zoomiconFelieton o RODO. Część 1

Felieton o RODO. Część 1

Za nami ponad 365 dni od wprowadzenia nowych uregulowań dotyczących ochrony danych osobowych. Dokładnie 25 maja 2018 weszło w życie nowe rozporządzenie o ochronie danych osobowych, zwane RODO. Mało kto zdawał sobie sprawę, że słowo to towarzyszyć będzie nam w zasadzie codziennie i praktycznie w każdej czynności życia... 


Słowo RODO stało się odpowiedzią na każde nasze pytanie, na które osoba pytana nie zna odpowiedzi lub zwyczajnie nie chce udzielić nam informacji. Wydawać by się mogło, że faktycznie, RODO musi wiele wyjaśniać, skoro na każdym kroku każdy się nim zasłania! Włączając wiadomości, na każdym kanale przewijała się jedna informacja: 20 mln euro kary za brak RODO. Nie ważne, czy to telewizja publiczna, czy prywatna, wszyscy jednym głosem mówili „20 mln euro kary za brak RODO”. W końcu też te słynne już 20 mln euro kary na tyle nas niepokoiło, że postanowiliśmy wdrożyć RODO w swoich firmach, a po pracy wrócić do domu, położyć się do łóżka i spać spokojnie. Czy jednak na pewno? 


Zastanówmy się, co to jest faktycznie to RODO? Dlaczego kara jest tak wysoka i po co mi te całe RODO? 


Zacznijmy więc od podstaw. RODO jest rozporządzeniem Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie ochrony danych osobowych osób fizycznych. Krótko mówiąc: chroni dane każdego z nas. RODO na naszym krajowym podwórku zastąpiło ustawę o ochronie danych osobowych z roku 1997, o której wystarczy powiedzieć jedno: po prostu była taka ustawa. Była i nie warto zagłębiać się w problematykę jej działania (a w zasadzie braku działania), wystarczy ją porównać do dzikiego zachodu, jaki znamy z westernów. RODO ma za zadanie uporządkować i stać na straży naszych danych osobowych, które to przez ostatnie lata były tak chętnie sprzedawane bez naszej wiedzy i zgody bądź też po prostu użytkowane przez firmy, które naszej zgody nie miały, a my nie mieliśmy o tym zielonego pojęcia. 

Oczywiście często spotykamy się z teorią klientów, którzy mówią nam wprost: „RODO jest, a jakieś firmy ciągle wydzwaniają”. Owszem tak jest, ale nawet Kazimierz Wielki potrzebował 37 lat, aby pozostawić po sobie Polskę murowaną. Porównanie to należy traktować z przymrużeniem oka, jednak pamiętać musimy przede wszystkim, że nowa ustawa też potrzebuje czasu, aby skutecznie chronić nasze dane. Stąd też tak wysokie maksymalne kary, które zostały przewidziane – 20 mln euro. Rzecz jasna są to, jak już mówiliśmy wcześniej, kary maksymalne. W naszych warunkach gospodarczych, aby otrzymać tak wysoką karę, na pewno należałoby popisać się wybitną skutecznością w zakresie łamania przepisów, aczkolwiek jeden z głównych warunków został spełniony: kara musi odstraszać. Pełnić rolę prewencyjną. Kara, którą w razie wykrycia nieprawidłowości ustali urząd – zgodnie z wykrytym naruszeniem, a jej przedział będzie adekwatny do naruszenia. Oczywiście, patrząc przez pryzmat pierwszej kary, nałożonej przez UODO (Urząd Ochrony Danych Osobowych), pewne jest jedno: kary niskie nie będą, bo dotkliwe muszą być – dopiero wtedy nasze dane będą bezpieczne. Dlatego też firma na RODO musi być gotowa. 


