Dlaczego jeszcze nie wdrożyłeś RODO w Twojej firmie?

Autor: Marcin Wolski pod red. Marcina Soczko w kategorii Blog

31

maj
2022

Od czasu wejścia w życie przepisów RODO (Ogólne rozporządzenie o ochronie danych) upłynęły już cztery lata. Wiele podmiotów podjęło wysiłek dostosowania swojej firmy do zapewnienia zgodności z wymaganiami dotyczącymi ochrony danych osobowych. Mamy jednak sygnały, że wciąż istnieją firmy, które nie zajęły się wdrożeniem przepisów lub dokonały tylko częściowej ich implementacji. Jakie są tego główne powody? Może to wynikać z braku zrozumienia przepisów, próby uniknięcia odpowiedzialności, braku realnej obawy przed otrzymaniem kary finansowej lub ze zwykłego zaniedbania. Celem niniejszego artykułu jest zachęcenie decydentów, którzy nie dostosowali swojej organizacji do wymagań przepisów RODO do ich wdrożenia oraz wskazanie sposobów na zapewnienie zgodności z prawem.

Niniejszy artykuł porusza następujące zagadnienia:

  • Kiedy RODO ma zastosowanie?

  • Jakie są podstawowe bariery dla wdrożenia RODO?

  • Co trzeba zrobić, aby osiągnąć zgodność?

Zastosowanie RODO

Praktycznie w każdej firmie dochodzi do przetwarzania danych osobowych, czyli danych dotyczących osób fizycznych. Zgodnie z art. 2 ust. 1 RODO, rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Przekładając przytoczone wymaganie na bardziej zrozumiały język, wszędzie tam, gdzie w danej firmie dochodzi do przetwarzania danych osoby fizycznej w postaci choćby niedużej bazy (zbioru) danych (nawet w plikach arkusza kalkulacyjnego), należy zastosować wymagania RODO. Przetwarzanie należy rozumieć jako każdą możliwą operację na danych taką jak m.in: podgląd, dostęp, modyfikacja, usuwanie, udostępnianie, rozpowszechnianie, czy samo przechowywanie. Dane osobowe mogą być w przechowywane na dowolnych nośnikach, takich jak wydruki, dokumenty w segregatorach, dyski twarde komputerów, pamięć telefonu komórkowego. Podsumowując, trudno byłoby znaleźć firmę, w której dane osobowe nie są w ogóle przetwarzane.

Więcej o tym, kiedy RODO ma zastosowanie można przeczytać tutaj

Podstawowe bariery dla wdrożenia RODO

Trudności w rozumieniu przepisów

Od momentu konieczności stosowania przepisów RODO można było zaobserwować różne ich interpretacje, zarówno ze strony wewnętrznych prawników, jak i firm zajmujących się wspieraniem innych podmiotów w implementacji tych przepisów. Taki stan rzeczy mógł zniechęcać przedsiębiorców do przeznaczania środków finansowych na dostosowanie organizacji do wymogów RODO. Ewentualnie robiono to najniższym możliwym kosztem, w sposób daleki od intencji prawodawcy unijnego. Obecnie, sytuacja z pewnością prezentuje się lepiej, ponieważ zebrane doświadczenia i opinie ekspertów ugruntowały doktrynę w poszczególnych obszarach stosowania RODO, co teraz powinno już umożliwiać realizację procesu zapewnienia zgodności w sposób przemyślany i jednoznaczny.

Firmy nie traktują RODO priorytetowo w modelu biznesowym

Bardzo możliwe, że zgodność z RODO nie była, bądź nadal nie jest na szczycie listy priorytetów niektórych firm. Pomimo tego, że jest to wymóg prawny, wiele firm zaniedbało właściwe potraktowanie zgodności z RODO. W dużej mierze na poważniejsze traktowanie RODO zdecydowały się firmy, które dysponują dużymi bazami danych klientów lub te, które chciały udowodnić zgodność przed swoimi kontrahentami (zgodnie z wymaganiami stawianymi przez tych kontrahentów). Z pewnością niepodjęcie działań w tym kierunku może też wynikać z braku poważnych incydentów związanych np. z wyciekiem danych.

