RODO. O co cały ten hałas? Cz. II

RODO. O co cały ten hałas? Cz. II

Jaki jest rachunek zysków i strat? Jak wdrożyć nowe przepisy?

Rachunek zysków i strat

Z jakiś powodów uznaje się, że najlepszą motywacją do zmian jest strach. Dlatego najczęściej, w kontekście reformy danych osobowych straszy się wysokimi karami finansowymi za brak wdrożenia przepisów, gdzie za ich naruszenie grozi nawet do 20 mln EUR lub 4 % światowego obrotu (zastosowanie ma kwota wyższa). Te wartości oczywiście będą miarkowane, w zależności od skali i skutków naruszenia, czy też, co najważniejsze od umyślności naruszenia, starań administratora, jego postawy, kultury organizacji. Dodatkowo, przedsiębiorca musi liczyć się z widmem odszkodowań cywilnych oraz odpowiedzialnością karną, projektowaną w polskich przepisach. Nie można stracić z pola widzenia faktu, iż bierność wobec RODO rodzi także ryzyko operacyjne takie jak niekompatybilność z systemami kontrahentów, utrata rynku czy oczywiste ryzyko wizerunkowe w postaci spadku zaufania klienteli, rozmycia renomy.

Rozsądny przedsiębiorca powinien myśleć o aspektach pozytywnych i potraktować RODO jako okazję i narzędzie do zbudowania przewagi konkurencyjnej poprzez na przykład opracowanie rozwiązań bardziej przyjaznych klientowi, stworzenie bezpiecznego i transparentnego środowiska, zyskanie nowych kompetencji przez pracowników, zbudowanie zaufania klientów
i kontrahentów. Łatwiej wprowadzać zmiany, jeśli wiemy czemu służą i jeśli mamy motywację, by zrobić to lepiej niż nasz konkurent.

Co nowego?

Przede wszystkim, zgodność z przepisami to proces, który wykracza poza maj 2018 roku. Organizacja powinna zmienić postrzeganie prywatności i bezpieczeństwa informacji jako jednorazowego projektu, który po zakończeniu można odhaczyć jako „zrobione” i zapomnieć, przynajmniej do następnej zmiany prawa za kolejne 20 lat. Z racji tego, że nowe przepisy są technologicznie neutralne tj. nie dają żadnych wskazówek co do tego, jakie technologie są bezpieczne, jak długie musi być hasło dostępu do komputera, czy należy stosować szyfrowanie plików i jakie zabezpieczenia musi mieć serwerownia – każda firma musi uszyć sobie na miarę swój garnitur RODO. Co więcej, musi regularnie monitorować czy przedsięwzięte środki zabezpieczenia i ochrony są adekwatne do zakresu i celu przetwarzania danych osobowych, do okoliczności i cyberzagrożeń, zaś w razie potrzeby reagować i korygować. RODO zmienia kulturę organizacji.

Każda firma musi uszyć sobie na miarę swój garnitur RODO. 

Ponadto, przepisy wprowadzają szereg nowych obowiązków. Dla przykładu: zgłaszanie poważnych incydentów w ciągu 72 h, zakaz profilowania w komunikacji marketingowej bez zgody, rozszerzenie obowiązku informacyjnego, prawo do przenoszenia danych, stosowanie zasady privacy by design i privacy by default, wyznaczenie inspektora ochrony danych (IOD), prowadzenie wewnętrznych rejestrów przetwarzania. Słowem – jest co robić.

Jak wdrożyć nowe przepisy?

Wzorcowo, firma powinna wyznaczyć zespół odpowiedzialny wewnątrz organizacji, najlepiej interdyscyplinarny złożony co najmniej z informatyka i prawnika, przeznaczyć racjonalny budżet, uzgodnić działania z innymi podmiotami w grupie (jeśli ma zastosowanie), skonsultować się z zewnętrznymi ekspertami.

Następnie, polecamy działanie w przykładowych 5 krokach:

  1. Inwentaryzacja danych osobowych.
  2. Ocena ryzyka i zaprojektowanie planu zmian.
  3. Opracowanie strategii
  4. Wdrożenie planu zgodnie ze strategią
  5. Monitoring i zarządzanie. Wszystko powyższe, przed majem 2018 roku, w celu zapewnienia ochrony prywatności i bezpieczeństwa informacji.

Wszystko powyższe, przed majem 2018 roku, w celu zapewnienia ochrony prywatności i bezpieczeństwa informacji. Dla zbudowania silniejszej pozycji na rynku, nie tylko w obawie przed karami finansowymi.

Masz pytanie? Napisz: wioletta.kulinska@magnussonlaw.com

Fotografia: Tim Scharner  / Unsplash

 

ochrona danych i własności intelektualnej, nowe technologie
wioletta.kulinska@magnussonlaw.com