25 maja w życie wchodzi RODO – unijne rozporządzenie o ochronie danych osobowych. RODO będzie dotyczyło wszystkich firm, które gromadzą i wykorzystują dane dotyczące obywateli europejskich. Zostaną nim objęte wszystkie informacje, nawet fragmentaryczne, które mogłyby doprowadzić do identyfikacji osoby; w tym nazwisko, adres, numer identyfikacyjny, adres internetowy, adres IP, pliki cookie, znaczniki RFID, biometria, dokumentacja zdrowotna, informacje o poglądach politycznych czy orientacji seksualnej. Z jakimi zmianami należy liczyć się w biznesie i na co dzień w pracy?
RODO (GDPR) to unijne rozporządzenie o ochronie danych osobowych , które wejdzie w życie 25 maja 2018 r. w krajach wspólnoty. Do tego czasu wszystkie podmioty przetwarzające dane będą musiały dostosować się do nowych wytycznych. W przeciwnym razie, spodziewać mogą się poważnych kar.
Czym jest RODO?
Rozporządzenie RODO opiera się na idei risk based approach. Administrator danych najpierw powinien stwierdzić, jakie ryzyka związane z ochroną danych występują w jego przypadku. Kolejnym krokiem powinno być wdrożenie środków ochrony, adekwatnych do zidentyfikowanych zagrożeń. RODO wskazuje, że dane osobowe mają być gromadzone i przetwarzane zgodnie z najwyższym standardem bezpieczeństwa.
Wytyczne RODO przewidują m.in.:
Dane osobowe są definiowane przez rozporządzenie RODO, jako dane zidentyfikowanej i możliwej do identyfikacji osoby (art.4. pkt 1 RODO). Dane osobowe mogą znajdować się m.in. w:
Rozporządzenie RODO definiuje podstawowe zadania, które mają zapewnić bezpieczeństwo w zakresie gromadzenia i zarządzania danymi osobowymi. Są to m.in.: inwentaryzacja i identyfikacja danych; zarządzanie sposobem wykorzystywania i uzyskania dostępu do danych osobowych; ochrona danych i wprowadzenie kontroli bezpieczeństwa oraz zgłaszanie ewentualnych naruszeń.
RODO reguluje również kwestię tzw. prawa do bycia zapomnianym. Osoba, której dane są przechowywane, będzie mogła żądać ich usunięcia, jeśli dane nie będą niezbędne do celów, w jakich zostały zebrane. Każdy będzie mógł również cofnąć zgodę na przetwarzanie danych.
Jak być zgodnym z RODO?
W pierwszym etapie każde z przedsiębiorstw powinno przeprowadzić inwentaryzację danych, które przetwarza. Ustalić, jakie kategorie danych osobowych występują w firmie oraz w jakich celach są one wykorzystywane. Dzięki takiej analizie możliwe będzie przygotowanie wykazu luk w sposobie, w którym obecnie chronione są dane. Kolejną czynnością powinno być zniwelowanie zidentyfikowanych luk.
Następnie, każda z firm powinna opracować plan działań naprawczych i określić to, w jaki sposób w przyszłości będzie odbywał się proces ciągłej weryfikacji i ochrony danych. Wszystkie przedsiębiorstwa będą zobowiązane do przygotowania we własnym zakresie nowej polityki ochrony danych osobowych, która będzie zgodna z wytycznymi RODO. Rozporządzenie nie precyzuje jednak tego, jak należy to zrobić i przy użyciu jakich technologii.
Jakie pozornie zwykłe czynności w pracy zmienią się po 25 maja?
Wszyscy wcześniej czy później będą musieli dostosować się do RODO. Jednym z elementów tej zmiany będzie podniesienie świadomości pracowników poprzez szkolenia dotyczące tego, jak wiele codziennych zadań zawodowych, ale i prozaicznych do tej pory czynności okazuje się być potencjalnym zagrożeniem dla naruszenia danych osobowych. Na przykład:
1. Świętowanie urodzin współpracowników
Data urodzenia pracownika stanowi część danych osobowych. Zgodnie z RODO świętowanie urodzin pracownika może się odbywać wyłącznie za jego zgodą. Sprawdź, czy masz pozwolenie wszystkich pracowników na udostępnianie wspólnego kalendarza urodzin w biurze.
2.Wysyłanie firmowych kartek świątecznych
Jeżeli Twoja firma planuje wysłać kartki świąteczne do swoich klientów – musisz szczególnie uważać. Jeżeli wysyłka zakłada wykorzystanie czyjegoś prywatnego adresu domowego, jest to przetwarzanie danych osobowych. Chcąc wysłać życzenia świąteczne, musisz uzyskać zgody osób, do których adresujesz kartki.
3. Udostępnianie zdjęć dzieci współpracowników
Zastanów się dwa razy, zanim udostępnisz zdjęcia dziecka współpracownika. RODO umożliwia przetwarzanie danych osobowych osób, które ukończyły 16. rok życia. W projekcie polskiej nowelizacji ustawy o ochronie danych obniżono ten wiek do 13 lat.
4.Specjalne posiłki w czasie firmowych imprez
W firmach coraz częściej można spotkać osoby z alergiami pokarmowymi, stosujące różne diety uwarunkowane potrzebami zdrowotnymi lub religijnymi. Informacje o takich dietach też mogą być traktowane jako dane osobowe. Zamawiając specjalne posiłki w firmie cateringowej lub restauracji upewnij się, że posiadasz odpowiednie zgody zainteresowanych osób.
5. Przekazywanie CV kandydata do opinii współpracowników
Prowadzisz proces rekrutacyjny i starasz się zasięgnąć opinii współpracowników na temat danego kandydata. Pamiętaj, że dane w CV to także dane osobowe. Jeżeli chcesz porozmawiać o konkretnej kandydaturze z kimś innym, dokonaj prostej anonimizacji: usuń imię i nazwisko, adres, numer telefonu i wszelkie inne informacje umożliwiające identyfikację.
6. Domyślnie zaznaczone pole zgody na przesyłanie materiałów marketingowych
Zgodnie z RODO wstępnie zaznaczone pola zgód marketingowych lub domyślne zgody (brak zaznaczenia, że klient nie zgadza się na przesyłanie informacji), nie będą już zgodne z prawem. Pamiętaj, że zgodnie z RODO prośba o wyrażenia zgody na komunikację musi być zrozumiała i napisana prostym językiem.
7. Mówienie o polityce w biurze
Opinie polityczne są częścią specjalnej kategorii danych osobowych – tzw. wrażliwych danych osobowych. Organizacje, w tym przedsiębiorstwa, nie mogą rejestrować ani przetwarzać tego rodzaju informacji.
8. Telefon w czasie choroby
Informacje o stanie zdrowia są danymi szczególnie chronionymi przez RODO. Jeżeli zachorujesz i zadzwonisz rano do firmy z informację o swoim stanie zdrowia, osoba, z którą rozmawiałeś nie powinna rozprzestrzeniać tej informacji wśród innych współpracowników, chyba że wyrazisz zgodę na jej udostępnienie.
Jak widać, RODO wpłynie na wiele powszechnych czynności. I to od pracodawcy będzie zależało, czy jego pracownicy zostaną odpowiednio przygotowani do realizacji nowych obowiązków prawnych. A warto mieć na uwadze, że RODO ani nie kończy, ani nie zaczyna się 25 maja. Ochrona danych osobowych to proces ciągły, do którego nie da się przygotować raz na zawsze.
Źródło: Sage, Sente, Bitdefender
