Jak wdrożyć RODO w swojej firmie?
25 maja weszło w życie RODO – Rozporządzenie i Ochronie Danych Osobowych, co nie mogło umknąć niczyjej uwadze ze względu na pojawiające się zewsząd komunikaty o zamianach regulaminów w zakresie ochrony tych danych. Obowiązek dostosowania się do zapisów rozporządzenia mają wszystkie podmioty, które w toku swojej działalności pobierają, czy przetwarzają dane osobowe.
RODO – co sprawdzić i co zmienić?
Aby dostosować własną firmę do nowych przepisów, należy przede wszystkim zacząć od ustalenia, jak do tej pory dane były pozyskiwane, przetwarzane i przechowywane. Należy pamiętać, że istnieją ogólne wytyczne, których należy przestrzegać, jednak każda firma powinna wprowadzać zmiany uwzględniając specyfikę i sposób prowadzenia działalności.
O czym należy pamiętać wdrażając RODO? Pochodzenie wszystkim danych, źródło ich pochodzenia, a także informacje o tym, czy i komu są one udostępniane, trzeba odtąd będzie dokumentować. Przed udostępnieniem tych danych, nawet jeśli miałoby to nastąpić na rzecz podmiotu, z którym firmę łączy długoletnia współpraca, należy się upewnić, że ów podmiot również dostosował swoje procedury do RODO. Następnie należy przejrzeć swoje regulaminy i powiadomienia o polityce prywatności, które trzeba dostosować do nowych wymagań. Wszystkie osoby, których dane będziemy chcieli pozyskać, muszą zostać poinformowane o tym, kto jest administratorem danych, w jakim celu są zbierane, czy będą przetwarzane i udostępniane – jeśli tak, to komu. Konieczne jest również wskazanie podstawy prawnej takiego działania, a także poinformowanie o możliwości złożenia skargi do organu nadzorującego i możliwości odwołania zgody na udostępnienie danych. Wszystkie te informacje muszą być przy tym zapisane językiem prostym i zwięzłym, tak by były zrozumiałe dla wszystkich, w tym osób nie posiadających specjalistycznej wiedzy z zakresu przepisów o danych osobowych.
Nowe procedury muszą uwzględniać prawa przysługujące osobom fizycznym, w tym prawo do dostępu do danych, ich skorygowania, usunięcia, niewyrażania zgody do stosowania marketingu bezpośredniego, niewyrażenia zgody na stosowanie profilowania i automatycznego podejmowania decyzji, przenoszenia danych. Procedury muszą również uwzględnić nowe formularze wniosków o udostępnienie danych. W większości przypadków niedozwolone będzie pobieranie za nie opłat i będą musiały one zostać zrealizowane w ciągu 30 dni.
Dodatkowo każda osoba będzie musiała wyrazić zgodę na pobieranie i przetwarzanie jej danych osobowych. W związku z tym niezbędne jest przygotowanie formularza zgody, który będzie musiał być przez taką osobę zaakceptowany. Musi ona być jednoznaczna, nie może być dorozumiana, czy przemilczana. Podmiot przetwarzający dane, na wypadek kontroli, będzie musiał takie zgody przedstawić.
Konieczne jest również wdrożenie procedur do wykrywania, raportowania i badania naruszenia ochrony danych osobowych. Każdy przypadek naruszenia danych, trzeba bowiem w ciągu 72 godzin zgłosić do właściwego organu nadzoru.