Od 25 maja 2018 r. będš obowišzywać przepisy RODO, czyli unijnego rozporzšdzenia ogólnego o ochronie danych osobowych. Skala zmian w porównaniu z obecnym stanem prawnym jest ogromna. Na dostosowanie się do nich pozostało zaledwie kilka miesięcy.
Zgodnie z RODO pracownicy majš przetwarzać dane osobowe na polecenie pracodawcy - administratora danych. Pracownicy będš musieli przestrzegać wewnętrznych polityk ochrony danych, ponieważ ich pracodawca może ponieć poważne konsekwencje finansowe w zwišzku z incydentem i utratš danych podkrela adwokat Marcin Zadrożny, ekspert ds. ochrony danych z ODO 24.
Człowiek najsłabszym ogniwem systemu
Jak się okazuje, obecnie w większoci przypadków pracownicy nie znajš wewnętrznych procedur z zakresu ochrony danych osobowych zawartych w polityce bezpieczeństwa i instrukcji zarzšdzania systemem informatycznym. To człowiek jest najsłabszym ogniwem każdego systemu zabezpieczeń, więc pracodawca powinien przeprowadzać systematyczne szkolenia i egzekwować od pracowników stosowanie nowych procedur okrelonych w politykach ochrony danych dostosowanych do RODO, które będš uwzględniać również kontekst organizacji i ryzyka w niej występujšcego wylicza mec. Zadrożny.
Pracodawcy powinni pamiętać, nie tylko o szkoleniu osób, które bezporednio odpowiadajš za bezpieczeństwo danych osobowych w firmie, ale też zwykłych pracowników, bowiem przepisy RODO mogš mieć zastosowanie także np. do firmowych wizytówek czy korespondencji uzyskanej za porednictwem poczty elektronicznej.
Adwokat Marcin Zadrożny zwraca uwagę, że na wizytówkach znajdujš się dane osobowe. Ich administrator powinien wdrożyć odpowiednie rodki techniczne i organizacyjne, aby zapewnić ich bezpieczeństwo odpowiadajšce ryzyku wyjania ekspert. - Niestety dotychczas przedsiębiorcy nie przywišzywali dostatecznej uwagi do bezpieczeństwa danych służbowych klientów, kontrahentów czy dostawców lub ich przedstawicieli dodaje.
Jego zdaniem, obecnie trudno jednoznacznie wskazać, jakie obowišzki firmy i ich pracownicy będš mieli po wejciu w życie RODO w zakresie zabezpieczenia wizytówek. Przy czym zaznacza, że to sama organizacja na gruncie RODO ma okrelić wewnętrzne polityki i wdrożyć odpowiednie zabezpieczenia techniczne i organizacyjne odpowiadajšce ryzyku dla zasobu informacyjnego w konkretnej organizacji.
Przykładowo w firmie Jana Kowalskiego prowadzšcego zakład stolarski będš inne ryzyka, a inne w dużej spółce handlowej wskazuje adwokat. - W przypadku wizytówek większym problemem jest realizacja obowišzku informacyjnego wobec osoby, od której otrzymujemy wizytówkę, niż sposób jej zabezpieczenia podkrela ekspert.
Drugi aspekt codziennej działalnoci firm, z którym po wejciu w życie RODO będš musieli zmierzyć się przedsiębiorcy to prowadzenie korespondencji e-mail. W tym zakresie mec. Zadrożny wskazuje na co najmniej trzy problemy.
Po pierwsze, dopełnienie obowišzku informacyjnego wobec osoby, z którš prowadzi się korespondencję. Chodzi o sytuacje, gdy pracownik otrzymuje na służbowš skrzynkę e-mail wiadomoć od osoby, z którš wczeniej nie prowadził korespondencji, jego pracodawca staje się administratorem tych danych. Osoba, której dane dotyczš musi mieć szansę zapoznać się z informacjami. - Najprociej dodać w stopkach naszych pracowników link do strony www, na której znajdujš się odpowiednie informacje radzi ekspert ODO 24.
Drugi problem to okres przechowywania wiadomoci e-mail w skrzynkach pocztowych. Zgodnie z wytycznš Grupy roboczej art. 29 Dyrektywy 95/46/WE z 29 listopada 2017 roku Opinion on some key issues of the Law Enforcement Directive (EU 2016/680) - okresy przechowywania danych powinny odnosić się do poszczególnych kategorii osób, których dane dotyczš. Po trzecie dane ze skrzynek e-mail będš podlegały prawu do usuwania ich.
Magiczna wysokoć kary administracyjnej
Za nieprzestrzeganie przepisów nowej dyrektywy majš grozić dotkliwe kary. Mec. Marcin Zadrożny przyznaje, iż organ nadzorczy każdego kraju członkowskiego będzie miał szerokie uprawnienia korekcyjne i naprawcze, w tym będzie uprawniony do nakładania wręcz magicznej wysokoci kary administracyjnej". Administrator danych powinien wdrożyć odpowiednie rodki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadajšcy ryzyku. Jeżeli tego nie zrobi mogš go czekać kary do 10 mln euro, a w przypadku przedsiębiorstwa w wysokoci do 2 proc. jego całkowitego rocznego wiatowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kara wyższa wyjania ekspert.
Jak jednoczenie podkrela, kary pieniężne będš zależne od okolicznoci indywidualnego przypadku. Przy wymierzaniu kary organ nadzorczy będzie zobowišzany do kierowania się (nieostrymi) 11 przesłankami ustalania wysokoci kary administracyjnej, m.in. chodzi o rozmiar poniesionej szkody przez osobę, której dane dotyczš, wagę, charakter, czas trwania naruszenia, stopień współpracy z organem nadzorczym wylicza mec. Zadrożny.
Uprawnienia organu nadzorczego według RODO:
- nakazuje administratorowi i podmiotowi przetwarzajšcemu dostarczać informacje potrzebne do wykonania zadań,
- prowadzi postępowania w formie audytu,
- zawiadamiania administratora lub podmiot przetwarzajšcy o podejrzeniu naruszenia RODO,
- ma prawo dostępu do wszelkich pomieszczeń administratora i podmiotu przetwarzajšcego, w tym do wszelkiego sprzętu i rodków służšcych do przetwarzania danych.