Brak jednoznacznych interpretacji w zakresie implementacji środków bezpieczeństwa

RODO nie dostarcza konkretnej listy zabezpieczeń technicznych oraz organizacyjnych, natomiast odwołuje się do analizy ryzyka, na podstawie której każdy administrator danych powinien podjąć świadomą decyzję w zakresie doboru zabezpieczeń. Czy jednak RODO nie powinno wskazywać konkretnych rozwiązań? Z punktu widzenia administratora brak sztywnych wymagań jest o tyle korzystny, że dobór zabezpieczeń może zostać oparty o “zdrowy rozsądek” oraz adekwatne środki finansowe.

Niestety wiele podmiotów ma z tym problem, ponieważ praktyka wykonywania analizy ryzyka związanej z bezpieczeństwem systemów informatycznych jest dla nich obca. Dodatkową trudność stwarza kontekst analizy ryzyka wynikający z RODO, gdyż powinna być ona realizowana z perspektywy skutków dla podmiotów danych.

Brak obaw przed karami finansowymi

Oczywiście można żyć nadzieją, że organ nadzorczy nie przyjdzie z kontrolą i nie nałoży administracyjnej kary pieniężnej. Jednakże zgłoszenie skargi dotyczącej naruszenia przepisów RODO, w tym praw podmiotów danych, może dokonać każdy – klient, pracownik, kontrahent. Dlatego z pewnością lepszym rozwiązaniem jest dążenie do zapewnienia zgodności z przepisami. Na naszej stronie systematycznie publikujemy listę kar nakładanych w kolejnych latach przez UODO:

Z zestawień tych wynika, że kary finansowe były nakładane zarówno na firmy prywatne, w tym na przedsiębiorców, jak i na podmioty publiczne. A temat prywatności czy ochrony danych osobowych z pewnością będzie miał niemniejsze znaczenie również w przyszłości, ponieważ realizowane projekty europejskie kładą nacisk na prywatność (przykładem jest europejski portfel tożsamości).

Co trzeba zrobić, aby osiągnąć zgodność?

W takim razie co faktycznie trzeba zrobić, aby odpowiednio przygotować organizację i osiągnąć zgodność z przepisami RODO? Poniżej znajduje się kilka wskazówek:

  1. Należy ustalić jakie dane osobowe występują w organizacji i na jakiej podstawie są przetwarzane;

  2. Należy określić gdzie dane są przechowywane (np.: w systemach, aplikacjach, dokumentacji papierowej);

  3. Należy zidentyfikować osoby, które powinny mieć oraz mają dostęp do danych;

  4. Należy ocenić czy obecne zabezpieczenia w celu ochrony danych są wystarczające. Jeśli nie, należy rozważyć wdrożenie dodatkowych (np.: szyfrowanie, zakup dodatkowego serwera, zmiana lub dostosowanie niezgodnych z RODO aplikacji). Takie rozważania, to nic innego jak właśnie analiza ryzyka;

  5. Należy opracować podstawową dokumentację, wymaganą i zgodną z przepisami oraz dostosowaną do potrzeb firmy (np. rejestr czynności przetwarzania lub polityka bezpieczeństwa);

  6. Należy zidentyfikować relacje ze wszystkimi dostawcami i podwykonawcami oraz zweryfikować mechanizmy przekazywania (zwłaszcza poza Europejski Obszar Gospodarczy) i zabezpieczenia danych. Może się okazać, że będzie konieczna zmiana obecnie wykorzystywanych usług i usługodawców na takich, którzy skutecznie wdrożyli RODO;

  7. Należy zapoznać personel z praktyką stosowania przepisów oraz zasadami przetwarzania i ochrony danych osobowych;

  8. Należy zapewnić realizację praw osób, których dane dotyczą (osób fizycznych), np. prawa do “bycia zapomnianym”.

Po wykonaniu wyżej wskazanych zaleceń, firma jest w stanie zapewnić zgodność z przepisami. Oczywiście katalog wymagań jest sprecyzowany konkretnymi przepisami prawa i w celu ich adaptacji może być wskazana pomoc zewnętrznych ekspertów.

Podsumowanie

Jeżeli w Twojej firmie przepisy RODO nie zostały jeszcze wdrożone, to nic straconego! Organ nadzorczy nie będzie wnikał, kiedy osiągnięto zgodność z przepisami, czy kiedy zrealizowano poszczególne obowiązki. O ile udało się to zrobić przez ewentualnym naruszeniem. Zawsze jest więc czas na uporządkowanie organizacji i zapewnienie zgodności z przepisami prawa, aby po prostu “spać spokojniej”. W tym celu należy wykonać jednak pierwszy krok…

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.