Od maja 2018 roku, gdy RODO zaczęło obowiązywać, większość firm podjęła odpowiednie kroki, by wdrożyć wszelkie niezbędne zmiany. Minął ponad rok – jakie po tym czasie można wyciągnąć wnioski? Czy wystarczy, że firma jednorazowo wdrożyła wszystkie zalecenia, a może niezbędna jest regularna kontrola i wprowadzanie w życie wszelkich nowelizacji?
Podstawowe założenia i cele RODO
Na początku przypomnijmy, jaki jest nadrzędny cel ubiegłorocznej nowelizacji przepisów. Przede wszystkim RODO to zbiór, który próbuje zmierzyć się z problemami współczesnego świata, takimi jak przetwarzanie danych osobowych przy pomocy nowoczesnych technologii. Cel RODO to ujednolicenie prawa, by mieszkańcy wszystkich krajów należących do Unii Europejskiej mieli pełną kontrolę nad tym, w jaki sposób ich dane osobowe są przetwarzane, gromadzone i jak wygląda przepływ tych danych. RODO reguluje również inne kwestie, na przykład przenoszenie danych pomiędzy dostawcami usług, a także ułatwia usunięcie danych.
Istotnym aspektem jest fakt, że RODO – w dużym stopniu – nie jest niczym nowym, a ma jedynie służyć uporządkowaniu i ujednoliceniu przepisów na temat przetwarzania danych. Po wejściu w życie RODO uregulowane zostały również obowiązki osób, które reprezentującą zawody i stanowiska, wspierające administratorów danych w ochronie danych osobowych, np. Inspektora ochrony danych.
Jak firmy sprostały wymogom RODO?
Firmy – bez względu na wielkość czy obroty – zostały zobowiązane do wdrożenia przepisów wynikających z RODO. Najważniejsze zmiany i miejsca, które wymagały ewentualnej korekty, to przede wszystkim uzyskanie odpowiednich zgód na przetwarzanie danych osobowych. Czy polskie firmy dobrze poradziły sobie z tym zadaniem? O pierwszej karze nałożonej przez Urząd Ochrony Danych Osobowych za naruszenie przepisów RODO usłyszeliśmy w marcu 2019 roku. Za co ukarano jedną ze spółek? Za niezrealizowanie jednego z najważniejszych postulatów RODO, czyli obowiązku informacyjnego. Firma nie poinformowała w odpowiedni sposób swoich użytkowników i byli oni nieświadomi, że ich dane są przetwarzane. Wysokość kary? Prawie milion złotych.O drugiej – zarazem ostatniej – karze za naruszenie przepisów RODO usłyszeliśmy w maju. Na związek sportowy nałożono karę prawie 56 tys. złotych. Powód? Opublikowanie na stronie internetowej związku danych sędziów, takich jak PESEL i miejsce zamieszkania. Poza tymi dwoma, w tym jednym bardzo kosztownym incydentem, ponad rok po wejściu w życie RODO żadna inna polska firma nie została ukarana za łamanie znajdujących się w rozporządzeniu przepisów.
Nowelizacje i zmiany wprowadzone po wejściu w życie RODO
Po maju 2018 roku weszły w życie kolejne nowelizacje przepisów. Jedną z takich nowości są regulacje w obrębie Kodeksu Pracy. Na nowo definiują one zasady wypłaty wynagrodzenia do rąk własnych, sposobu prowadzenia dokumentacji oraz obliczania czasu przechowywania dokumentacji pracowniczej. Na początku 2019 roku weszły w życie przepisy mówiące o tym, że pracodawca jest zobligowany do poinformowania swoich pracowników o obowiązku podania numeru rachunku bankowego lub złożenia wniosku o dalsze dokonywanie wypłaty wynagrodzenia do rąk własnych.
Kolejnym obowiązkiem, nałożonym na pracodawcę, jest konieczność poinformowania przed dokonaniem zmiany postaci prowadzenia dokumentacji o tym swoich pracowników. Pracownik powinien mieć również możliwość odebrania dokumentacji w postaci, która obowiązywała wcześniej, przed wprowadzoną zmianą. Nowością w przepisach jest skrócenie czasu przechowywania dokumentacji pracowniczej. Dotychczas było to 50 lat od momentu ustania stosunku pracy, od początku 2019 roku okres ten został skrócony do 10 lat od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł.
Inna nowelizacja, która została wprowadzona już po wejściu w życie RODO, została podpisana w kwietniu 2019 roku. To ustawa sektorowa, której nadrzędnym celem jest dostosowanie polskich przepisów do założeń opisanych w RODO. Nowelizuje ona aż 162 już obowiązujące ustawy. Nowelizacja służy uporządkowaniu i usunięciu przepisów, które stoją w sprzeczności z RODO lub powielają zawarte tam rozwiązania, a także dopasowaniu RODO do realiów polskiego systemu prawnego. To tylko dwa przykłady, które są dowodami, że prawo wciąż ewoluuje, zmienia się i dopasowuje do okoliczności. Trzymanie ręki na pulsie to konieczność, by działać w zgodzie z przepisami w najbardziej aktualnym ich wariancie.
Jednorazowe wdrożenie czy regularna aktualizacja?
Odpowiedź jest prosta i jednoznaczna: regularna aktualizacja. Firma, bez względu na charakter prowadzonej działalności, asortyment czy wielkość, się zmienia. Zatrudniani są nowi pracownicy, stosowane są nowe technologie, testowane różnego rodzaju narzędzia marketingu internetowego. Zmieniać mogą się również dostawcy usług, podwykonawcy, oprogramowanie, aplikacje, zakres obowiązków pracowników. Poza zmianami wewnątrz jednostki aktualizowane są również przepisy prawa – zarówno polskiego, jak i unijnego. W żadnym razie pracodawca, właściciel firmy czy administrator danych osobowych nie jest zwolniony z obowiązku znajomości aktualnie obowiązujących przepisów. Po każdej nowelizacji warto zweryfikować, czy firma nadal działa zgodnie z przepisami RODO, innych rozporządzeń oraz ustaw.
Zdjęcie: Fotolia