Ogólne Rozporządzenie o Ochronie Danych Osobowych (tzw. RODO), które zacznie obowiązywać już za pół roku, stanowi ogromne wyzwanie dla właścicieli firm. Nowe przepisy obejmą wszystkich przedsiębiorców, przetwarzających dane osobowe w sposób zautomatyzowany, niezależnie od branży czy skali działalności. Co się zmieni po wejściu w życie nowych przepisów? Na co przedsiębiorcy korzystający z systemów IT do zarządzania kadrami powinni zwrócić szczególną uwagę?

 

Projekt ustawy o ochronie danych osobowych jest jednym z największych w ciągu ostatnich lat pod względem ilości zmienianych aktów prawnych. Opracowanie obejmuje zmiany przepisów sektorowych w ponad 130 ustawach, co najlepiej obrazuje skalę tego przedsięwzięcia. Rozporządzenie z jednej strony rozszerza zakres obowiązków podmiotów przetwarzających dane, z drugiej natomiast wyposaża osoby fizyczne i organy nadzorujące w narzędzia reagowania na sytuacje naruszenia nowych przepisów prawnych.

Choć do wejścia w życie nowych przepisów zostało już tylko kilka miesięcy, to stan wiedzy na ich temat może budzić niepokój. Według danych Trend Micro ponad połowa firm nie słyszała jeszcze o RODO. Tymczasem rozporządzenie niesie ze sobą poważne zmiany, których każdy przedsiębiorca powinien być świadomy już dziś.

Co się zmieni?

Po pierwsze zmieniają się zasady pozyskiwania ważnych i weryfikowalnych zgód na przetwarzanie danych osobowych. Po drugie organizacje, które przetwarzają dane osobowe z innych firm, będą ponosić bezpośrednią odpowiedzialność za złamanie zapisów RODO w trakcie świadczenia usług na ich rzecz. Wiąże się z tym ryzyko otrzymania kary finansowej na poziomie 4% całkowitego rocznego obrotu firmy z poprzedniego roku lub kary sięgającej nawet 20 mln euro. Stanowi to poważne ryzyko dla przedsiębiorstw. Nowe rozporządzenie określa także czas na zgłoszenie naruszenia danych przez administratora. Od maja 2018 roku każde naruszenie ochrony danych osobowych administratorzy powinni zgłaszać w ciągu 72 godzin do Prezesa Urzędu Ochrony Danych Osobowych – nowego urzędu zastępującego stanowisko Generalnego Inspektora Danych Osobowych.

Obowiązkowa będzie też inwentaryzacja danych i realizacja wymagań związanych z utrzymywaniem dokumentacji, czyli wszechstronnych rejestrów dotyczących przetwarzania danych uwzględniających np. powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń i incydentów, rozwój i utrzymanie zasad ochrony prywatności dla każdej linii produktowej, przechowywanie potwierdzonych zgód na przetwarzanie danych itd. RODO zapewnia też „prawo do bycia zapomnianym” osobom, których dotyczą przetwarzane dane. Jest to jednoznaczne z prawem do usunięcia swoich danych osobowych z baz oraz nałożeniem na administratorów odpowiedzialności za usunięcie przechowywanych treści.

Kwestia kluczowa: prawdziwe dane tylko dla wybranych

Nowe obowiązki wynikające z RODO w dużym zakresie wiążą się utrzymaniem prawidłowości i aktualizacją zgromadzonych oraz przechowywanych przez firmę danych osobowych, jak również z odpowiednim zarządzaniem dostępem do danych. Należy zadbać o to, aby były one dostępne tylko do osób, które faktycznie potrzebują ich do wykonywania swoich zadań.

Wejście w życie nowych przepisów unijnych o ochronie danych osobowych to dla przedsiębiorców rewolucja. Przygotowania w zakresie uzyskania zgodności działania firmy z RODO są wyjątkowo trudne, ponieważ odbywają się na podstawie rozporządzenia, które w wielu miejscach zawiera bardzo ogólne zapisy, często niejasne lub wręcz enigmatyczne. Nie istnieje na rynku żadne jedno gotowe rozwiązanie informatyczne stanowiące prostą odpowiedź na pytanie o narzędzie wspierające proces przygotowań i utrzymanie zgodności z RODO. Firmy są zmuszone badać kolejne obszary działalności i dobierać różne rozwiązania do różnych celów. Naszym wkładem w proces przygotowań klientów użytkujących system SAP HCM jest propozycja zastosowania rozwiązania GAVDI Replicator zapewniającego anonimizację (pseudonimizację) danych osobowych w środowisku testowym SAP HCM czy też masowe przygotowanie zanomizowanych danych na potrzeby prowadzonych na systemie SAP HCM szkoleń. GADVI Replicator służy do kopiowania danych pracowniczych między systemami SAP HCM oraz zaszyfrowania ich w taki sposób, by uniemożliwić identyfikację pracownika źródłowego. Korzyścią wynikającą z tego rozwiązania jest przede wszystkim wiarygodność danych testowych, co w kontekście wejścia w życie przepisów RODO i kar finansowych wydaje się kluczowe – mówi Teresa Olszewska, Prezes Zarządu GAVDI Polska S.A.

W zakresie prawidłowości danych dobrze sprawdzą się także narzędzia do samoobsługi pracowniczej i menedżerskiej. Dzięki funkcjonalności takich rozwiązań pracownicy mogą także w sposób elektroniczny zweryfikować i zaktualizować swoje dane.

Źródło: GAVDI Polska