Kto posiada obowiązek ochrony danych?
Obowiązkowi ochrony podlegają wszystkie zbiory danych osobowych, które są przetwarzane w celach innych, niż czysto osobiste i domowe (por. art. 2 ust. 2 c RODO). Wynika z tego, że obowiązkowi ochrony danych podlegają między innymi wszystkie przedsiębiorstwa na terenie Unii Europejskiej, niezależnie od ich formy prawnej i wielkości.
Tymczasem właściciele małych firm i mikroprzedsiębiorstw często nie mają świadomości, że także ich dotyczą przepisy ogólnego rozporządzenia o ochronie danych z dn. 27 kwietnia 2016 r. (popularnie zwanego RODO). Część z nich uważa wręcz, że to rozporządzenie ich nie dotyczy. Inni z kolei sądzą, że RODO to jakiś zbiór nonsensów. Do takich opinii zapewne skłaniają ludzi sensacyjne doniesienia medialne o mitach i absurdach RODO. Doniesień takich jest znacznie więcej, niż rzetelnych publikacji.
Podzielanie takich przekonań naraża przedsiębiorców na bardzo wysokie kary administracyjne. Jak powszechnie wiadomo, sięgają one nawet 20 milionów euro. Oprócz tego administratorzy danych mogą ponosić odpowiedzialność karną przy rażących naruszeniach ochrony danych lub odpowiedzialność cywilną, jeśli niezastosowanie się do przepisów o ochronie danych spowodowało szkody dla osób, których dane dotyczą.
Jak wdrożyć wymagania RODO?
Z tego względu wskazane jest jak najszybsze zastosowanie prawidłowych zasad ochrony danych osobowych. Proces wdrożenia tych zasad można podzielić na cztery etapy:
- sprawdzenie stopnia spełnienia wymagań RODO, które obejmuje zbadanie zabezpieczeń prawnych, organizacyjnych, technicznych i informatycznych w danym przedsiębiorstwie (organizacji);
- przeprowadzenie szkoleń dla zarządów, właścicieli i pracowników;
- utworzenie niezbędnej dokumentacji ochrony danych;
- implementacja odpowiednich procedur, zabezpieczeń i praktyk.
Niezwykle ważne jest, żeby w procedury organizacyjne na stałe wpisać:
- regularne sprawdzanie stanu zabezpieczeń danych osobowych,
- nieustanne doskonalenie praktyki ochrony danych.
Pamiętajmy, że ochrona danych nie jest czynnością jednorazową lecz ciągłym procesem, który powinien być regularnie ulepszany.