Napisane, przez Ricardo Alvarez, pracownika OpenKM USA, 20 listopada 2020 roku
Głównym celem ogólnego europejskiego rozporządzenia o ochronie danych (RODO) jest zapewnienie każdej osobie możliwości kontrolowania, kto gromadzi i przetwarza jego dane, do czego są one wykorzystywane oraz gwarantuje, że są one obsługiwane tak bezpiecznie, jak to tylko możliwe. Prawo ma zastosowanie dla firm na całym świecie, które wchodzą w interakcje z obywatelami Unii Europejskiej.
Warto zauważyć, że istnieje kilka zasad RODO, które dotyczą tylko konkretnych scenariuszy i powinieneś skonsultować się ze specjalistą, aby upewnić się, że Twoja firma przestrzega RODO. Oto główne wymagania, które wszystkie organizacje muszą spełnić, aby zachować zgodność z RODO:
Prowadź audyt informacji określający cele i szczegóły przetwarzania danych.
Dokładnie określ, jakie dane przetwarzasz, kto ma do nich dostęp, w tym wszelkie osoby trzecie, obecne systemy ochrony danych i określ cykl życia danych użytkowników, w tym również określ kiedy Twoja firma planuje je usunąć.
Zgodnie z art.12 RODO, musisz posiadać publiczną politykę prywatności określającą powody gromadzenia danych. W tej polityce należy określić cel przechowywania danych, sposób ich przetwarzania, kto ma do nich dostęp oraz środki bezpieczeństwa, których używasz, aby zapewnić ich bezpieczeństwo. Informacje te muszą być przejrzyste i muszą być podawane dokładnie w momencie, gdy zamierzasz zbierać dane użytkownika.
Użytkownicy mają wiele praw odnośnie przechowywanych na ich temat danych, ale podstawowe prawa użytkownika to:
Użytkownicy mają prawo wiedzieć, jakie posiadasz ich dane osobowe, w jaki sposób je wykorzystujesz, jak długo planujesz je przechowywać oraz dlaczego tak długo przechowujesz.
Użytkownicy mogą w dowolnym momencie żądać aktualizacji swoich danych osobowych. Musisz przedstawić im przejrzysty system dokładnej i bezpiecznej aktualizacji ich danych.
Użytkownicy mogą żądać częściowego lub całkowitego usunięcia danych osobowych, które o nich posiadasz. Istnieje tylko kilka wyjątków, w których można odrzucić wniosek, wtedy należy zwrócić się do eksperta prawnego. Ogólnie rzecz biorąc, musisz ustanowić wyraźną linię komunikacyjną, która umożliwi spełnienie każdego żądania w ciągu miesiąca. Musisz też upewnić się, że tożsamość użytkownika jest poprawna.
Musisz wdrożyć niezbędne środki techniczne, aby zapewnić ochronę danych na wszystkich etapach. Środki te obejmują szyfrowanie plików, standardy organizacyjne, ograniczanie ilości gromadzonych danych osobowych, szkolenie pracowników w zakresie zarządzania dokumentami, ustanawianie cykli życia danych oraz egzekwowanie ręcznego lub automatycznego usuwania danych, gdy przestaną być użyteczne. Większość tych procedur ochrony technicznej można wykonać, korzystając z oprogramowania do zarządzania zabezpieczonymi dokumentami.
Zgodnie z art.33 RODO, jeśli zauważysz naruszenie danych, które zagraża jednemu z podmiotów objętych przepisami RODO, jesteś zobowiązany powiadomić o tym organ nadzorczy w ciągu 72 godzin. Nie ma szczegółowych informacji, do jakiego organu należy sięgnąć w organizacjach spoza UE.
Ze względu na podobieństwo językowe firmy amerykańskie powinny powiadomić o tym Biuro Rzecznika Ochrony Danych w Irlandii. Jesteś również zobowiązany do informowania osób, których naruszenie ochrony danych dotyczy, chyba że naruszenie bezpieczeństwa prawdopodobnie nie stanowi dla nich ryzyka.
Musisz podpisać umowę o przetwarzaniu danych ze wszystkimi usługodawcami zewnętrznymi, które przetwarzają informacje o Twoich danych osobowych. W Internecie istnieje wiele standardowych umów, które określają prawa i obowiązki każdej ze stron w ramach zgodności z RODO, ale w każdym scenariuszu należy uwzględnić każdy szczegół.
Na koniec, powinieneś upewnić się, że w firmie jest osoba odpowiedzialna za zgodność z RODO; gwarantuje to firmie możliwość oceny zasad, procedur, statusu ochrony danych oraz egzekwowania odpowiedzialności za bezpieczeństwo dokumentów.
Poniższe pojęcia mają kluczowe znaczenie aby zrozumieć, w jaki sposób przepisy RODO wpływają na Twój biznes.
Aby uzyskać więcej informacji, zapoznaj się z naszym zarysem ogólnego rozporządzenia o ochronie danych w Unii Europejskiej i naszym Przewodnikiem RODO dla firm.
Gromadzenie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, dostosowywanie, zmienianie, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie, usuwanie lub niszczenie danych osobowych osób, których dane dotyczą, są uważane za zdarzenia związane z przetwarzaniem danych. Innymi słowy, wykorzystanie danych przez klienta jest traktowane jako przetwarzanie danych i musi być objęte przepisami o ochronie danych.
Osoba fizyczna lub prawna, organ publiczny, agencja lub każdy, kto przetwarza dane osobowe w imieniu administratora.
Ogólne rozporządzenie o ochronie danych definiuje osobę, której dane dotyczą jako każdą „zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną”. Innymi słowy, zasady ochrony danych mają zastosowanie dla wszystkich firm zajmujących się informacjami dotyczących obywateli UE i wszystkich obywateli spoza UE, którzy mieszkają lub podróżują do UE.
Administratorem danych osobowych jest podmiot, który określa cele, warunki i sposoby przetwarzania danych osobowych. Innymi słowy, administratorami danych są osoby, które za zadanie mają wybieranie konkretnych powodów każdego gromadzenia, wykorzystywania i przetwarzania danych, niezależnie od tego, czy robią to sami, czy nie.
Wnioski
Zrozumienie podstaw ochrony danych i prywatności nie wymaga specjalisty RODO. Z pewnością pozwoli Ci to zaoszczędzić niezliczoną ilość kłopotów, a być może nawet pomoże Ci poprawić sposób rozumienia i interakcji z klientami.
Nie istnieje konkretne narzędzie, które jest niezbędne do przestrzegania przepisów RODO. Niemniej jednak, korzystanie z DMS może pomóc Twojej organizacji w ustaleniu niektórych reguł kontroli dokumentów, granic dostępu do danych, zautomatyzowanych procesów i standardowych procedur zarządzania dokumentami, aby zmniejszyć ryzyko naruszenia danych. Podsumowując, wdrożenie oprogramowania do zarządzania dokumentami do obsługi dokumentów firmy może zapewnić, że Twoja organizacja aktywnie chroni dane klientów i pomaga uniknąć kar za nieprzestrzeganie przepisów.