Dołącz do czytelników
Brak wyników

RODO – co tak naprawdę oznacza dla przedsiębiorców? (Cz. 1)

Artykuł | 20 kwietnia 2019 | NR 36
95

O unijnym rozporządzeniu dotyczącym ochrony danych osobowych (RODO, GDPR) mówi się i pisze już od jakiegoś czasu. Im bliżej rozpoczęcia jego stosowania (25.05.2018 r.), tym więcej szkoleń, artykułów, dyskusji, ale również chaosu wśród przedsiębiorców, którzy czują się zagubieni pośród wielu docierających do nich z różnych źródeł informacji. Milionowe kary, nowe i dotkliwe obowiązki, konieczność skrupulatnego przygotowania się na godzinę „W”, rewolucja w podejściu do ochrony danych osobowych, wyzwania techniczne stojące przed administratorami – łatwo popaść w panikę i dezorientację w kontakcie z tego rodzaju przekazami.

Nie twierdzę bynajmniej, że RODO to pikuś i można przejść obok niego obojętnie. Wręcz przeciwnie – uważam, że każdy przedsiębiorca powinien z uwagą przyjrzeć się rozporządzeniu i na poważnie przysiąść do tematu ochrony danych osobowych. Odnoszę jednak wrażenie, że spora część materiałów poświęconych RODO odnosi odmienny skutek od zamierzonego, czyli bardziej potęguje chaos i wątpliwości u przedsiębiorców, niż pomaga im odnaleźć się w świecie ochrony danych osobowych. Dotyczy to w szczególności małych przedsiębiorców, którzy śledząc pobieżnie doniesienia o RODO, mogą ugiąć się pod ciężarem przedstawianych nowości i obowiązków. Tymczasem rozporządzenie tak naprawdę ułatwia życie wielu firmom, odformalizowując ochronę danych osobowych i stawiając na jej rzeczywisty charakter oraz dopasowanie do skali prowadzonej działalności.

Jeżeli zatem słyszałeś już coś o RODO, ale to dla Ciebie w dalszym ciągu czarna magia, ten artykuł pomoże Ci uporać się z tematem. Przygotowując go, postawiłem sobie za cel przekazać najważniejsze dla Ciebie informacje w prosty sposób, by Cię przy tym nie przestraszyć i nie wprawić w osłupienie, jakaż to rewolucja czeka Twoją firmę. Gotowy na poznanie tajemnic RODO? Zaczynajmy.

To, że istnieje możliwość nałożenia tak wysokiej kary, nie oznacza, że zostanie ona na Ciebie nałożona w każdym przypadku naruszenia przepisów o ochronie danych osobowych. W samym RODO znajduje się wskazanie, że kara ma być proporcjonalna oraz wskazane są kryteria, jakimi organ nadzorczy ma się kierować, ustalając wysokość kary.

 

Milionowe kary – straszak czy realne zagrożenie?

Rozpocznę ten artykuł od tego, co najczęściej znajduje się na końcu publikacji poświęconych RODO, czyli od kar za nieprzestrzeganie przepisów o ochronie danych osobowych.

RODO przewiduje możliwość nakładania kar pieniężnych w wysokości nawet do 20 mln euro lub do 4% obrotu przedsiębiorstwa z roku poprzedniego. Na tym jednak najczęściej kończą się informacje zawarte w wielu materiałach dotyczących RODO. Pragnę Cię w tym miejscu uspokoić. To, że istnieje możliwość nałożenia tak wysokiej kary, nie oznacza, że zostanie ona na Ciebie nałożona w każdym przypadku naruszenia przepisów o ochronie danych osobowych. W samym RODO znajduje się wskazanie, że kara ma być proporcjonalna oraz wskazane są kryteria, jakimi organ nadzorczy ma się kierować, ustalając wysokość kary.

