REKLAMA PARTNERAREKLAMA PARTNERA 

25 maja będzie dniem rewolucji w podejściu do prywatności. RODO (czyli rozporządzenie o ochronie danych osobowych) będzie obowiązywało wszystkie instytucje, które przetwarzają dane osobowe - od wielkich firm, przez organizacje trzeciego sektora i administrację, po Kościół.

Pod pojęciem przetwarzania danych rozumiane tu jest choćby ich posiadanie, jak również zbieranie czy opracowywanie. A więc jeśli firma prowadzi dokumentację księgowo-finansową, to już pod RODO podlega. W zasadzie podlegają pod nie dosłownie wszyscy, którzy posiadają takie dane jak imię, nazwisko, data urodzenia, adres mailowy, nie wspominając o danych wrażliwych, jak te medyczne czy o przekonaniach religijnych, politycznych lub orientacji seksualnej.

Przetwarzaniem danych będzie nawet przyjęcie wizytówki - w końcu widnieje na niej imię, nazwisko czy numer telefonu - której nie będzie można przekazać nikomu dalej bez zgody jej właściciela.

Kto nie zadba o odpowiednie zabezpieczenia już teraz, będzie musiał się liczyć z potężnymi karami finansowymi. W niektórych przypadkach mogą one wynieść nawet do 20 mln euro lub 4 proc. rocznych globalnych obrotów firmy. To maksymalna wysokość kary, wszystko będzie zależało od rodzaju przewinienia, sposobu „gaszenia pożaru” czy tego, jak do RODO firma się przygotowała. Czyli tego, co musi zrobić już dziś. A w zasadzie co powinna zrobić dawno. A więc po kolei.

Czytaj też Przedsiębiorco, sam poradzisz sobie z RODO. Nie płać ekspertom i uważaj na oszustów

1. Przegląd danych

Pierwszym krokiem musi być sprawdzenie, jakie dane osobowe firma posiada obecnie. Trzeba wypisać wszystkie zbiory - dane klientów, partnerów, pracowników, współpracowników, dane z ewentualnych konkursów czy jakichkolwiek akcji z klientami, dane z programów lojalnościowych, z rejestracji u lekarza, dane biometryczne itd., itp.

Następnie trzeba ustalić, czy poszczególne zbiory danych są nadal firmie potrzebne. Jeśli nie, powinna je skasować - kłania się tu przepis z RODO o tzw. minimalizacji, czyli przechowujemy tylko te informacje, które rzeczywiście są nam potrzebne. Jeśli firma prowadzi sprzedaż długopisów, a nie wiadomo, skąd ma informacje medyczne o swoich klientach, natychmiast powinna je usunąć i pozostawić tylko te, które do sprzedaży długopisów są jej niezbędne.

Kolejna sprawa to ustalenie, jak dane są przechowywane - w zwykłych czy zaszyfrowanych plikach, na jednym czy na wielu serwerach etc. To ważne w momencie, gdy będziemy musieli je odpowiednio zabezpieczyć.

2. Weryfikacja danych

Teraz należy zadać sobie pytanie, w jaki sposób firma te dane zdobyła i czy ich właściciele wyrazili na to zgodę. Wiele firm do tej pory handlowało danymi bez wiedzy właścicieli - teraz wszystko to będą musiały kasować lub prosić o zgodę.

A ta musi być dobrowolna, konkretna, świadoma i jednoznaczna. Inaczej mówiąc: właściciel danych, które przetwarzamy, musi mieć świadomość, że to robimy, musi wiedzieć, w jakim celu to robimy, i musi się na to jasno i wyraźnie zgodzić. Każda zgoda na przetwarzanie danych otrzymana przed 25 maja musi zostać pod kątem tych warunków zweryfikowana.

Jeśli istnieje ryzyko, że właściciel danych, które przetwarzamy, może nie być tego świadom, należy jeszcze raz go o tym poinformować i zapytać o zgodę. Można to zrobić za pomocą poczty tradycyjnej lub maila. To właśnie dlatego w ostatnich tygodniach każdy z nas dostaje dziesiątki maili z różnych firm i serwisów internetowych z prośbą o zaktualizowanie swojej zgody na przetwarzanie danych. Dla bezpieczeństwa powinna tak się zachować każda instytucja.

Czytaj też: Najważniejsze zmiany dla przedsiębiorców w 2018 roku.

3. Ocena ryzyka

To następny wymóg RODO, który należy wykonać przed 25 maja. Rozporządzenie nie wyjaśnia dokładnie, jak przeprowadzona ma zostać „ocena ryzyka”. Tłumaczy jedynie, że chodzi o ocenienie, na ile nasze dane są zabezpieczone i jak duże jest ryzyko ich wycieku.

Choć nie wiadomo dokładnie, jak to zrobić, do oceny ryzyka nie trzeba zatrudniać specjalnego doradcy czy prawnika, można jej dokonać samemu.

Podpowiedź daje dr Maciej Kawecki z Ministerstwa Cyfryzacji. Radzi: – Należy wyodrębnić środki zabezpieczające, które jesteśmy w stanie zapewnić w przetwarzaniu danych osobowych. Następnie trzeba stworzyć skalę np. od 1 do 10. W przypadku „1” to sytuacje, w których rejestr czy zbiór w ogóle nie przetwarza danych osobowych, albo przetwarza je anonimowo. W przypadku „10” przetwarzamy wyłącznie dane osobowe wrażliwe w dużych ilościach. Jeśli już stworzyliśmy taką skalę, to każdej z tych pozycji przyporządkowujemy określone zabezpieczenie.

Bardzo ważną sprawą jest, by cały ten proces był udokumentowany. Po to, by w razie wycieku czy jakiejkolwiek kontroli ze strony inspektorów udowodnić, że firma zrobiła wszystko, by dane były bezpieczne.

Czytaj też: Nowe przepisy o ochronie danych osobowych. Wkrótce znikniesz z internetu

4. Zabezpieczenie danych

Jedno z kluczowych zadań do wykonania już teraz. Przepisy także tutaj nie dają jasnej odpowiedzi, jak to zrobić. Według dr. Pawła Litwińskiego z kancelarii Barta Litwiński najlepiej jest skorzystać z rozwiązań technologicznych zewnętrznej firmy - chodzi o programy do szyfrowania i przechowywania danych. Dzięki temu firma podpiera się autorytetem innej firmy i ma pewność, że korzysta ze sprawdzonego produktu.

Im bardziej zanonimizowane oraz zaszyfrowane są dane, tym większa pewność, że nigdzie nie wyciekną. Po wejściu RODO prawdopodobnie powstaną firmy, które będą oferowały oprogramowanie ze specjalnym certyfikatem bezpieczeństwa pod kątem tego rozporządzenia. Warto rozejrzeć się za takim programem.

To cztery najważniejsze kroki, które należy podjąć już teraz - przed 25 maja. Po tym terminie w każdej chwili do firmy mogą wejść inspektorzy, którzy zapytają, jak firma zabezpieczyła dane, sprawdzą, czy zgody na ich przetwarzanie są odpowiednie lub czy dokonano oceny ryzyka. Każde zaniechanie może wiązać się najpierw z upomnieniami, ale potem z potężnymi karami. Dlatego warto zająć się swoimi danymi jak najszybciej. Czasu pozostało bardzo niewiele.