zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

02 grudnia 2016

Nowe regulacje dotyczące ochrony danych osobowych


Nowe przepisy UE będą wymagały od wszystkich firm (także najmniejszych) zmian sposobu zbierania i przetwarzania danych osobowych. Już dziś warto zrobić inwentaryzację posiadanych danych i pomyśleć o przeszkoleniu pracowników, którzy będą pilnować stosowania się do zasad Rozporządzenia o ochronie danych osobowych (RODO). Nieprzestrzeganie nowych przepisów może skutkować nałożeniem kary nawet do 20 mln euro.

Jeszcze ponad rok dzieli Polskę od wejścia w życie nowych wytycznych w sprawie ochrony danych osobowych, jednak już teraz warto przygotowywać się na zmiany, bo jest ich sporo.

Biura rachunkowe przed szczególnym wyzwaniem

Biura rachunkowe posiadają w swych zasobach bardzo dużo różnego rodzaju danych jak: dane własnych pracowników i powierzone dane klientów (faktury, rachunki, umowy, dane osobowe pracowników, dane osobowe zleceniobiorców i wykonawców, dokumentacje ubezpieczeniowe ZUS czy deklaracje podatkowe). Ponieważ specyfika działania biur wiąże się z przechowywaniem i przetwarzaniem tak dużej ilości danych, powinny one szczegółowo zapoznać się z europejskim rozporządzeniem i zacząć przygotowywać politykę ich ochrony.

Przedsiębiorcy usługowo prowadzący księgi rachunkowe bardzo często nie przestrzegają przepisów ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Z przeprowadzanych przez GIODO kontroli wynika, że problem ten dotyczy nawet 80% biur rachunkowych. Nie wynika to ze złej woli, ale z braku świadomości tego, że na biurach rachunkowych ciążą konkretne obowiązki.

Obecnie karą za naruszenia ustawy o danych osobowych jest grzywna, kara ograniczenia albo pozbawienia wolności do dwóch lat. W 2018 roku wysokość kar się zmieni, mogą być gigantyczne i sięgać nawet 20 mln euro. Nieprzestrzeganie zasad RODO może się więc zakończyć nawet bankructwem firmy, której trudno będzie udźwignąć finansowo taki ciężar. Biuro rachunkowe musi być zwłaszcza szczególnie uwrażliwione na zgłaszanie naruszeń w systemie ochrony danych, ma na to ustawowo tylko 72 godziny. Nie zgłoszenie ich w tym czasie może stanowić podstawę do ukarania firmy.


Nadchodzi RODO

Nowe przepisy ogłoszone 26 maja 2016 r. w „Rozporządzeniu Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych”, zwane w skrócie Rozporządzeniem o ochronie danych osobowych (RODO) albo General Data Protection Regulation (GDPR)

zaczną obowiązywać od 26 maja 2018. Będą dotyczyć wszystkich podmiotów gospodarczych w Unii Europejskiej. Celem reformy jest umożliwienie obywatelom UE oraz przedsiębiorcom czerpania maksymalnych korzyści z tzw. Jednolitego Rynku Cyfrowego, przy jednoczesnym zachowaniu bezpieczeństwa danych osobowych i poszanowaniu prawa do prywatności.

Dotychczasowe przepisy obowiązywały w równym stopniu osoby fizyczne prowadzące działalność gospodarczą, jak i duże spółki akcyjne. Te ostatnie dbały o dane, ale małe firmy nie przywiązywały wielkiej wagi do tego zagadnienia. Dlatego RODO jest większym wyzwaniem dla firm małych i mikroprzedsiębiorstw. Na szczęście Rozporządzenie UE traktuje firmy zatrudniające do 250 osób bardziej ulgowo niż większe przedsiębiorstwa. Nie będą one zmuszone zatrudniać tzw. IOD (Inspektora Ochrony Danych, który zastąpi Administratora Bezpieczeństwa Informacji), nie będą też miały obowiązku rejestrowania wszystkich czynności związanych z przetwarzaniem danych.


Czego RODO oczekuje od przedsiębiorców

Przedsiębiorstwa nie będą już musiały rejestrować w GIODO swoich baz danych, natomiast mają obowiązek zbudować system ochrony danych zgodnie z wymogami rozporządzenia. Przede wszystkim muszą zapewnić całościową ochronę danych osobowych, którą nazwano: „privacy by design and by default”. Oznacza to, że ochrona danych ma być wbudowywana w usługę lub produkt już na etapie ich projektowania (by design) i ma być aktywna domyślnie (by default) bez konieczności podejmowania działań przez osoby, których dane dotyczą. Zasada privacy by default zobowiązuje do stosowania takich środków technicznych i organizacyjnych, które zapewnią domyślne przetwarzanie jedynie danych koniecznych do realizacji konkretnego celu.

Nowe rozporządzenie reguluje też kwestię tzw. prawa do bycia zapomnianym. Osoba, której dane dotyczą, będzie mogła żądać ich usunięcia, jeżeli dane te nie będą niezbędne do celów, w których były zbierane. Będzie też mogła cofnąć zgodę na ich przetwarzanie.

Ciekawostką jest fakt, że katalog danych osobowych podlegających szczególnej ochronie od 2018 roku się poszerzy – dodano do nich dane genetyczne i biometryczne.


Drastyczny system kar na straży danych osobowych

Jeśli zostaną stwierdzone nieprawidłowości w systemie ochrony danych, może to oznaczać ogromne kłopoty dla firmy, gdyż sankcje za niezgodne z prawem przetwarzanie danych osobowych będą dotkliwe. Wysokość kar za naruszenie wymogów ustawy będzie zależała od wagi naruszenia. Każdy przypadek będzie rozpatrywany indywidualnie.

Oto przykładowe pola naruszeń, które mogą skutkować nakładaniem kar:

Poważne naruszenia – wysokość kary to 4% całkowitego rocznego światowego obrotu w przypadku przedsiębiorstwa i do 20 mln euro w przypadku innego podmiotu. Naruszenia mogą dotyczyć

  • podstawowych zasad przetwarzania danych,
  • przetwarzanie danych wrażliwych,
  • niedopełnienia obowiązków informacyjnych,
  • prawa do bycia zapomnianym.

Inne naruszenia – wysokość kary to 2% całkowitego rocznego światowego obrotu i do 10 mln euro w przypadku innego podmiotu za m.in.:

  • niezgłaszanie GIODO i osobie, której dane dotyczą, przypadków naruszenia,
  • zaniedbania we wdrożeniu środków technicznych i organizacyjnych ochrony danych,
  • nierejestrowanie czynności przetwarzania danych,
  • brak współpracy z organem nadzorczym.


Jak przygotować się do RODO

W jaki sposób firmy mają się zatem przygotować do realizacji nowych zasad ochrony danych? Na początku powinno się ocenić stan obecny, czyli przeprowadzić inwentaryzację przetwarzanych w firmie danych – jakie kategorie danych osobowych firma posiada i do jakich celów je wykorzystuje. Taka analiza pozwoli na przygotowanie wykazu luk w sposobie chronienia danych osobowych a następnie ich zniwelowanie.

Kolejnym krokiem powinno być opracowanie działań wdrożeniowych i naprawczych oraz zaplanowanie ciągłego procesu weryfikacji i ochrony danych. Ponieważ rozporządzenie nie precyzuje, w jaki sposób należy to wykonać i z jakich konkretnych technologii skorzystać, każda firma MŚP będzie musiała sama przygotować skuteczną i zgodną z nowymi wymogami politykę ochrony danych osobowych. 

Przeczytaj więcej o nowych regulacjach prawnych dotyczących biur księgowych.