Jak ogólne rozporządzenie o ochronie danych (rodo) pomaga ulepszać politykę i procesy zarządzania dokumentacją i informacjami (rim)

Blogi i artykuły

Ogólne rozporządzenie o ochronie danych (RODO) zmusiło wiele organizacji do dokonania przeglądu sposobu gromadzenia, przechowywania i zarządzania danymi po to, aby były one zgodne z przepisami.

28 marca 20197 minut
How to Bring Your Business Clouds Down to Earth

Ogólne rozporządzenie o ochronie danych (RODO) zmusiło wiele organizacji do dokonania przeglądu sposobu gromadzenia, przechowywania i zarządzania danymi po to, aby były one zgodne z przepisami. Przepisy RODO wymagają jednak nie tylko opracowania nowej polityki zgodności, ale również stworzenia możliwości zademonstrowania wprowadzonych rozwiązań. Zgodnie z zasadą odpowiedzialności należy sprawdzać, w razie potrzeby, aktualizować obowiązującą politykę firmy.

Skuteczną zachętą do okresowego aktualizowania polityki zarządzania dokumentacją i informacjami (RIM) w organizacji jest groźba kar w wysokości przekraczającej 20 milionów euro, wprowadzona przez Unię Europejską  w Ogólnym rozporządzeniu o ochronie danych (RODO).

Od czasu wejścia w życie RODO w maju 2018 r. przepisy wykonawcze i wytyczne ułatwiają zrozumienie pojęć związanych z tą regulacją. Innymi słowy, możemy coraz lepiej rozumieć, jak przepisy RODO są interpretowane przez sądy i organy ochrony danych. Co rozporządzenie o ochronie danych oznacza dla polityk i procedur RIM? Z pewnością jest istotne, i to może być pozytywna informacja. RODO nie dotyczy tylko organizacji w UE. Ma ono również zastosowanie do osób spoza regionu - (co obejmuje Wielką Brytanię oraz inne kraje), które oferują towary i usługi mieszkańcom UE. Obowiązuje ono również wszelkie organizacje, które śledzą zachowania online osób z UE odwiedzających strony internetowe.

Zarówno administratorzy danych (organizacje, które zarządzają przetwarzaniem danych osobowych i określają przyczyny ich gromadzenia), jak i podmioty przetwarzające dane (organizacje, które działają zgodnie z instrukcjami administratorów danych) podlegają RODO, ale ich obowiązki są siłą rzeczy różne. Oznacza to, że niemal każdy, kto prowadzi jakąkolwiek działalność biznesową w sieci, musi mieć pewność, że jego polityka RIM i procedury są zgodne z RODO.

Prawdę mówiąc, przyjęcie zasad RODO było nieco spóźnione, uwzględniając liczbę dużych i poważnych przypadków ujawnienia danych wrażliwych, których dopuszczały się duże i małe instytucje w czasach przed wprowadzeniem RODO. Organizacje, które zamierzają uporządkować działania w zakresie danych, mają więc obecnie silny bodziec do działania i niezbędne wskazówki.

20 milionów euro

Organizacje, które nie przestrzegają zasad RODO, mogą podlegać karze w wysokości do 20 mln euro lub 4% wartości całkowitego obrotu rocznego, w zależności od tego, która z tych kwot jest wyższa.

Co zatem należy zrobić na początku? Organizacja, jeżeli jeszcze tego nie zrobiła, powinna ocenić stosowane przez siebie procedury gromadzenia danych pod kątem uzyskania zgody osób fizycznych na gromadzenie ich danych osobowych. Należy zastanowić się, w jaki sposób dane te - szczególnie te bardziej wrażliwe - są przetwarzane, przechowywane i ostatecznie usuwane.

Zgodnie z RODO, firmy nie powinny przechowywać danych dłużej, niż jest to konieczne zgodnie z celami ich przetwarzania. Polityka i procedury RIM powinny zostać zaktualizowane tak, aby zapewniały one, że dane będą pozyskiwane, chronione, przetwarzane, przechowywane i usuwane zgodnie z zasadami rozporządzenia o ochronie danych.

Aktualizacja polityki i procesów RIM wymaga pracy, aby uzyskać zgodność z RODO. Jest to jednak mniej bolesne niż kompromitujące, szkodliwe naruszenie zasad ochrony danych lub kara w wysokości do 20 milionów euro. W ostatecznym rozrachunku RODO zwróciło uwagę na problem, z którym borykamy się wszyscy - na ochronę prywatnych danych, które gromadzimy i wykorzystujemy - i zachęciło nas do ochrony danych nie tylko tych, związanych z prowadzeniem biznesu, ale także tych wewnątrz naszych organizacji.

Co więcej, RODO zaowocowało również powstaniem dalszych przepisów dotyczących ochrony prywatności. Podobne regulacje dotyczące informacji osobistych i prywatnych danych pojawiają się na całym świecie. Przykładem może być California Consumer Privacy Act (CCPA) z 2018 roku czy nowsza California Privacy Rights Act (CPRA) z 2020 roku. Tendencja ta ma charakter globalny, czego przykładem może być ustawa POPI (Protection of Personal Information Act) uchwalona w RPA w 2020 roku.

W związku z rosnącą ilością nowych formatów danych oraz sposobów, w jakie ludzie i organizacje wykorzystują dane, można oczekiwać, że w nadchodzących latach przepisy dotyczące prywatności będą się nadal rozwijać na całym świecie.

Elevate the power of your work

Uzyskaj BEZPŁATNĄ konsultację już dziś!

Dowiedz się więcej