Biznes od nowa? Rozporządzenie UE o ochronie danych osobowych (RODO)

Sty 18, 2017

Czym jest RODO?

24 maja 2016 r. weszło w życie ogólne rozporządzenie o ochronie danych osobowych (RODO), które harmonizuje ochronę danych osobowych na terenie wspólnoty.

Rozporządzenie jest stosowane wprost, dlatego ma moc bezpośrednio wiążącą przedsiębiorców w państwach UE, zastępując przepisy polskiej ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Rozporządzenie dotyczy:

  • każdego pracodawcy w UE,
  • każdej firmy oferującej produkty i/lub usługi dla osób fizycznych na terenie UE, nawet jeśli takie firmy nie mają swoich siedzib na terenie UE,
  • wszystkich firm, które monitorują zachowanie osób przebywających w Unii w imieniu własnym i innych firm.

RODO wpływa na całą firmę

Rozporządzenie wpłynie na wszystkie obszary działalności firmy, w których dochodzi do przetwarzania danych. Wymogi RODO będą musiały zostać uwzględnione między innymi w:

  • obszarze sprzedaży –  podczas pozyskiwania danych klientów
    i zgody na wykorzystanie danych i wykorzystania wielokanałowości sprzedaży (omnichanel) do relacji z klientem (profilowanie klienta);
  • obszarze obsługi posprzedażowej – w przepływach danych klientów wewnątrz organizacji do bieżącej obsługi kontraktu, reklamacji, windykacji, fakturowania, rozliczenia oraz przepływach danych do partnerów zewnętrznych (outsourcing usług, wymogi prawne np. BIK, UFG);
  • obszarze wsparcia – w trakcie przetwarzania danych w systemach IT, analizy danych klientów do oceny ryzyka, tworzenia nowych produktów (Big Data), profilowania klienta, przygotowania dedykowanych akcji marketingowych (Marketing) czy pozyskania nowych partnerów/dostawców w procesie zakupowym;
  • backoffice – podczas oceny ryzyka operacyjnego (Ryzyko), zapewnienia zgodności działania organizacji z RODO (Compliance), audytu wewnętrznych procesów, mitygacji ryzyka wycieku danych z systemów (Bezpieczeństwo systemów), detekcji wycieku danych (HR i Bezpieczeństwo), bezpieczeństwa danych HR własnych pracowników i współpracowników.

RODO nakłada na firmy nowe obowiązki

Na podstawie przepisów RODO na firmy przetwarzające dane nałożonych zostało szereg nowych obowiązków między innymi:

 

  • konieczność uwzględnienia ochrony danych osobowych już w fazie projektowania rozwiązań, w tym rozwiązań informatycznych (Privacy by Design). Na etapie projektowania, administrator danych osobowych powinien wdrożyć odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń. Projektowanie takiej ochrony administrator powinien zapewnić zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania.
  • obowiązek rejestrowania czynności przetwarzania danych osobowych. Administrator będzie zobowiązany do prowadzenia rejestru, zawierającego informacje dotyczące posiadanych danych. W RODO przewidzianych zostało siedem kategorii informacji, które muszą znaleźć się w rejestrze, m.in.: cele przetwarzania, opis kategorii osób, których dane dotyczą czy planowany termin usunięcia danych
  • obowiązek przeprowadzania analizy skutków pod kątem ochrony danych osobowych (Privacy Impact Assessment). Każde działanie podejmowane w firmie będzie musiało zostać ocenione przez pryzmat zgodności z przepisami RODO.
  • obowiązek administratorów do zawiadamiania organu ochrony danych o naruszeniu przepisów w przypadku wykrycia naruszeń i ochrony danych osobowych. Na podstawie przepisów RODO firmy będą miały jedynie 72 godziny na zgłoszenie incydentu. Opóźnienie bądź brak zgłoszenia mogą skutkować nałożeniem na firmy kary finansowej.
  • zwiększone obowiązki informacyjne. By spełnić wymagania nałożone na firmy przez przepisy RODO, informacje o tym, jakie dane i w jakim celu są zbierane, kto jest ich administratorem, jakim podmiotom mogą zostać udostępnione oraz o prawach przysługujących osobom, których dane dotyczą, powinny być przekazywane w zwięzłej, przejrzystej i łatwo dostępnej formie z użyciem prostego i zrozumiałego języka. 

Wdrożenie RODO to projekt: potrzebne są zasoby i budżet

Firmom przetwarzającym dane zostało już tylko półtora roku na wdrożenie wymagań RODO: do 25 maja 2018 r. procedury stosowane w firmach muszą być zgodne z nowym rozporządzeniem. Naruszenie przepisów może wiązać się z nałożeniem kary finansowej do 20.000.000 euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa.

Wdrożenie RODO należy potraktować jako nieustannie trwający proces, w który zaangażowany powinien być Administrator Bezpieczeństwa Informacji (ABI) oraz interdyscyplinarny zespół, angażujący przedstawicieli wszystkich działów firmy: prawnego, IT, bezpieczeństwa, obsługi klienta, marketingu czy HR. Biorąc pod uwagę skalę i znaczenie zmian we wdrożenie RODO powinien włączyć się także zarząd firmy.

Trudno jednoznacznie określić jak duży budżet należy przeznaczyć na wdrożenie przepisów RODO. Podczas zeszłorocznej konferencji International Association of Privacy Professionals (IAPP) poświęconej zagadnieniom RODO wskazano, że globalne koncerny z branży farmaceutycznej czy retail przeznaczają na ten cel od 3 do 4 milionów dolarów. Osiągnięcie zgodności z RODO jest czasochłonnym i kosztownym procesem. Ryzykujemy reputację i zaufanie Klientów oraz narażamy się na gigantyczne kary finansowe, jeśli o tę zgodność nie zadbamy.

Skontaktuj się z nami

Michał Mastalerz

Michał Mastalerz

Prezes PwC w Polsce, PwC Polska

Tel.: +48 22 746 4000

Obserwuj nas