Przyjęty przez rząd projekt nie przewiduje wyłączeń dla mikroprzedsiębiorców. Oznacza to, że od 25 maja 2018 r. powinny już być przygotowane do stosowania rozporządzenia* Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO).

Więcej: Rząd przyjął projekt nowej ustawy o ochronie danych >>

Zdaniem Pawła Litwińskiego, adwokata, partnera w kancelarii Barta Litwiński trudno znaleźć firmę, która nie przetwarza danych. Robi to bowiem każdy przedsiębiorca, który zbiera, przechowuje, usuwa, opracowuje, udostępnia, archiwizuje, niszczy dane pozwalające zidentyfikować osobę. Teraz więc musi sprawdzić podstawę na której to robi, oszacować ryzyko oraz przygotować odpowiednią dokumentację. Jej brak może oznaczać kłopoty, w tym wysokie kary.

- RODO to nie tylko kary, ale przede wszystkim chęć uwrażliwienia, że dane osobowe powinny być dobrze zabezpieczone. – Te przepisy mają nas chronić przed handlem danymi. Trzeba się przygotować i pamiętać, że dane osobowe są dobrem wrażliwym, że nie należy panikować – mówi Marek Zagórski, wiceminister cyfryzacji.

Duzi radzą sobie lepiej

Tymczasem z  badań przeprowadzonych ostatnio przez SAS i Insites Consulting wynika, że niemal wszyscy respondenci (98 proc.) napotykają trudności w przygotowaniu do wdrożenia RODO. Duże organizacje jednak radzą sobie znacznie lepiej niż małe. 67 proc. firm zatrudniających powyżej 5000 pracowników już podjęła niezbędne kroki, a 60 proc. z nich dysponuje uporządkowanym zestawem procesów pozwalających dostosować się do RODO. Tymczasem tylko 47 proc. mniejszych firm rozpoczęło przygotowania. Od czego powinny zacząć pozostałe?  

Oszacowanie ryzyka

- Jest wiele różnych metod – tłumaczy Maciej Kawecki dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, główny autor projektu krajowej ustawy o ochronie danych osobowych. - Ja mogę podać taką, którą ja bym zastosował. W pierwszej kolejności powinna zrobić katalog różnych zabezpieczeń, które jest w stanie zapewnić w danym stanie faktycznym bądź które zapewniamy, np. naklejki informujące o monitoringu, szyfrowanie danych osobowych, stosowanie protokołów ssl, haseł dostępu, ograniczenie  kręgu osób dopuszczonych do danych, itp. Następnie należy stworzyć skalę, np. od 1 do 10 oceniającą ryzyko, gdzie np. 1 to brak przetwarzanie danych osobowych, czyli w ramach danej czynności w ogóle nie gromadzeni danych osobowych, a 10 gromadzenie wyłącznie danych szczególnie chronionych w dużych zasobach, np. podmiot medyczny. 9 gromadzenie danych szczególnie chronionych w małych zasobach itd. I każdej pozycji ze skali należy przyporządkować zabezpieczenia z naszego katalogu adekwatne do celów przetwarzania. W ten sposób firma potem może przeanalizować ryzyko każdej czynności. Np. jeśli prowadzimy hotel, to czynnościami może być monitoring wizyjny, rejestracja w recepcji, korzystanie z usług gastronomicznych – tu mogą być dane wrażliwe, bo ktoś jest na diecie, np. bezglutenowej. Każdej z tych czynności przyporządkowujemy ryzyko według stworzonej wcześniej skali. Nie możemy natomiast nigdy posłużyć się powyższą metodą, poprzez sztuczne przyporządkowywanie zabezpieczeń do stopnia ryzyka. Zawsze zabezpieczenia muszą być adekwatne do celu – podkreśla Kawecki.

Nieco inną metodą podpowiada Generalny Inspektor Ochrony Danych Osobowych. Ten radzi opracować opisy: przetwarzanych danych oraz stosowanych zabezpieczeń. Te ostatnie dzieli na: organizacyjne (polityki prywatność, regulaminy), personalne (weryfikacja uprawnień, umowy o poufności), techniczne (system antywirusowy) fizyczne (strefy ochronne, systemy alarmowe), zidentyfikować zagrożenia i przenalizować, co się stanie, gdy wystąpią, a na końcu przyporządkować stopień ryzyka.

Przygotowując się do RODO należy też sprawdzić, czy firma posiada zgody na przetwarzanie danych. W przypadku tych zebranych przed 25 maja 2018 r. należy zweryfikować, czy po tej dacie pozostaną  ważne.

Więcej: Czy na śledzenie ciasteczek potrzebna jest zgoda?>>

 * Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu.