Blog / GDPR – 25 maja wchodzą w życie rewolucyjne zmiany dotyczące ochrony danych osobowych

Nowe, ujednolicone dla wszystkich państw członkowskich, przepisy unijne nie tylko w znaczny sposób podnoszą wymagania dotyczące ochrony danych osobowych, ale również przewidują wysokie kary za ich nie przestrzeganie. Firmy i instytucje, które do 25 maja nie dostosują się do GDPR, może to kosztować nawet 20 milionów euro  lub 4% rocznego obrotu – w zależności, która kwota jest wyższa.

Kogo dotyczy GDPR?

GDPR (General Data Protection Regulation) obowiązuje każdą firmę oraz instytucję, która zbiera, gromadzi lub przetwarza dane osobowe. Nie ma znaczenia, czy jest to duże przedsiębiorstwo zatrudniające kilkaset ludzi, czy jednoosobowa działalność. – Przykładowo hydraulik, który ma listę swoich klientów, wystawione dla nich faktury, również powinien dostosować się do nowych regulacji – tłumaczy Dorota Iwankiewicz, ekspert General Data Protection Regulation oraz dyrektor DM2 Agency.– Przepisy dotyczą każdej firmy. Niezależnie od działalności, posiada ona dane, jak maile, adresy, numery telefonów i kont bankowych klientów i kontrahentów, informacje o pracownikach. Wszystkie powinny być odpowiednio zabezpieczone, a zbędne zniszczone lub usunięte.

Czym są dane osobowe?

– Najprościej dane osobowe to wszystkie informacje, dzięki którym możemy zidentyfikować, bezpośrednio lub pośrednio, osobę lub firmę, instytucję – tłumaczy ekspert.

Wśród nich znajdują się m.in. imię, nazwisko, adres emial, nagrania z kamer przemysłowych, ale także IP komputera i identyfikatory plików cookie.  Gdy zatrudniamy pracowników do danych osobowych zaliczane są ich teczki osobowe. Gdy przeprowadzamy proces rekrutacji – każde otrzymane CV. W przepisach pojawia się także pojęcie wrażliwych danych osobowych. Wśród nich wymieniane są m.in. pochodzenie etniczne, dane genetyczne i biometryczne, informacje dotyczące zdrowia, a także przekonania religijne i poglądy polityczne.

Co zmienia GDPR?

W sumie General Data Protection Regulation składa się 99 artykułów. Nowość pojawia się już w artykule 5, który dotyczy informowania o naszym systemie zbierania i przechowywania danych, zanim jeszcze je uzyskamy.

– Dobrym przykładem jest proces rekrutacji – mówi Dorota Iwankiewicz. – Powyższe informacje muszą być już zawarte w ofercie pracy, np. poprzez podanie linku. Powinny się pod nim znaleźć privacy notice naszej firmy lub przekazane jeszcze przed rozpoczęciem rozmowy kwalifikacyjnej. Każdy nasz potencjalny, obecny i były pracownik musi wiedzieć jakie dane będziemy posiadać, jak będą używane i co się z nimi stanie po zakończeniu współpracy.

O sposobie zbierania i przechowywania danych musimy poinformować naszych kontrahentów zanim jeszcze podpiszemy kontrakt, klientów zanim dokonają zakupu. – To bardzo ważne, nie licząc ewentualnych kar, które przewiduje nowe prawo, może to powodować dodatkowe roszczenia – ostrzega ekspert. – Niezadowolony pracownik, lub osoba która nie otrzymała pracy może w skardze wymienić brak poinformowania jej o sposobie przetwarzania jej danych.

Wszystkie dokumenty, które zawierają dane osobowe muszą zostać uaktualnione o zgodę na ich przetwarzanie zgodnie z GDPR. Dotyczy to także zgód na wysyłanie email, newsletterów, przechowywania bazy klientów, czy danych swoich pracowników.

– Według GDPR dane można przechowywać przez dłuższy czas, jeżeli jest to niezbędne i uzasadnione. Przykładem są faktury, które należy przechowywać przez 6 lat – tłumaczy Dorota Iwankiewicz. – Dlatego warto zniszczyć dokumenty lub dane, które nie są nam już potrzebne, tym samym zmniejszając ryzyko ich utraty lub kradzieży.

Dodatkowo według nowych przepisów każdy przedsiębiorca będzie miał 72 godziny na zgłoszenie podejrzenia utraty lub utraty danych osobowych, które posiada.

– Choć GDPR jest obszernym dokumentem warto się z nim zapoznać lub skorzystać z porad specjalistów w tym zakresie – dodaje ekspert.

Co grozi za niedostosowanie się do GDPR?

Nowe prawo unijne przewiduje bardzo wysokie kary dla firm, które nie będą przestrzegały przepisów GDPR. W zależności od skali przewinienia może to być nawet 20 milionów euro lub 4 procent rocznego obrotu firmy. – Dla małych i mikroprzedsiębiorstw, a tych jest najwięcej na brytyjskim rynku, może to być koniec działalności – mówi Dorota Iwankiewicz. – Już sam koszt odzyskania utraconych, czy to przez atak hakerski, czy nielojalnego pracownika, danych to około £1400. Do tego należy doliczyć m.in. zakup oprogramowania zabezpieczającego.

GDPR – jak sobie poradzić?

Po pierwsze – zastanów się, jakie dane są niezbędne dla twojej działalności i jaki jest powód, aby zostały w firmie. Pozostałe, niepotrzebne informacje, w bezpieczny sposób, zniszcz lub trwale usuń z dysków.

Po drugie – wiedza. Postaraj się jak najwięcej dowiedzieć na temat nowych zasad GDPR. W tym celu możesz skorzystać z tekstu unijnej regulacji, artykułów ze stron rządowych lub porad ekspertów.

Po trzecie – wszystkie dane, które posiadasz muszą być przechowywany w bezpieczny sposób. Przeanalizuj rozwiązania w tym zakresie w swojej firmie, z jakich rozwiązań korzystasz, czy są one wystarczające, jakie są słabe punkty tego systemu, może potrzebujesz go ulepszyć.

– Pamiętajmy, że dane osobowe przechowujemy nie tylko w formie papierowej lub cyfrowej na komputerze firmowym – dodaje Dorota Iwankiewicz. – Znajdują się również na urządzeniach mobilnych, dla sporej grupy przedsiębiorców dostęp do skrzynki email na telefonie to podstawa. Warto zadbać o dobre oprogramowanie zabezpieczające i aktualizację programu antywirusowego oraz korzystać z private mode.

Po czwarte – ogranicz dostęp do minimum. Zastanów się kto ma dostęp do danych osobowych, które przetwarzasz, a dla kto jest on niezbędny, aby wykonywać swoją pracę – według GDPR tylko te osoby powinny mieć do nich dostęp.

Po piąte – przygotuj, najlepiej we współpracy ze specjalistą, privacy policy, czyli spisz w jaki sposób twoja firma gromadzi i przetwarza dane. Informacja te muszą być zawarte w handbook, który powinien otrzymać każdy pracownik, warto też je zamieścić na stronie internetowej.

Po szóste – zaktualizuj posiadane przez twoją firmę dane osobowe o zgodę od ich właścicieli na przetwarzanie zgodnie z GDPR.  Wykorzystaj to jako odnowienie relacji i budowanie wizerunku.

Po siódme – przed uzyskaniem danych informuj ich właścicieli o systemie ochrony danych osobowych w twojej firmie.

W jaki sposób wykorzystać GDPR w rozwoju firmy?

Nowe przepisy to duże zmiany dla firm, dodatkowa praca, ryzyko utraty płynności finansowej, można jednak je wykorzystać np. w marketingu i budowaniu silnej, rzetelnej marki.

– Często przedsiębiorcy przechowują ogromne ilości danych, których już nie używają, albo ich nie potrzebują  – mówi ekspert. – Nowe zasady jakie narzuca GDPR to doskonały powód na zrobienie porządków w firmie. Z drugiej strony to świetny argument na odnowienie relacji z byłymi klientami lub kontrahentami. Dodatkowo budujemy wizerunek rzetelniej i profesjonalnej marki. W Wielkiej Brytanii działanie zgodnie z prawem dla lokalnych firm jest bardzo ważne. Warto w ich oczach zdobyć dodatkowe punkty i pokazać, że również znajdujemy się w tym gronie.

Zmiany w przepisach można również wykorzystać w tworzeniu employer brandingu, czyli wizerunku pracodawcy. Informując naszych pracowników, jak są przetrzymywane ich dane, kto ma do nich dostęp i co się z nimi stanie po zakończeniu współpracy, prezentujemy siebie jako odpowiedzialną firmę, która dba o swój zespół.  – Dostosowanie się do GDPR jest wymagane, może być trudne dla wielu firm, ale może przynieść im także wiele korzyści – podsumowuje Dorowa Iwankiewicz z DM2 Agency.

Dorota Iwankiewicz

Senior specjalista ds. strategii i marketingu, międzynarodowy trener,  wykładowca ds. psycho- i socjolingwistyki w biznesie. Przez ponad 20 lat z sukcesem prowadzi, na rynku polskim i brytyjskim, DM2 Agency. W portfolio agencji znajdują się tacy kliencie jak VISA, Kredyt Bank, PZU.

Obecnie, oprócz działań marketingowych i z zakres u PR, od blisko dwóch lat pracuje w międzynarodowym zespole prawników i informatyków, którego celem jest zgłębianie i propagowanie wiedzy o General Data Protection Regulation.

Z poważaniem,

Szymon Niestryjewski

TWÓJ ZAUFANY KSIĘGOWY W UK