Oczywiście nie jest moim celem skłonienie Cię do ignorowania przepisów o ochronie danych osobowych. Podkreślam raz jeszcze, że kwestia ta powinna zostać w Twojej firmie odpowiednio rozwiązana i gorąco Cię do tego zachęcam. Mój wewnętrzny sprzeciw budzą jednak materiały, w których wspomina się o wysokich karach pieniężnych bez słowa wyjaśnienia.

Moją opinię o wysokości kar już przekazałem. Druga kwestia to skala prowadzonych kontroli przez organy nadzorcze. Tak naprawdę trudno w tej chwili wyrokować, jak będzie wyglądała działalność obecnego GIODO w tym zakresie po rozpoczęciu stosowania RODO. Do tej pory liczba kontroli GIODO była niewielka, biorąc pod uwagę liczbę przedsiębiorców w Polsce. Uwzględniając jednak fakt, że kary pieniężne za naruszanie przepisów o ochronie danych osobowych będą stanowić przychód budżetu państwa, można się głośno zastanawiać, czy nie wpłynie to na częstotliwość kontroli. Tym bardziej, że do tej pory jako podstawowy argument w zakresie nieskuteczności egzekwowania przepisów o ochronie danych osobowych była wskazywana niemożność nakładania kar pieniężnych. Od 25.05.2018 r. taka możliwość będzie, ale życie pokaże, jak to wszystko będzie w praktyce wyglądać.

Odpowiadając na pytanie ze śródtytułu, muszę jednak przyznać, że kary rzeczywiście są realnym zagrożeniem dla przedsiębiorców, którzy nie będą przestrzegać przepisów o ochronie danych osobowych. Czy będą to kary milionowe? W przypadku małych firm – nie sądzę, bo należy pamiętać o wymogu proporcjonalności kary i kryteriach ustalania jej wysokości. Warto jednak mieć się na baczności i zwrócić uwagę, że organ nadzorczy będzie miał w ręku uprawnienia, jakich do tej pory mu brakowało. Jaki zrobi z nich użytek? Tego lepiej dowiedzieć się z doniesień medialnych niż z własnych doświadczeń.

Dlatego warto mądrze przygotować się do RODO, nie ulegając jednak panice w obliczu masowych przekazów o rewolucji w ochronie danych osobowych.

Koniec ze zgłaszaniem zbiorów do GIODO

Za najważniejszą nowość w RODO uważam zniesienie obowiązku rejestracji zbiorów danych osobowych. Koniec ze zgłaszaniem zbiorów do GIODO i fiksacją na tym punkcie. Dlaczego uważam tę zmianę za tak ważną? Bo nie tylko zwalnia ona przedsiębiorców z upierdliwego obowiązku, ale przede wszystkim pokazuje w końcu, że ochrona danych osobowych nie polega na samym zgłoszeniu zbioru do GIODO.

Do tej pory było tak, że większości osób ochrona danych osobowych kojarzyła się z wnioskiem do GIODO. „Panie Wojtku, za ile Pan wypełni za mnie wniosek do GIODO?” – to pytanie, na które w dalszym ciągu często odpowiadam, mówiąc, że samych tylko zgłoszeń nie robię, bo takie zgłoszenie samo w sobie jest bezwartościowe. Dlaczego? Bo wniosek do GIODO to jedynie czynność techniczna, zwieńczenie wszystkiego, co zrobione zostało w zakresie ochrony danych osobowych, potwierdzenie tego wszystkiego i zadeklarowanie na formalnym wniosku. Jeżeli ograniczysz się wyłącznie do wniosku do GIODO, to tak naprawdę nie zrobiłeś nic. Dlatego z tak wielką radością przyjąłem informację, że kończymy z rejestracją zbiorów.