Reklama

W naszej karierze często spotykamy się z przeświadczeniem, że firma na RODO jest gotowa – jest bezpieczna. Jednak już po pierwszym audycie, który prowadzimy, widzimy, że firma zdecydowanie sobie z tym obowiązkiem nie poradziła. Bardzo często da się usłyszeć „ja RODO mam – księgowa mi zrobiła”, ale już na pytanie o rejestr czynności czy nawet taką podstawę, jaką jest klauzula informacyjna, odpowiedź często bywa podobna – „nas to nie dotyczy, my nie musimy, my jesteśmy za małą firmą”. Czy tak jest na pewno? 

Rozporządzenie dokładnie określa, co każdy przedsiębiorca powinien zrobić, aby spełnić podstawowe wymagania. Niezależnie, czy obsługujemy 1 klienta miesięcznie, czy tych klientów jest 100, to podstawowym zadaniem jest spełnienie obowiązku informacyjnego. Pierwsza kara nałożona przez UODO odnosiła się właśnie do braku spełnienia obowiązku informacyjnego. Mamy obowiązek poinformować naszych kontrahentów, że jesteśmy administratorem ich danych oraz w jaki sposób je przetwarzamy oraz jak mogą je usunąć. Właśnie dzięki wprowadzeniu obowiązku informacyjnego wiemy kto i w jaki sposób nasze dane przetwarza, a ten obowiązek muszą spełnić wszystkie firmy, które przetwarzają jakiekolwiek dane osobowe – klientów, pracowników, przyszłych pracowników itd. Oczywiście jest to pierwszy z obowiązków, jaki należy spełnić, aby być z RODO zgodnym. 

Tych obowiązków jest jednak więcej, umowy powierzenia, pełnomocnictwa polityka ochrony danych czy też bieżące prowadzenie rejestru czynności przetwarzania danych osobowych. Jednak to nadal są tylko dokumenty. Jak dobrze wiemy, same dokumenty ochrony nie zapewnią. Dlatego też każda firma powinna przejść audyt przed faktycznym wdrożeniem RODO. Audyt, który jest niezbędny do określenia, z jakimi problemami w sprawie zabezpieczeń boryka się firma i jakie środki naprawcze należy wdrożyć, aby zabezpieczyć zasoby informatyczne oraz dokumentację papierową w sposób fizyczny. 

Jak można zauważyć powyżej, RODO wymaga od firm więcej niż dotychczasowa ustawa o ochronie danych z 1997 r i wiąże się to dla administratorów z dodatkowymi obowiązkami oraz niejednokrotnie kosztami. Jednak wiele firm, mimo że minął już rok od wejścia ustawy w życie, nadal w kierunku zgodności z RODO nie zrobiło nic, i o ile na potencjalną kontrolę i ewentualną karę możemy się nie doczekać, to nie powinniśmy zapominać o kontrahentach i pracownikach, którzy z nami pracują lub współpracują, wobec których także mamy zobowiązania odnośnie ochrony danych. 

RODO jest jeszcze młode, rynek się go dopiero uczy, sprawdza, na co można sobie pozwolić, a na co nie. Musimy mieć jednak świadomość, że tylko kwestią czasu jest stan, gdy inne firmy w celu podpisania umów wzajemnych będą wymagały przedłożenia dokumentu, który będzie w pewnym sensie świadectwem wdrożenia RODO – może to być zarówno polityka ochrony danych czy chociażby raport z audytu pokontrolnego. Powód będzie prosty i oczywisty: jeśli ktoś zabezpieczył interesy swoich współpracowników, nie pozwoli sobie na ryzyko podjęcia współpracy z firmą, która może zaszkodzić jej wizerunkowi i interesom. 

W dalszym cyklu felietonów przybliżymy Państwu strukturę budowy rejestru czynności, spełnienie obowiązku informacyjnego, zawarcie umów powierzenia i upoważnień oraz przygotowanie wszelkich rejestrów. 

Autorzy: Anna Jezierska i Przemysław Kilian z Rodoszczecin.pl



Strona używa Cookies. Więcej w Polityce Prywatności.