Nawet 20 mln euro kary - zostało mało czasu, żeby przygotować firmę do RODO

RODO wprowadza wiele nowych obowiązków dla firm i jednostek sektora finansów publicznych. Przewiduje też wysokie kary finansowe za nieprzestrzeganie przepisów o ochronie danych osobowych, sięgające nawet do 20 mln euro.

Żeby ich uniknąć, należy przede wszystkim sprawdzić i zaktualizować dokumenty dotyczące przetwarzania danych osobowych.

W związku z wejściem w życie przepisów RODO firmy muszą ustalić, czy mają w ogóle zgodę klientów, kandydatów do pracy lub swoich pracowników na przetwarzanie ich danych w celach marketingowych, rekrutacyjnych itp. Nawet w przypadku posiadania takich zgód czasami konieczne będzie ich zmodyfikowanie. RODO wymaga bowiem, żeby komunikat o przetwarzaniu danych był sformułowany w sposób jak najbardziej prosty i zrozumiały dla odbiorcy.

Ponadto firmy będą musiały opracować nowe klauzule informacyjne dla klientów, pracowników czy kandydatów do pracy dotyczące przetwarzania ich danych osobowych. Klauzule takie powinny zawierać m.in. następujące informacje:

wtożsamość i dane kontaktowe administratora danych oraz - jeśli jest to niezbędne - jego przedstawiciela,

wcele i podstawę prawną przetwarzania danych,

winformacje o odbiorcach danych i ich kategoriach, jeżeli istnieją,

wokres przechowywania danych, a gdy nie jest możliwe jego określenie - kryteria jego ustalenia,

winformacje o prawie do żądania od pracodawcy/administratora dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania albo o prawie sprzeciwu wobec przetwarzania oraz prawie do przenoszenia danych,

winformacje o prawie do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, które zostało dokonane przed wycofaniem zgody.

Oprócz tego firma musi sprawdzić, czy ma aktualną umowę na przetwarzanie danych przez podmiot zewnętrzny, jeśli przetwarzanie danych powierzyła temu podmiotowi.

Firmy muszą też stworzyć rejestr czynności przetwarzania. W rejestrze tym zamieszcza się m.in. następujące informacje:

wimię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie - przedstawiciela administratora oraz inspektora ochrony danych;

wcele przetwarzania;

wopis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

wkategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

wjeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych.

Oprócz tego firmy muszą stworzyć rejestr naruszeń. Rejestr ten powinien opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane zostały naruszone. W rejestrze nie umieszcza się nazwiska osoby, która naruszyła przepisy o ochronie danych. Administrator danych ma tylko 72 godziny na przekazanie takiego raportu o naruszeniu danych osobowych do GIODO.

Jeśli firma ma dużą liczbę danych osobowych w posiadanej przez jednostkę bazie, musi rozważyć, czy nie powołać inspektora ochrony danych.

@RY1@i02/2018/080/i02.2018.080.21400010a.801.jpg@RY2@

Przedsiębiorco! Sprawdź zgody marketingowe, pozostało na to 30 dni

Marek Skałkowski