Nowe standardy ochrony danych osobowych dla przedsiębiorców

Aby spełnić nowe przepisy o ochronie danych osobowych, które będą w pełni obowiązywać od maja 2018 roku, nie wystarczy kolejny dodatek czy przygotowana „na szybko" nakładka do systemu. Ustawodawca wymaga wbudowania ochrony prywatności w jego architekturę.

Stosowanie założeń koncepcji privacy by design to będzie absolutny obowiązek każdego przedsiębiorcy, zwłaszcza w kontekście zmian w unijnym Rozporządzeniu Ogólnym o Ochronie Danych Osobowych (RODO).

Oznacza to, że założenia dotyczące bezpieczeństwa i ochrony danych klienta muszą być rozważane i wdrażane już na etapie tworzenia koncepcji projektu. Jednym z nowych obowiązków jest właśnie privacy by design. Jest to istotne zwłaszcza dla młodych przedsiębiorstw. Brak proaktywnego działania w tym zakresie może grozić karą do 10 mln euro bądź 2 proc. światowego rocznego obrotu organizacji. Ryzyka tej skali będą unikać inwestorzy, uważniej niż dotąd przyglądając się zastosowanym rozwiązaniom związanym z danymi osobowymi.

A oto zasady, o których musi pamiętać każdy biznesmen:

1. Jeśli do działania twojego produktu nie musisz posiadać danych użytkownika, to ich nie zbieraj – zasada minimalizmu.

2. Zastanów się, komu będziesz przekazywał zebrane dane – informuj użytkowników o odbiorcach.

3. Przemyśl, czy komuś będziesz zlecał jakieś operacje na danych (outsourcing pewnych czynności) – jeśli tak, podpisz z nim umowę i określ dokładnie zakres i cel tej współpracy. W razie incydentu musisz wiedzieć, kto zawinił.

4. Ustal, na jakich serwerach będziesz przechowywał dane i czy serwery te będą fizycznie znajdowały się w Europejskim Obszarze Gospodarczym czy poza nim. Sprawdź też umowy ze swoim dostawcą usług chmurowych.

5. Pamiętaj o informowaniu użytkowników o tym, co robisz z ich danymi, gdzie one są przekazywane i jakie prawa mają użytkownicy. Stwórz łatwe kanały komunikacji z użytkownikiem.

6. Pamiętaj o prawidłowym sformułowaniu treści klauzul zgody na przetwarzanie danych.

7. Zaprojektuj realizację prawa do przenoszenia danych osobowych i prawa do bycia zapomnianym.

8. Przed dużymi krytycznymi projektami (w tym z wrażliwych branż typu zdrowie, ubezpieczenia, obsługa bankowa) zrób tzw. Privacy Impact Assessment – ocenę skutków przetwarzania danych tego projektu. Stwórz dokumentację.

9. Zastosuj najwyższe środki zabezpieczenia systemu przed cyberatakami, monitoruj system i go aktualizuj.

10. Osoby w twoim zespole muszą być przeszkolone i posiadać upoważnienia do przetwarzania danych – człowiek jest najsłabszym ogniwem w strukturze bezpieczeństwa informacji.

11. Projektując rozwiązanie zaplanuj, jak rozwiążesz kwestie ochrony danych osobowych, wpisz je w biznes plan, uwzględnij w prezentacji dla inwestora. Bądź przygotowany na jego pytania. ?

—Wioletta Kulińska adwokat w Kancelarii Magnusson

Dane Osobowe Finanse w Firmie

Pozostało 83% artykułu

2 / 3

artykułów

Czytaj dalej. Subskrybuj