Tylko co czwarta firma gotowa na RODO
Wyroki związane z naruszeniem bezpieczeństwa danych osobowych, które zapadły w ciągu ostatniego roku nakładają na przedsiębiorców i urzędników milionowe kary. Zaledwie przed kilkoma dniami zapadł pierwszy w Polsce wyrok związany z naruszeniem regulacji przez urząd. Niedostosowanie się do przepisów może być dla przedsiębiorstw bardzo kosztowne.
Nieświadomi ryzyka
Wielu przedsiębiorców nie do końca zdaje sobie sprawę z tego, jak powinno wyglądać dostosowanie do przepisów związanych z ochroną danych osobowych, zwłaszcza, że regulacje prawne pozostawiają duże pole do interpretacji i nie określają jasno, w jaki sposób dane powinny być przechowywane.
Drugim bardzo ważnym aspektem pozostaje nałożenie na pracodawców obowiązku utworzenia etatu Inspektora Ochrony Danych. Przedsiębiorstwa z sektora MŚP nie mogą sobie w wielu przypadkach pozwolić na utworzenie nowych miejsc pracy. W związku z tym, odpowiedzialne za administrowanie danymi zostały osoby, które nie posiadają odpowiedniego przeszkolenia ani wiedzy. Poszerzenie obowiązków pracownika o ochronę danych osobowych sprawiło, że jest ona traktowana jako zadanie dodatkowe, do wykonania po godzinach pracy.
Organizacje pracodawców zdają sobie sprawę z tego, jak dużym problemem dla przedsiębiorców jest rozporządzenie RODO. Mateusz Szymczycha z Pracodawców RP powiedział dla portalu aleBank.pl, że: W związku z przepisami dotyczącymi RODO, Pracodawcy RP zorganizowali szereg seminariów i konferencji dla przedsiębiorców – zarówno przed wejściem regulacji w życie, jak i kiedy już obowiązywały.
Uczestnicy dowiedzieli się m. in.: jak ocenić zgodność rozwiązań organizacyjnych i operacyjnych z wymaganiami RODO, jak skutecznie pełnić rolę Inspektora Ochrony Danych, oraz jak stosować zasadę rozliczalności, a także jak przygotować się do kontroli Urzędu Ochrony Danych Osobowych. Wydarzenia spotkały się z dużym zainteresowaniem, więc planujemy organizację kolejnych.
Szczegółowe kontrole
Wzmożone i szczegółowe kontrole są związane ze stosunkowo niedawnym wprowadzeniem przepisu. Ich głównym zadaniem jest wymuszenie na przedsiębiorcach dostosowania się do nowych regulacji.
– Nie możemy zapominać o karach pieniężnych RODO, które mają mieć charakter odstraszający – podkreśla radca prawny Tomasz Bojkowski. – Warto pamiętać, że RODO opiera się na zasadzie adekwatności, co oznacza, że pojedynczy wyciek, o charakterze okazjonalnym i indywidualnym, przy zachowaniu odpowiedniego poziomu staranności administratora nie może być zrównany z wyciekiem będącym następstwem systemowych zaniedbań w obszarze ochrony – podsumowuje radca prawny.
Czy wnioski z kontroli NIK-u oddają prawdziwy obraz rzeczywistości? Jak zauważa dr Joanna Tomaszewska, radca prawny i partner odpowiedzialny za praktykę ochrony danych w kancelarii SSW Pragmatic Solutions, faktycznie wiele firm wciąż nie wdrożyło zasad RODO, albo wdrożyło je fragmentarycznie.
− Trudnością dla przedsiębiorców jest to, że to po ich stronie leży obecnie ocena ryzyka przetwarzania danych i dokonanie samodzielnie oceny, jakie działania powinni podjąć, by te dane zabezpieczyć. W praktyce oznacza to, że każdy przedsiębiorca znając swój biznes, jego charakter, kontekst, zasięg, lokalizację, rodzaj przetwarzanych danych osobowych powinien dobrać odpowiednie środki zabezpieczeń, wprowadzić odpowiednie procedury czy procesy zarządzania ochroną danych − podkreśla dr Joanna Tomaszewska.
I dodaje, że przepisów RODO nie rozpatrywałaby więc w kategorii zagrożenia dla przedsiębiorców.
− One zmieniły podejście do ochrony danych stawiając z jednej strony na elastyczność doboru środków do spełnienia wymogów RODO, a z drugiej strony przenosząc ciężar dowodu wykazania się spełnieniem wymogów RODO na przedsiębiorców. Takiego nowego podejścia wszyscy musimy się nauczyć − ocenia dr Joanna Tomaszewska.
Na pytanie aleBank.pl dotyczące karania przedsiębiorców za nieprzestrzeganie przepisów RODO odpowiedział Adam Sanocki, rzecznik Urzędu Ochrony Danych Osobowych: Trzeba podkreślić, że RODO ściśle określa okoliczności nakładania sankcji. Kiedy dochodzi do naruszenia przepisów o ochronie danych osobowych, Prezes UODO reaguje odpowiednio do wagi konkretnego naruszenia, korzystając z licznych uprawnień, jakie mu przysługują na podstawie RODO.
W naszej ocenie karanie nie może być kwestią zamiaru, a skutkiem stwierdzonego naruszenia ochrony danych i oceny stopnia jego oddziaływania na osoby, których dane dotyczą.
Więcej wyjaśnień nt. możliwości użycia sankcji przez Prezesa UODO jest dostępnych pod linkiem https://uodo.gov.pl/pl/138/1244.
Informatyczne rozwiązania
Jednym z wielu możliwych rozwiązań wykorzystywanych przez przedsiębiorców jest zastosowanie zintegrowanego systemu wspierającego zarządzanie, który pozwala na częściową rezygnację z papierowej dokumentacji i jednocześnie pozwala na bezpieczniejsze przetwarzanie danych.
Eliminuje to wiele zagrożeń związanych z niedopełnieniem obowiązków, jednak warto pamiętać, że nie ma idealnego rozwiązania.
– Największym zagrożeniem, nawet przy najlepszym systemie informatycznym, pozostaje błąd ludzki. Uważam jednak, że nawet to ryzyko można zminimalizować – mówi Grzegorz Kaliński,
Prezes Kalasoft Sp. z o.o. – Przede wszystkim należy stale podnosić kompetencje osób odpowiedzialnych za przetwarzanie danych osobowych. Odpowiednie dostosowanie ich umiejętności do wykorzystywanych narzędzi sprawi, że będziemy dysponować najlepszym możliwym zabezpieczeniem. Zawsze warto też wyciągać wnioski z innych wycieków danych i przygotowywać się na podobne scenariusze.
– Warto rozważyć regularne wewnętrzne kontrole przechowywania i przetwarzania danych osobowych w przedsiębiorstwie. Pozwoli to na zwiększenie znajomości przepisów wśród wszystkich pracowników. Bardzo ważne jest stałe eliminowanie drobnych zaniedbań, ponieważ to one najczęściej prowadzą do poważnych konsekwencji związanych z kontrolą zewnętrznego organu – podsumowuje Prezes Kalasoft Sp. z o.o.
Również zdaniem dr Joanny Tomaszewskiej, najistotniejsze wydaje się wciąż podnoszenie świadomości w zakresie ochrony danych i to, jak ją przełożyć na funkcjonowanie biznesu.
− Moje doświadczenie w zakresie wsparcia przedsiębiorców w obszarze danych osobowych wskazuje, że wartością dodaną jest posiadanie w organizacji albo inspektora ochrony danych albo osoby/wewnętrznej komórki zajmującej się ochroną danych osobowych, która przy wdrażaniu wewnętrznych projektów/produktów/usług biznesowych da wskazówki jak to robić zgodnie z RODO.
Niezmiernie ważne w praktyce wydaje się usprawnienie wewnętrznej komunikacji w organizacji i uświadomienie biznesowi, że np. wprowadzane nowe procesy biznesowe czy też nowe narzędzia wiążą się praktycznie zawsze z przetwarzaniem danych osobowych i być może warto przed ich wprowadzeniem skonsultować je również pod kątem ochrony danych, co bardzo często robimy.
Dobrym sposobem na podnoszenie wiedzy na temat ochrony danych w organizacji, a tym samym zmniejszania potencjalnych ryzyk naruszeń RODO jest przeprowadzanie cyklicznych szkoleń dedykowanych dla określonych działów biznesu, jak np. RODO w HR, RODO w marketingu czy RODO w zamówieniach publicznych.
Warto również zaglądać na stronę internetową naszego regulatora, który publikuje mnóstwo wskazówek jak przetwarzać dane zgodnie z prawem − podsumowuje dr Joanna Tomaszewska z kancelarii SSW Pragmatic Solutions.
Do odwiedzania stron UODO zachęca też rzecznik tej instytucji Adam Sanocki: Obecnie przedsiębiorcy mogą korzystać z wielu działań wspierających ich jako administratorów danych lub gdy pełnią rolę podmiotu przetwarzającego. Do ich dyspozycji jest np. infolinia Urzędu, a także strona www.uodo.gov.pl
Za jej pośrednictwem przedsiębiorcy mogą na bieżąco śledzić zarówno informacje o najnowszych stanowiskach i komunikatach Prezesa UODO, jak i mają dostęp do bazy decyzji administracyjnych, które są kopalnią praktycznej wiedzy m.in. o zastosowaniu RODO.
Ponadto strona internetowa jest stale wzbogacana o opracowania tematyczne, w których publikujemy wiele wskazówek Prezesa UODO nt. stosowania RODO (np. w postaci poradników, artykułów problemowych, które powstają na podstawie pytań kierowanych do Prezesa UODO).
Równolegle do tych działań UODO rozwija współpracę z inspektorami ochrony danych. Po ubiegłorocznych szkoleniach, w tym roku uruchomiliśmy specjalną infolinię oraz tematyczny newsletter (korzysta z niego ponad 6000 subskrybentów).
Z kolei poprzez udział ekspertów UODO w konferencjach branżowych oraz jako wykładowcy studiów podyplomowych z tematyki ochrony danych, IOD mają dostęp do wiedzy z „pierwszej ręki”.