16 grudnia 2020
Wejście w życie Ogólnego rozporządzenia o ochronie danych, inaczej RODO, od 25 maja 2018 r. wiązało się z szeregiem następstw dla całego ekosystemu publiczno-gospodarczego w Polsce. Zresztą zainicjowany proces doprowadzania procesów przetwarzania danych osobowych do zgodności z regulacją dalej trwa i trudno dziś określić jego stopień zaawansowania. W niniejszym wpisie sprawdzimy, jak obecnie realizowane jest RODO w firmie oraz jakie wyzwania stoją przed administratorami.
Z punktu widzenia osób fizycznych, których dane osobowe są przetwarzane przez przedsiębiorców, regulacja istotnie wzmocniła ochronę tych danych. Uświadomiła ona przeciętnemu Kowalskiemu, szczególnie w momencie jej wejścia w życie, że w kontekście jego danych osobowych przysługują mu określone prawa. Dzięki prowadzonym kampaniom informacyjnym niektórzy dowiedzieli się, co to właściwie są dane osobowe i dlaczego wymagają ochrony.
Ta świadomość z kolei pociągnęła za sobą wzmożoną aktywność osób fizycznych względem administratorów ich danych. Częściej pojawiają się zgłoszenia w przedmiocie naruszeń danych osobowych lub prośby o usunięcie czy zmianę przetwarzanych danych. Pierwsze kary PUODO też zaczęły działać na wyobraźnię administratorów. Zjawiska te wymusiły w wielu firmach poważniejsze podejście do tematyki ochrony danych; np. poprzez zainicjowanie procesu porządkowania dokumentacji, a nierzadko nawet struktur firmy.
Podobna dbałość o procedury jest wymagana przy zarządzaniu organami w trudnych czasach – zobacz, jak funkcjonuje spółdzielnia mieszkaniowa w czasie pandemii. Nie sposób zatem nie docenić pozytywnych aspektów wejścia w życie Rozporządzenia. Ale jest też druga strona medalu...
RODO skomplikowało wielu przedsiębiorcom życie. Po pierwsze dlatego, że jest to regulacja bardzo rozbudowana i zawiła, a co za tym idzie – nie do końca zrozumiała. Składa się z 99 artykułów o zróżnicowanym stopniu skomplikowania, a język jest bardzo techniczny i prawniczy. Po drugie, doprowadzenie do zgodności z RODO w firmie oparte jest na zasadzie ryzyka.
Zasada podejścia opartego na ryzyku stanowi, że administrator danych lub podmiot przetwarzający powinien zastosować takie środki bezpieczeństwa, które w danych okolicznościach przetwarzania minimalizują ryzyko naruszenia praw i wolności. Nie jest to podejście typowe w systemach Europy kontynentalnej, gdzie przyzwyczajeni jesteśmy do normatywnej jasności (checklisty). Zasada ta pozostawia administratorowi pełną dowolność w wyborze formy i sposobu wdrożenia, ale jednocześnie obarcza go kwestią oceny, czy zrobił wystarczająco dużo.
Niedopełnienie tych subiektywnych obowiązków może rodzić konsekwencje dla zarządu, podobnie jak ma to miejsce w przypadku odpowiedzialności za zobowiązania spółki. Precyzyjne ramy czasowe są tu równie istotne co terminy prawno-podatkowe dla spółek.
Wiele firm podjęło próbę wdrożenia regulacji na samym początku. Przeprowadzone zostały audyty ochrony danych osobowych, podczas których zdefiniowano nieprawidłowości oraz przedstawiono zalecenia naprawcze. Identyfikowano potrzeby zawierania umów powierzenia i aktualizowano dokumentację. Natomiast trudno dziś ocenić stopień właściwego wdrożenia RODO w organizacjach prywatnych i publicznych.
Wśród praktyków panuje przekonanie, że właściwe wdrożenie to mały procent ogólnej liczby podmiotów, szczególnie wśród małych firm. RODO w firmie często wygląda w ten sposób, że tworzy się dokumentację (np. kupując szablony online) i doraźnie radzi sobie z incydentami. Nie ma kompleksowego podejścia do tematu ochrony.
W sektorze medycznym, gdzie dane mają szczególny charakter, kluczowe jest prawo pacjenta do zachowania tajemnicy. Ponadto każda placówka medycyny estetycznej musi uważać, jak prowadzona jest reklama wyrobów medycznych w kontekście zbierania danych pacjentów.
Analizując obecny stan ochrony danych, można wskazać najczęstsze zaniechania administratorów:
RODO nie żyje zatem w organizacji – stanowi dla większości podmiotów jedynie problem, który trzeba „odhaczyć” na liście. Podobne ryzyka prawne mogą wystąpić, gdy przedsiębiorca nie dba o swoje znaki towarowe; warto sprawdzić, co oznacza symbol R przy logo, aby chronić markę zgodnie z prawem.
Wdrożenie RODO w organizacji nie jest projektem z datą końcową. To zespół dobrych zasad i praktyk przetwarzania danych osobowych, który ma funkcjonować od poczęcia organizacji aż do jej śmierci. Podobnie jak bieg terminów sądowych podczas pandemii wymagał od nas adaptacji, tak i ochrona danych wymaga stałego monitorowania i aktualizacji procedur.
Wcześniej omawialiśmy również odpowiedzialność usługodawców za mienie klientów – oba te tematy łączy dbałość o bezpieczeństwo i interes osoby korzystającej z naszych usług.
Pomagamy w kompleksowym wdrożeniu RODO w firmie, analizie ryzyka oraz pełnimy funkcję IOD.
ZAPYTAJ O AUDYT RODOWdrożenie: SEOmotive.pl