Wdrożenie RODO – najczęściej popełniane błędy 

Wdrożenie RODO - najczęściej popełniane błędy 

Od rozpoczęcia stosowania w państwach członkowskich Unii Europejskiej rozporządzenia UE 2016/679 z dnia 27 kwietnia 2016 roku tzw. RODO minął już ponad miesiąc. Wdrożenie RODO w przedsiębiorstwach powinno zostać zakończone do 25 maja 2018 roku. Rzeczywistość ostatnich tygodni pokazuje jednak jak wiele błędów dokonywanych jest podczas implementacji rozporządzenia do rzeczywistości funkcjonowania polskich firm.

Rozporządzenie UE 2016/679 wprowadziło rewolucję w ochronie prywatności osób fizycznych. Zmianie uległy przepisy w zakresie regulacyjnych wymogów ochrony danych osobowych, a także konsekwencje niedostosowania się do rozporządzenia – wysokie kary finansowe do 20 mln EUR lub 4% światowego przychodu. Wdrożenie RODO w przedsiębiorstwie to przedsięwzięcie bardzo złożone, wymagające zaangażowania wielu obszarów m.in. prawnego, informatycznego, bezpieczeństwa oraz biznesu. Sprawdź jakie są najczęstsze błędy przy dostosowywaniu firmy do wymagań RODO. Być może popełniłeś jedne z nich.

Nie wiesz czym jest RODO i do chwili obecnej nie dostosowałeś się do unijnych przepisów

Najgorszy scenariusz. Największą nieprawidłowością, jaką możesz popełnić to brak wdrożenia przepisów rozporządzenia i przepisów krajowych. Popełnienie tego błędu wynika na ogół z niewiedzy, z chęci ograniczenia kosztów lub braku zrozumienia przepisów. Ustawodawca iluzorycznie zakłada, że każdy przedsiębiorca jest profesjonalistą i powinien doskonale znać przepisy prawa, które go dotyczą. O ile tak jest i założenie te ma swoje odzwierciedlenie w stosunku do średnich i dużych przedsiębiorców, to jednak mali przedsiębiorcy potrzebują impulsu i niejednokrotnie pomocy prawnej oraz informatycznej. Nie zmienia to faktu, iż dostosować się do przepisów zobowiązany jest każdy przedsiębiorca, który gromadzi i przetwarza dane osobowe. Skutki braku implementacji przepisów dotyczących ochrony danych osobowych są wielowymiarowe i nie warto ich lekceważyć.

Przede wszystkim, RODO zawiera wiele narzędzi umożliwiających egzekwowanie ochrony, jak i prawidłowego przetwarzania danych osobowych. Nieprawidłowe przetwarzanie danych z naruszeniem przepisów może prowadzić do odpowiedzialności zarówno administracyjnoprawnej, cywilnoprawnej oraz karnoprawnej. Warto pamiętać, że zakres poszczególnych odpowiedzialności nie wyklucza się i jest od siebie niezależny. Poza naruszeniem przepisów prawa, szczególnie warto zwrócić uwagę na koszty wizerunkowe, które ponosi się przy naruszeniu ochrony danych osobowych. Brak zaufania klientów i ich strata to może być początek końca prowadzenia przedsiębiorstwa.

Czytaj też: Czym jest RODO?

RODO to według Ciebie jedynie dokumentacja

Przygotowanie się do odpowiedniego stosowania przepisów rozporządzenia pod względem formalnym to niezwykle istotny i dobry kierunek. Należy jednak pamiętać, że RODO to bardzo elastyczny akt prawny i jednorazowe spełnienie wymogów nie wystarczy do prawidłowej ochrony posiadanych danych osobowych. Podstawowym ryzykiem bezpieczeństwa danych jest błąd ludzki, nawet w najbardziej zaawansowanych technologicznie przedsiębiorstwach. Aby zmniejszyć prawdopodobieństwo popełnienia przez pracowników firmy naruszenia ochrony danych, należy ich odpowiednio przeszkolić oraz udostępniać jedynie dane niezbędne do wykonania ich pracy. Jak wynika z licznych badań na przestrzeni lat, najczęstszym powodem utraty poufnych informacji (ponad 40 proc.) okazują się pracownicy.

