W życie weszło właśnie unijne rozporządzenie o ochronie danych osobowych (RODO). Za niedostosowanie się do jego wymogów grożą wysokie kary. Co zrobić, kiedy w naszej firmie dane osobowe nie są jeszcze właściwie chronione?
Wprawdzie unijne rozporządzenie w sprawie ochrony danych osobowych UE 2016/679 zostało uchwalone przez Parlament Europejski i przyjęte przez Radę Unii Europejskiej w kwietniu 2016 r., to w Polsce głośno o nim zrobiło się dopiero kilka miesięcy temu. Nowe unijne przepisy nakładają na przedsiębiorców i podmioty administracji publicznej szereg obowiązków związanych z zapewnieniem odpowiedniego poziomu bezpieczeństwa danych osobowych. Ewentualne braki oraz nieprawidłowości w tym zakresie mogą skutkować dotkliwą karą finansową. W skrajnych przypadkach jej wysokość to nawet do 20 milionów euro lub 4 procent rocznych światowych obrotów przedsiębiorstwa.
Jeżeli nie wdrożyli Państwo jeszcze RODO w swojej firmie, to podpowiadamy jak zrobić to szybko i skutecznie.
W gąszczu przepisów
W gąszczu przepisówW naszym kraju od 20 lat obowiązuje Ustawa o ochronie danych osobowych, która miała zabezpieczać dane osobowe.
– W praktyce jednak jej zapisy były nie tylko nieegzekwowane, ale też często – w dobie Internetu i mediów społecznościowych – po prostu archaiczne. Po wprowadzeniu RODO sytuacja ma się poprawić. Mimo długiego okresu swoistego vacatio legis, zdecydowana większość przedsiębiorców jeszcze unijnych przepisów nie wdrożyła – mówi prawnik Wojciech Sędłak, współwłaściciel firmy consultingowej WSKG. – Uzupełnieniem RODO ma być nowa polska ustawa o ochronie danych osobowych. Została uchwalona już przez parlament, a 11 maja 2018 r. została przekazana prezydentowi. Nie wiadomo jednak, kiedy prezydent ją podpisze i czy nie będzie miał do niej uwag – dodaje.
Co więcej, nowa ustawa o ochronie danych osobowych będzie dostosowywała polskie przepisy do RODO – od gospodarki po opiekę zdrowotną.
– Niektórzy eksperci prawa szacują, że zmiany mogą dotyczyć nawet 300 ustaw. To zwykle niewielkie korekty, ale modyfikacja jest konieczna. Jesteśmy więc w chwilowej sytuacji, gdy unijne prawo jest w pewnym konflikcie z prawem polskim. Będzie to rodzić niedookreśloną sytuację, w której przedsiębiorcom będzie trudno poruszać się bez fachowej pomocy – podkreśla Krzysztof Grudziel, specjalista ds. IT, współwłaściciel firmy WSKG.
Czy muszę wprowadzać RODO?
To pytanie zadaje sobie wielu przedsiębiorców. Odpowiedź jest jedna – tak, i to niezależnie od wielkości przedsiębiorstwa. Czym więc jest RODO?
– W pewnym uproszczeniu, RODO to ochrona i minimalizacja danych. Ochrona polega tu na właściwym przetwarzaniu, w tym przechowywaniu danych, tak by nie doszło do ich wycieku. Minimalizacja to natomiast obowiązek pozyskiwania i wykorzystywania tylko takiej ilości danych, która jest niezbędna do przeprowadzenia danej czynności. Przykładowo, jeżeli szukamy pracownika to nie możemy żądać od niego danych namiarowych, a jedynie oczekiwać informacji koniecznych do przeprowadzenia rekrutacji – wyjaśnia Wojciech Sędłak.
Niestety, w rodzimym biznesie kultura pracy z danymi pozostawia jeszcze sporo do życzenia. Nie jesteśmy w tym osamotnieni. Według raportu IBM X-Force 2017, w 2016 roku z firmowych baz danych na całym świecie wyciekły aż 4 miliardy rekordów. To pięć razy więcej niż rok wcześniej.
– Nasi klienci słyszeli o RODO, ale często nie myślą o profesjonalnym zadbaniu o ochronę danych osobowych. Wprawdzie część firm przestrzegała w mniejszym lub większym zakresie starej ustawy, ale większość zwróciła na ten temat uwagę dopiero, gdy w mediach zrobiło się głośno o RODO. Wówczas zaczęła budować się ich świadomość, że jest to ważny aspekt działalności firmy – mówi Krzysztof Grudziel.
Właściciele WSKG jako przykład podają biurko w sekretariacie lub w gabinecie lekarskim. Gdy pracownik od niego odejdzie, to ktoś postronny może mieć wgląd do danych zawartych w pozostawionych dokumentach, a nawet je powielić. Problem może wydawać się błahy, ale w praktyce może to doprowadzić do wycieku danych, który – według RODO – może być zagrożony wysoką karą finansową. Wpływa też na osłabienie wizerunku przedsiębiorcy. Dlatego eksperci WSKG opracowują dla każdej firmy indywidualny zestaw dokumentów, zawierających procedury dotyczące ochrony danych na każdym etapie pracy. We wspomnianym przykładzie jest to tzw. polityka czystego biurka.
– Mamy świadomość, że wdrożenie RODO to często skomplikowany proces, na który przedsiębiorca nie ma czasu. Dlatego przeprowadzamy go kompleksowo, w czterech etapach. Pierwszym jest audyt. Rozpoznajemy wówczas kiedy i jak klient przetwarza dane osobowe. Na podstawie zebranych w ten sposób informacji, przygotowujemy szereg procedur prawnych w formie dokumentów. Dodatkowo, sporządzamy też listę inwestycji, które należy poczynić, jeżeli jest taka konieczność, np. zakup odpowiednio zabezpieczonego systemu informatycznego do obsługi baz danych. Trzecim etapem jest szkolenie dla pracowników, aby wiedzieli, jak poruszać się w nowych realiach. Ostatnim etapem wdrażania RODO jest opieka prawna – opisuje Krzysztof Grudziel.
– Opieka prawna jest niezbędna biorąc pod uwagę wspominane już planowane zmiany w polskim prawie. Dokumenty przygotowane teraz pod kątem RODO w dość bliskiej perspektywie czasowej prawdopodobnie trzeba będzie zaktualizować w oparciu o nowe przepisy w polskim prawodawstwie – dodaje Wojciech Sędłak.
Ile to kosztuje i co się stanie jeżeli RODO nie zostanie wdrożone?
Koszt dostosowania procedur w przedsiębiorstwie do nowych przepisów nie zawsze jest zależny od wielkości przedsiębiorstwa. – Decydująca jest ilość i rodzaj danych osobowych przetwarzanych w przedsiębiorstwie, a co za tym idzie liczba procedur, które trzeba opracować i wdrożyć – mówi Krzysztof Grudziel.
W przypadku małej firmy wdrożenie RODO nie jest wcale kosztowne. Dodatkowym kosztem może być jednak powołanie inspektora danych osobowych. Odpowiada on za nadzór nad przestrzeganiem prawa w zakresie ochrony danych osobowych. Jego obowiązkiem jest też zgłaszanie wycieku danych do Generalnego Inspektora Ochrony Danych Osobowych (w przyszłości Prezesa Urzędu Ochrony Danych Osobowych). W przedsiębiorstwach zatrudniających ponad 250 pracowników lub tych, które przetwarzają dane osobowe na dużą skalę jego powołanie jest obowiązkowe. W pozostałych – fakultatywne.
– Prawo nie określa, co oznacza „duża skala” przetwarzania danych. Mały sklepik, który sprzedaje bardzo dużo towaru na Allegro, może przecież przetwarzać bardzo dużo danych osobowych, a na przykład znacznie większy zakład produkcyjny, który ma jednego dużego klienta, może pracować na dużo mniejszej ilości danych – mówi Wojciech Sędłak.
– Najlepiej, by inspektorem danych osobowych była osoba pracująca w firmie. Najczęściej tę funkcję pełni informatyk, kadrowa lub księgowa – dodaje Krzysztof Grudziel.
Co się stanie, jeżeli firma nie wdroży RODO? Początkowo i teoretycznie nic. Jeżeli jednak kontrola przeprowadzona przez inspektorów GIODO wykaże nieprawidłowości lub dojdzie do wycieku danych, to kary mogą być naprawdę dotkliwe – do 20 mln euro lub 4 proc. rocznego światowego obrotu przedsiębiorstwa.
Zasięgnij porady ekspertów
Kompleksowej pomocy w zakresie RODO udzielają specjaliści WSKG – prawnik Wojciech Sędłak, specjalizujący się w aspektach prawnych dotyczących ochrony danych osobowych oraz Krzysztof Grudziel informatyk, administrator i specjalista ds. bezpieczeństwa danych. Połączenie ich wiedzy i doświadczenia zaowocowało stworzeniem najbardziej kompleksowej usługi wdrożeń procedur ochrony danych osobowych w oparciu RODO.
Więcej informacji o RODO oraz dane kontaktowe do specjalistów WSKG dostępne są na stronie www.wskg.pl
