinie

STOP HEJT. Twoje zdanie jest ważne, ale nie może ranić innych.
Zastanów się, zanim dodasz komentarz
Brak możliwości komentowania artykułu po trzech dniach od daty publikacji.
Komentarze po 7 dniach są czyszczone.
Kalendarz imprez
listopad 2024
PnWtŚrCzPtSoNd
 28  29  30  31  1 dk2 dk3
dk4 dk5 dk6 dk7 dk8 dk9 dk10
dk11 dk12 dk13 dk14 dk15 dk16 dk17
dk18 dk19 dk20 dk21 dk22 dk23 dk24
dk25 dk26 dk27 dk28 dk29 dk30  1
×