Blog / Co to jest GDPR i co oznacza dla Twojego biznesu?

Co jakiś czas piszemy na tematy niezwiązane bezpośrednio z księgowością, ale prowadzeniem biznesu w ogólnym znaczeniu. Dziś chcemy Ci opowiedzieć o tym, co to jest GDPR i jakie konsekwencje będzie mieć dla Twojej firmy.

Jako biznes z pewnością przetwarzasz dane swoich klientów oraz – jeśli Twoja firma jest większa – pracowników. Dlatego istotne jest, byś wiedział, jak przygotować się na nadchodzące zmiany w przepisach dotyczących przetwarzania danych osobowych.

Co to jest GDPR?

General Data Protection Regulation wchodzi w życie 25 maja w całej Unii Europejskiej. Nowym regulacjom będą podlegać wszystkie firmy i instytucje należące do Wspólnoty. Na mocy nowych przepisów każda osoba prywatna będzie mogła uzyskać dostęp do pełnych informacji na temat danych, jakie na jej temat przechowuje dana organizacja.

Po co nowe przepisy?

Sposób zarządzania danymi osobowymi wyznacza ustawa Data Protection Act – jest ona jednak bardzo stara, bo pochodzi z 1998 roku. Od tego czasu dokonał się, rzecz jasna, niesamowity postęp w metodach przetwarzania danych. Jednak to nie jedyny powód.

W ostatnich latach były częste przypadki wycieku danych osobowych z globalnych stron, takich jak LinkedIn, Yahoo, a w tej chwili trwa dochodzenie w sprawie obrotu danymi personalnymi przez portal Facebook bez zgody jego użytkowników. Widać więc wyraźnie, że potrzeba bardziej ścisłych regulacji. W Wielkiej Brytanii ogólnoeuropejskie przepisy GDPR zawierać będzie ustawa Data Protection Bill.

Co się zmieni?

Zacznijmy od już wspomnianych wycieków danych. Zgodnie z GDPR, każda organizacja, w której dane użytkowników/klientów/odbiorców zostaną przechwycone, zniszczone lub utracone będzie musiała to zgłosić w ciągu 72 godzin do ciała regulującego obrót informacjami – Information Commissioner’s Office (ICO), jeżeli może to zaszkodzić właścicielom tych danych. Szkodą może być tutaj strata finansowa, złamanie poufności, zniesławienie, itp.

Dodatkowo, firmy zatrudniające powyżej 250 pracowników będą musiały posiadać pisemne procedury wyjaśniające, jakie dane są zbierane od osób, w jakim celu i jak długo są przechowywane.

Firmy, które regularnie monitorują dane swoich klientów na dużą skalę, będą też musiały zatrudnić urzędnika do spraw ochrony danych (Data Protection Officer – DPO).

Prawa właściciela danych

Nowa ustawa daje też cały szereg praw osobom, których dane są przetwarzane. Obecne prawo daje firmom i instytucjom możliwość pobierania opłaty £10 za udostępnienie pełnego obrazu przechowywanych informacji. W myśl nowych przepisów, będzie to bezpłatne i gwarantowane prawo. Wśród kluczowych zasad dotyczących osób udostępniających swoje dane są między innymi:

• Prawo do dostępu
• Prawo ograniczenia obrotu danymi
• Prawo sprzeciwu
• Prawo przeniesienia danych

Co zmienia GDPR dla firm?

Wprowadzenie GDPR rodzi wiele pytań i niejasności. Nie wszystkie organizacje będą objęte przez każdy rodzaj przepisów, chociażby konieczność posiadania DPO. Żeby więc pomóc firmom przygotować się do zmian, ICO opracowało przewodnik, który ma za zadanie pomóc przedsiębiorcom wprowadzić proceduralne usprawnienia. Jego główne założenia poniżej:

GDPR dotyczy wszystkich firm na całym świecie, które gromadzą i przechowują dane obywateli Unii Europejskiej. Oznacza to, że zagraniczne i globalnie działające firmy, muszą stosować się do regulacji w przypadku Twoich danych.

GDPR poszerza definicję danych personalnych

Według nowych przepisów, dane personalne to coś znacznie więcej niż nazwisko i dane kontaktowe. Może to być każda informacja powiązana z daną osobą. To oznacza, że jeżeli do celów rekrutacyjnych przechowujesz jakiekolwiek szerzej rozumiane dane potencjalnych kandydatów, te dane również są chronione przez GDPR.

Musisz uzyskać zgodę na przetwarzanie informacji

Na pewno pamiętasz formułkę, którą wpisuje się na końcu każdego CV w Polsce – zgodę na przetwarzanie danych do celów rekrutacyjnych. To idealny przykład dowodu na to, że dane zostały uzyskane za zgoda osoby rekrutowanej do pracy. Taki właśnie dowód powinna moc przedstawić każda organizacja, na przykład w postaci sformułowania ogłoszenia o pracę tak, by odpowiadający na nie kandydat wiedział, jak i jakie jego dane zostaną przetworzone.

Obowiązkowa ocena ryzyka dla poufności danych

Wiele firm, szczególnie tych większych, musi mieć zgodnie z prawem ocenę ryzyka – na przykład dla stanowisk pracy. GDPR wprowadza z kolei obowiązek przeprowadzenia oceny ryzyka gromadzenia i przechowywania danych. Taki dokument powinien zawierać analizę prawdopodobieństwa utracenia bądź przypadkowego ujawnienia danych, środki zapobiegawcze oraz potencjalne konsekwencje takich przypadków.

GDPR wprowadza „Prawo do bycia zapomnianym”

Być może już teraz spotkałeś się z tym sformułowaniem, wypisując się z newsletterów lub zamykając konta na portalach społecznościowych. Prawo do bycia zapomnianym oznacza, że osoba, której dane są przetwarzane, ma prawo zażyczyć sobie, by gromadzenie jej danych było ograniczone. Twoja firma powinna więc gromadzić tylko te dane, które są niezbędne dla zatrudnienia czy świadczenia usług. Dane te nie powinny być również przechowywane dłużej, niż to absolutnie niezbędne.

GDPR rozszerza odpowiedzialność za dane na wszystkie organizacje

Do tej pory głównym celem kontroli poufności danych byli tzw. Data Controllers, czyli przykładowo firmy rekrutacyjne. W tej chwili przepisami i możliwością kontroli zostaną objęte wszystkie firmy i organizacje.

A skoro już jesteśmy przy kontroli – jak dotąd wiele firm czy organizacji mających do czynienia z danymi, wybierało Irlandię jako siedzibę, ze względu na pobłażliwe przepisy dotyczące danych osobowych. Z chwilą wprowadzenia GDPR ta możliwość znika. Oznacza to więc, że jeżeli zatrudniasz pracownika zdalnie, z innego kraju unijnego, ten pracownik może złożyć zażalenie na Twoją organizację w swoim kraju rezydencji. Z kolei Twoja firma może zostać skontrolowana przez jakikolwiek organ europejski do spraw danych osobowych.

Jak widać, za postępem technologicznym i kolejnymi skandalami związanymi z wyciekiem danych, nadąża prawodawstwo w Unii Europejskiej. Wiedząc już, czym jest GDPR, przygotuj swoją firmę na nadchodzące już w maju zmiany.

Z poważaniem,

Szymon Niestryjewski

TWÓJ ZAUFANY KSIĘGOWY W UK