Odpowiednie dostosowanie przedsiębiorstwa do RODO zapewni jedynie prawnik

Z jednej strony nieodpowiednio przeszkolony pracownik może stać się najsłabszym ogniwem przedsiębiorstwa, zaś z drugiej – odpowiedni zespół może być cenny pod względem wiedzy „know-how”. W przypadku przygotowań i bieżącego monitowania zgodności posiadanych danych z rozporządzeniem, niezwykle wartościowe jest stworzenie zespołu składającego się z informatyka z wiedzą na temat bezpieczeństwa danych, prawnika i osoby z wewnątrz firmy, która posiada niezbędne informacje dotyczące jej funkcjonowania. Odpowiedniego dostosowania przepisów nie zapewni jedynie prawnik, jak i sam informatyk znający się na bezpieczeństwie danych czy osoba doskonale orientująca się w sprawach przedsiębiorstwa. Kluczowa jest współpraca, odpowiedni przepływ informacji w celu jak najlepszego dostosowania przepisów oraz ich zindywidualizowania do danego przedsiębiorstwa. Należy bowiem pamiętać, że RODO nie daje gotowych rozwiązań i wzorów, każda organizacja zobowiązana jest zatem samodzielnie zadecydować o podejmowanych działaniach i środkach w celu spełnienia wymogów, jak i zapewnienia należytego bezpieczeństwa informacji.

Fikcyjne stanowisko Inspektora Danych Osobowych w organizacji

Z uwagi na obligatoryjne powołanie Inspektora Danych Osobowych (IOD) w niektórych przypadkach określonych przez RODO oraz ustawę krajową, a także dość powszechne stanowisko IOD w przedsiębiorstwach, gdy nie jest ono wymagane, warto przyjrzeć się jego funkcji oraz zakresie działań. Instytucja IOD jest nowa, choć nie jest rewolucyjna. Wchodzi ona w miejsce dotychczasowego administratora bezpieczeństwa informacji (ABI). Obecnie Inspektor ma pełnić rolę konsultacyjną, doradczą i kontrolną. Jest ważną postacią w przedsiębiorstwie, która powinna dogłębnie znać przepisy dotyczące ochrony danych, a także posiadać wiedzę o swoim administratorze oraz jego zabezpieczeniach, systemach, potrzebach. Z uwagi na szeroki zakres wymaganych kompetencji z art. 37 ust. 5 RODO oraz podejmowanych działań, Inspektor powinien charakteryzować się niezależnością. Przepisy prawa nie ograniczają zasad współpracy pomiędzy administratorem, a inspektorem. Należy jednak zastanowić się, czy błędem nie jest powoływanie na tę funkcję osoby, która dotychczas nie miała styczności z danymi osobowymi. Odpowiedzialność bowiem zawsze spada na administratora, który danego inspektora powołał. Ewentualne błędy, niedopatrzenia lub nieprofesjonalny kontakt z klientem, stanowi odzwierciedlenie postawy administratora. Inspektor Danych Osobowych jest bowiem pierwszą osobą, do której zgłosi się klient w kwestii swoich danych osobowych.

Jednorazowe przygotowanie i wdrożenie RODO

RODO jest aktem prawnym wymagającym inteligentnej interpretacji, co oznacza, że tekst rozporządzenia napisany jest językiem prawniczym charakteryzującym się w tym przypadku uniwersalnością i elastycznością. Na próżno szukać cech i długości haseł zabezpieczających, gotowego wzoru zgody czy obowiązku informacyjnego. Zdecydowanie należy zaprzeczyć twierdzeniu, że RODO jest martwym aktem prawnym, który należy jedynie wdrożyć. Akt ten wymusza na przedsiębiorcach obowiązek stałego monitorowania procesów związanych z przetwarzaniem danych osobowych w organizacji. Należy więc przygotować się do pracy stałej, gdyż dane osobowe stają się jedną z najcenniejszych walut świata – informacji o nas, naszych potrzebach, zwyczajach, zdrowiu, dokonywanych decyzjach. Ich ochrona jest kluczowa pod względem zarówno biznesu i wartości ekonomicznej dla przedsiębiorcy, jak i zachowania prywatności. Zaprzestanie stosowania RODO po wdrożeniu stanowić będzie iluzoryczną ochronę. Kluczowe zatem jest, aby w każdym przedsiębiorstwie dane były przechowywane i chronione zgodnie z tekstem rozporządzenia, jak i najnowszymi technologiami. Akt ten wymusza nieustanną pracę, co jest szczególnie istotne, gdyż to każdy z nich przyczynia się do tworzenia przestrzeni wolności, bezpieczeństwa, postępu społeczno-gospodarczego oraz zapewnia prywatność i ochronę przetwarzanych danych.

 

Podstawa prawna:

  • rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

 

Autor Klaudia Dryja

Prawnik w Kancelarii Radcy Prawnego Konrad Buczyło. W dotychczasowej praktyce uczestniczyła w projektach audytowych, tworzeniu dokumentacji oraz obsłudze prawnej z zakresu danych osobowych. Doradza na rzecz podmiotów publicznych i prywatnych. Doświadczenie zawodowe zdobywała w kancelarii Maruta Wachta oraz w Sejmie RP.