Jak tłumaczyła podczas czwartkowej konferencji prasowej Sylwia Pusz z firmy konsultingowej PwC, unijne rozporządzenie o ochronie danych (RODO) już weszło w życie w maju 2016 r., jednak przepisy zaczną obowiązywać od 25 maja 2018 roku.
Zdaniem ekspertki, jest to ogromne wyzwanie dla firm, zarówno pod względem kosztów, jak też zasobów ludzkich. Rozporządzenie nakłada bowiem dodatkowe obowiązki w zakresie ochrony danych osobowych, nie określając przy tym, w jaki sposób to zrobić. Obecnie firmy poruszają się w obrębie krajowych przepisów, które określają, jak należy postępować z danymi osobowymi.
Pusz zaznaczyła, że dane osobowe, to nie tylko imię, nazwisko, numer pesel itp., ale także inne dane mówiące o charakterze danej osoby np. na temat przyzwyczajeń.
Według Anny Kobylańskiej z PwC, jest to całkowita zmiana podejścia do tego zagadnienia. Rozporządzenie UE mówi tylko, jaki cel trzeba osiągnąć, natomiast nie mówi, co przedsiębiorca musi zrobić w tym zakresie. Konieczne będzie np. uwzględnienie ochrony danych osobowych już w fazie projektowania rozwiązań informatycznych. Obowiązkowe będzie m.in. rejestrowanie czynności przetwarzania danych osobowych. Dodatkowo, w przypadku naruszenia przepisów, administratorzy danych osobowych będą zobowiązani do zawiadamiania odpowiedniego organu.
– zauważa Kobylańska.
Podkreśliła, że unijne rozporządzenia mają obowiązywać "wprost" wszystkich przedsiębiorców - zarówno duże międzynarodowe firmy jak i firmy jednoosobowe. Unijne przepisy mają obowiązywać wprost, a więc nie będzie ustawy je wprowadzającej. Wzmocniony ma być urząd Inspektora Ochrony Danych Osobowych, który za naruszenie przepisów, będzie mógł nakładać ogromne kary finansowe.
- zaznacza Kobylańska.
W opinii ekspertów PwC, przedsiębiorstwa powinny zacząć od inwentaryzacji danych, czyli ustalenia, jakie dane osobowe, jak, gdzie i po co są wykorzystywane przez przedsiębiorcę. Analizy te umożliwią przygotowanie wykazu luk w sposobie chronienia danych osobowych. Kolejnym krokiem będzie opracowanie działań wdrożeniowych i naprawczych.
Jak powiedział menedżer w zespole ds. cyberbezpieczeństwa w PwC Łukasz Ślęzak, RODO wprowadza jedynie ogólne wymagania w obszarze bezpieczeństwa danych osobowych. - - dodał.
Uzgodnienie unijnych przepisów trwało cztery lata. RODO ma zharmonizować prawo ochrony danych osobowych w Europie. Rozporządzenie to zastąpi dyrektywę w tym zakresie z 1995 roku.