W tym miejscu przestrzegam przed innym hurraoptymistycznym wnioskiem. To, że od 25.05.2018 r. nie trzeba będzie zgłaszać zbiorów do GIODO, nie oznacza bynajmniej, że nie trzeba będzie przejmować się ochroną danych osobowych. Wręcz przeciwnie – RODO kładzie nacisk na rzeczywistą ochronę danych osobowych zamiast skupiać się na dokumentacjach, zgłoszeniach i innych świstkach, które – jak to papier –
przyjmą wszystko. Co zatem trzeba zrobić, by przetwarzać dane osobowe w zgodzie z RODO? Najważniejsze obowiązki omówię w kolejnych akapitach.

Wewnętrzna dokumentacja ochrony danych osobowych

Polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi. Mówi Ci to coś? Do tej pory posiadanie takich dokumentów było obowiązkiem każdego administratora danych osobowych. W skrócie: w takich dokumentach powinny zostać zawarte informacje o tym, jak postępuje się z danymi osobowymi w firmie. Gdzie dane są przetwarzane, w jaki sposób, jakie zabezpieczenia zostały wdrożone etc.

Efekt nałożenia bezwzględnego obowiązku posiadania takich dokumentów w obecnie obowiązującej ustawie o ochronie danych osobowych był taki, że przedsiębiorcy kopiowali wzory dostępne w internecie albo nawet przygotowywali swoje własne polityki, w dalszym ciągu kierując się jednak zasadą, że papier przyjmie wszystko, a zapominając, że dokumenty te mają sens tylko wtedy, gdy odpowiadają rzeczywistości.

Krótko mówiąc, najpierw trzeba odwalić całą brudną robotę w zakresie wdrożenia odpowiednich procedur ochrony danych osobowych, by potem móc je opisać w dokumentacji. W sytuacji, gdy dokumentacja sobie, a życie sobie, to taka dokumentacja i tak na nic nie przyda się w razie kontroli.

RODO w tym zakresie postępuje równie mądrze jak ze zgłaszaniem zbiorów. Od 25.05.2018 r. nie będzie już bezwzględnego obowiązku posiadania polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi. Administrator danych osobowych będzie mógł samodzielnie zadecydować, czy takie dokumenty są potrzebne ze względu na skalę, cele, zakres i kontekst przetwarzania danych osobowych.

Choć brak bezwzględnego obowiązku posiadania dokumentacji ochrony danych osobowych uważam za dobry ruch, to mimo wszystko polecam posiadanie takiej dokumentacji jako dobrej praktyki świadczącej o należytym przygotowaniu się do ochrony danych osobowych. Czy zaprzeczam zatem sam sobie?

Nie. Brak bezwzględnego obowiązku jest dobrym ruchem, bo to kolejny znak, że najwyższa pora przestać postrzegać ochronę danych osobowych jako szereg upierdliwych formalnych obowiązków, a skupić się na rzeczywistych rozwiązaniach.

Dlatego też w RODO nie znajdziesz wymogów co do treści polityk związanych z ochroną danych osobowych, tak jak to jest na gruncie obecnie obowiązujących przepisów. Sam musisz podjąć decyzję, jak takie polityki mają wyglądać i jak bardzo szczegółowe informacje zawierać. Taką decyzję musisz podjąć, kierując się podstawową zasadą, na jaką kładzie nacisk RODO – wdrożenie odpowiednich rozwiązań związanych z ochroną danych osobowych. Odpowiednich do skali, celów, charakteru, zakresu...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Masz już prenumeratę? Zaloguj się, aby przeczytać artykuł.
Zaloguj się
Nie masz jeszcze prenumeraty? Nic straconego! Dołącz do grona stałych Czytelników już dziś i miej pewność, że żadne treści już Cię nie ominą.
Co zyskasz, kupując prenumeratę?
  • 6 drukowanych wydań magazynu Online Marketing
  • Dodatkowe artykuły niepublikowane w formie papierowej
  • Dostęp do czasopisma w wersji online
  • Dostęp do wszystkich archiwalnych wydań magazynu oraz dodatków specjalnych
  • ... i wiele więcej!
Sprawdź szczegóły

Przypisy