Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Firma

Firmowe wizytówki i maile – co się zmieni od maja 2018 roku

123RF
Pracownicy będš musieli przestrzegać wewnętrznych polityk ochrony danych osobowych, a te majš dotyczyć także wizytówek oraz korespondencji e-mail.

Od 25 maja 2018 r. będš obowišzywać przepisy RODO, czyli unijnego rozporzšdzenia ogólnego o ochronie danych osobowych. Skala zmian w porównaniu z obecnym stanem prawnym jest ogromna. Na dostosowanie się do nich pozostało zaledwie kilka miesięcy.

Zgodnie z RODO pracownicy majš przetwarzać dane osobowe na polecenie pracodawcy - administratora danych. – Pracownicy będš musieli przestrzegać wewnętrznych polityk ochrony danych, ponieważ ich pracodawca może ponieœć poważne konsekwencje finansowe w zwišzku z incydentem i utratš danych – podkreœla adwokat Marcin Zadrożny, ekspert ds. ochrony danych z ODO 24.

Człowiek najsłabszym ogniwem systemu

Jak się okazuje, obecnie w większoœci przypadków pracownicy nie znajš wewnętrznych procedur z zakresu ochrony danych osobowych zawartych w polityce bezpieczeństwa i instrukcji zarzšdzania systemem informatycznym. – To człowiek jest najsłabszym ogniwem każdego systemu zabezpieczeń, więc pracodawca powinien przeprowadzać systematyczne szkolenia i egzekwować od pracowników stosowanie nowych procedur okreœlonych w politykach ochrony danych dostosowanych do RODO, które będš uwzględniać również kontekst organizacji i ryzyka w niej występujšcego – wylicza mec. Zadrożny.

Pracodawcy powinni pamiętać, nie tylko o szkoleniu osób, które bezpoœrednio odpowiadajš za bezpieczeństwo danych osobowych w firmie, ale też zwykłych pracowników, bowiem przepisy RODO mogš mieć zastosowanie także np. do firmowych wizytówek czy korespondencji uzyskanej za poœrednictwem poczty elektronicznej.

Adwokat Marcin Zadrożny zwraca uwagę, że na wizytówkach znajdujš się dane osobowe. Ich administrator powinien wdrożyć odpowiednie œrodki techniczne i organizacyjne, aby zapewnić ich bezpieczeństwo odpowiadajšce ryzyku – wyjaœnia ekspert. - Niestety dotychczas przedsiębiorcy nie przywišzywali dostatecznej uwagi do bezpieczeństwa danych służbowych klientów, kontrahentów czy dostawców lub ich przedstawicieli – dodaje.

Jego zdaniem, obecnie trudno jednoznacznie wskazać, jakie obowišzki firmy i ich pracownicy będš mieli po wejœciu w życie RODO w zakresie zabezpieczenia wizytówek. Przy czym zaznacza, że to sama organizacja na gruncie RODO ma okreœlić wewnętrzne polityki i wdrożyć odpowiednie zabezpieczenia techniczne i organizacyjne odpowiadajšce ryzyku dla zasobu informacyjnego w konkretnej organizacji.

Przykładowo w firmie Jana Kowalskiego prowadzšcego zakład stolarski będš inne ryzyka, a inne w dużej spółce handlowej – wskazuje adwokat. - W przypadku wizytówek większym problemem jest realizacja obowišzku informacyjnego wobec osoby, od której otrzymujemy wizytówkę, niż sposób jej zabezpieczenia – podkreœla ekspert.

Drugi aspekt codziennej działalnoœci firm, z którym po wejœciu w życie RODO będš musieli zmierzyć się przedsiębiorcy to prowadzenie korespondencji e-mail. W tym zakresie mec. Zadrożny wskazuje na co najmniej trzy problemy.

Po pierwsze, dopełnienie obowišzku informacyjnego wobec osoby, z którš prowadzi się korespondencję. Chodzi o sytuacje, gdy pracownik otrzymuje na służbowš skrzynkę e-mail wiadomoœć od osoby, z którš wczeœniej nie prowadził korespondencji, jego pracodawca staje się administratorem tych danych. Osoba, której dane dotyczš musi mieć szansę zapoznać się z informacjami. - Najproœciej dodać w stopkach naszych pracowników link do strony www, na której znajdujš się odpowiednie informacje – radzi ekspert ODO 24.

Drugi problem to okres przechowywania wiadomoœci e-mail w skrzynkach pocztowych. Zgodnie z wytycznš Grupy roboczej art. 29 Dyrektywy 95/46/WE z 29 listopada 2017 roku Opinion on some key issues of the Law Enforcement Directive (EU 2016/680) - okresy przechowywania danych powinny odnosić się do poszczególnych kategorii osób, których dane dotyczš. Po trzecie dane ze skrzynek e-mail będš podlegały prawu do usuwania ich.

Magiczna wysokoœć kary administracyjnej

Za nieprzestrzeganie przepisów nowej dyrektywy majš grozić dotkliwe kary. Mec. Marcin Zadrożny przyznaje, iż organ nadzorczy każdego kraju członkowskiego będzie miał szerokie uprawnienia korekcyjne i naprawcze, w tym będzie uprawniony do nakładania wręcz „magicznej wysokoœci kary administracyjnej". – Administrator danych powinien wdrożyć odpowiednie œrodki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadajšcy ryzyku. Jeżeli tego nie zrobi mogš go czekać kary do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokoœci do 2 proc. jego całkowitego rocznego œwiatowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kara wyższa – wyjaœnia ekspert.

Jak jednoczeœnie podkreœla, kary pieniężne będš zależne od okolicznoœci indywidualnego przypadku. – Przy wymierzaniu kary organ nadzorczy będzie zobowišzany do kierowania się (nieostrymi) 11 przesłankami ustalania wysokoœci kary administracyjnej, m.in. chodzi o rozmiar poniesionej szkody przez osobę, której dane dotyczš, wagę, charakter, czas trwania naruszenia, stopień współpracy z organem nadzorczym – wylicza mec. Zadrożny.

Uprawnienia organu nadzorczego według RODO:

- nakazuje administratorowi i podmiotowi przetwarzajšcemu dostarczać informacje potrzebne do wykonania zadań,

- prowadzi postępowania w formie audytu,

- zawiadamiania administratora lub podmiot przetwarzajšcy o podejrzeniu naruszenia RODO,

- ma prawo dostępu do wszelkich pomieszczeń administratora i podmiotu przetwarzajšcego, w tym do wszelkiego sprzętu i œrodków służšcych do przetwarzania danych.

ródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL