RODO

Już niedługo przedsiębiorcy będą zobowiązani wykazać się spełnieniem nowego obowiązku: prowadzenia rejestru czynności przetwarzania danych osobowych. To istotny element dokumentacji danych osobowych wymaganej przez unijne rozporządzenie RODO. Prowadzenie rejestru będzie obowiązkowe dla wszystkich podmiotów, które zatrudniają co najmniej 250 osób, ale również w wielu wypadkach dla mniejszych, m.in. jeżeli przetwarzanie, którego dokonują, nie ma charakteru sporadycznego, może powodować naruszenie praw lub wolności osób lub obejmuje szczególne kategorie danych (np. o stanie zdrowia, przynależność do związków zawodowych). Co ważne, rejestr powinien być gotowy na 25 maja tego roku, a więc na dzień, kiedy zacznie być stosowane RODO. Problem w tym, że przedsiębiorcy nie wiedzą, jakie czynności przetwarzania należy uwzględnić w rejestrze. Unijne rozporządzenie nie definiuje czynności przetwarzania. Organy nadzorcze w UE natomiast dotąd nie wyjaśniły tego szczegółowo. Od generalnego inspektora ochrony danych osobowych uzyskaliśmy informację, że organ czeka na ustalenia w ramach unijnej Grupy Roboczej Art. 29 – po to, aby ewentualna rekomendacja GIODO była spójna z ustaleniami w innych krajach UE. Zapowiada jednak, że w najbliższym czasie opublikuje takie precyzyjne wyjaśnienia. Zatem do tematu powrócimy.

Już niedługo przedsiębiorcy będą zobowiązani wykazać się spełnieniem nowego obowiązku: prowadzenia rejestru czynności przetwarzania danych osobowych. To istotny element dokumentacji danych osobowych wymaganej przez unijne rozporządzenie RODO. Prowadzenie rejestru będzie obowiązkowe dla wszystkich podmiotów, które zatrudniają co najmniej 250 osób, ale również w wielu wypadkach dla mniejszych, m.in. jeżeli przetwarzanie, którego dokonują, nie ma charakteru sporadycznego, może powodować naruszenie praw lub wolności osób lub obejmuje szczególne kategorie danych (np. o stanie zdrowia, przynależność do związków zawodowych). Co ważne, rejestr powinien być gotowy na 25 maja tego roku, a więc na dzień, kiedy zacznie być stosowane RODO. Problem w tym, że przedsiębiorcy nie wiedzą, jakie czynności przetwarzania należy uwzględnić w rejestrze. Unijne rozporządzenie nie definiuje czynności przetwarzania. Organy nadzorcze w UE natomiast dotąd nie wyjaśniły tego szczegółowo. Od generalnego inspektora ochrony danych osobowych uzyskaliśmy informację, że organ czeka na ustalenia w ramach unijnej Grupy Roboczej Art. 29 - po to, aby ewentualna rekomendacja GIODO była spójna z ustaleniami w innych krajach UE. Zapowiada jednak, że w najbliższym czasie opublikuje takie precyzyjne wyjaśnienia. Zatem do tematu powrócimy.

- Zasadniczo nie powinniśmy wprowadzać krajowych okresów przejściowych – nie pozwala na to RODO. Przepisy polskiej ustawy muszą więc wejść z tą samą datą, z którą wejdzie unijne rozporządzenie - mówi dr Maciej Kawecki w rozmowie z DGP.

Kiedy rozpocząć prace dostosowawcze do RODO i jakie konkretne działania należy podjąć, aby przez cały proces przejść sprawnie i zwiększyć szanse na skuteczne wdrożenie w przewidzianym terminie? Czy wszystko robić samemu, czy skorzystać z usługi zewnętrznej firmy? Oczywiście nie ma jednej, uniwersalnej odpowiedzi na każde z tych pytań.

Resort cyfryzacji zmienił zdanie w sprawie zaświadczeń o zgodności firmowych systemów przetwarzania danych osobowych z unijnym rozporządzeniem. Oprócz UODO będą je wydawać również akredytowane podmioty.

Dr Maciej Kawecki: Zasadniczo nie powinniśmy wprowadzać krajowych okresów przejściowych - nie pozwala na to RODO. Przepisy polskiej ustawy muszą więc wejść z tą samą datą, z którą wejdzie unijne rozporządzenie

Kiedy rozpocząć prace dostosowawcze do RODO i jakie konkretne działania należy podjąć, aby przez cały proces przejść sprawnie i zwiększyć szanse na skuteczne wdrożenie w przewidzianym terminie? Czy wszystko robić samemu, czy skorzystać z usługi zewnętrznej firmy? Oczywiście nie ma jednej, uniwersalnej odpowiedzi na każde z tych pytań. Pewne jest jedno - każdy przedsiębiorca musi we własnym zakresie ocenić, jaki wybrać model dostosowania prowadzonej działalności do wymagań. Przy czym jedną z najważniejszych czynności w działaniach przygotowawczych będzie przegląd procesów biznesowych, w których przetwarzane są dane osobowe. Pozwoli to podjąć kolejny krok: ocenić, jakie zmiany trzeba wprowadzić, oraz wyszukać ewentualne luki

Resort cyfryzacji zmienił zdanie w sprawie zaświadczeń o zgodności firmowych systemów przetwarzania danych osobowych z unijnym rozporządzeniem. Oprócz UODO będą je wydawać również akredytowane podmioty

Komisja Europejska opublikowała wskazówki dla małych i średnich przedsiębiorstw, które mają im ułatwić wdrożenie nowych zasad ochrony danych osobowych.

Małe i średnie przedsiębiorstwa jednak nie unikną konieczności informowania swoich klientów o tym, jak przetwarzają ich dane osobowe.