Wdrożenie RODO – najczęściej popełniane błędy 

Od rozpoczęcia stosowania w państwach członkowskich Unii Europejskiej rozporządzenia UE 2016/679 z dnia 27 kwietnia 2016 roku tzw. RODO minął już ponad miesiąc. Wdrożenie RODO w przedsiębiorstwach powinno zostać zakończone do 25 maja 2018 roku. Rzeczywistość ostatnich tygodni pokazuje jednak jak wiele błędów dokonywanych jest podczas implementacji rozporządzenia do rzeczywistości funkcjonowania polskich firm.
Wdrożenie RODO - najczęściej popełniane błędy 

Rozporządzenie UE 2016/679 wprowadziło rewolucję w ochronie prywatności osób fizycznych. Zmianie uległy przepisy w zakresie regulacyjnych wymogów ochrony danych osobowych, a także konsekwencje niedostosowania się do rozporządzenia – wysokie kary finansowe do 20 mln EUR lub 4% światowego przychodu.

Wdrożenie RODO w przedsiębiorstwie to przedsięwzięcie bardzo złożone, wymagające zaangażowania wielu obszarów m.in. prawnego, informatycznego, bezpieczeństwa oraz biznesu. Sprawdź jakie są najczęstsze błędy przy dostosowywaniu firmy do wymagań RODO. Być może popełniłeś jedne z nich.

Nie wiesz czym jest RODO i do chwili obecnej nie dostosowałeś się do unijnych przepisów

Najgorszy scenariusz. Największą nieprawidłowością, jaką możesz popełnić to brak wdrożenia przepisów rozporządzenia i przepisów krajowych. Popełnienie tego błędu wynika na ogół z niewiedzy, z chęci ograniczenia kosztów lub braku zrozumienia przepisów.

Ustawodawca iluzorycznie zakłada, że każdy przedsiębiorca jest profesjonalistą i powinien doskonale znać przepisy prawa, które go dotyczą. O ile tak jest i założenie te ma swoje odzwierciedlenie w stosunku do średnich i dużych przedsiębiorców, to jednak mali przedsiębiorcy potrzebują impulsu i niejednokrotnie pomocy prawnej oraz informatycznej.

Nie zmienia to faktu, iż dostosować się do przepisów zobowiązany jest każdy przedsiębiorca, który gromadzi i przetwarza dane osobowe. Skutki braku implementacji przepisów dotyczących ochrony danych osobowych są wielowymiarowe i nie warto ich lekceważyć.

Przede wszystkim, RODO zawiera wiele narzędzi umożliwiających egzekwowanie ochrony, jak i prawidłowego przetwarzania danych osobowych. Nieprawidłowe przetwarzanie danych z naruszeniem przepisów może prowadzić do odpowiedzialności zarówno administracyjnoprawnej, cywilnoprawnej oraz karnoprawnej.

Warto pamiętać, że zakres poszczególnych odpowiedzialności nie wyklucza się i jest od siebie niezależny. Poza naruszeniem przepisów prawa, szczególnie warto zwrócić uwagę na koszty wizerunkowe, które ponosi się przy naruszeniu ochrony danych osobowych. Brak zaufania klientów i ich strata to może być początek końca prowadzenia przedsiębiorstwa.

Czytaj też: Czym jest RODO?

RODO to według Ciebie jedynie dokumentacja

Przygotowanie się do odpowiedniego stosowania przepisów rozporządzenia pod względem formalnym to niezwykle istotny i dobry kierunek. Należy jednak pamiętać, że RODO to bardzo elastyczny akt prawny i jednorazowe spełnienie wymogów nie wystarczy do prawidłowej ochrony posiadanych danych osobowych.

Podstawowym ryzykiem bezpieczeństwa danych jest błąd ludzki, nawet w najbardziej zaawansowanych technologicznie przedsiębiorstwach. Aby zmniejszyć prawdopodobieństwo popełnienia przez pracowników firmy naruszenia ochrony danych, należy ich odpowiednio przeszkolić oraz udostępniać jedynie dane niezbędne do wykonania ich pracy.

Jak wynika z licznych badań na przestrzeni lat, najczęstszym powodem utraty poufnych informacji (ponad 40 proc.) okazują się pracownicy.

Odpowiednie dostosowanie przedsiębiorstwa do RODO zapewni jedynie prawnik

Z jednej strony nieodpowiednio przeszkolony pracownik może stać się najsłabszym ogniwem przedsiębiorstwa, zaś z drugiej – odpowiedni zespół może być cenny pod względem wiedzy „know-how”.

W przypadku przygotowań i bieżącego monitowania zgodności posiadanych danych z rozporządzeniem, niezwykle wartościowe jest stworzenie zespołu składającego się z informatyka z wiedzą na temat bezpieczeństwa danych, prawnika i osoby z wewnątrz firmy, która posiada niezbędne informacje dotyczące jej funkcjonowania.

Odpowiedniego dostosowania przepisów nie zapewni jedynie prawnik, jak i sam informatyk znający się na bezpieczeństwie danych czy osoba doskonale orientująca się w sprawach przedsiębiorstwa. Kluczowa jest współpraca, odpowiedni przepływ informacji w celu jak najlepszego dostosowania przepisów oraz ich zindywidualizowania do danego przedsiębiorstwa.

Należy bowiem pamiętać, że RODO nie daje gotowych rozwiązań i wzorów, każda organizacja zobowiązana jest zatem samodzielnie zadecydować o podejmowanych działaniach i środkach w celu spełnienia wymogów, jak i zapewnienia należytego bezpieczeństwa informacji.

Fikcyjne stanowisko Inspektora Danych Osobowych w organizacji

Z uwagi na obligatoryjne powołanie Inspektora Danych Osobowych (IOD) w niektórych przypadkach określonych przez RODO oraz ustawę krajową, a także dość powszechne stanowisko IOD w przedsiębiorstwach, gdy nie jest ono wymagane, warto przyjrzeć się jego funkcji oraz zakresie działań. Instytucja IOD jest nowa, choć nie jest rewolucyjna. Wchodzi ona w miejsce dotychczasowego administratora bezpieczeństwa informacji (ABI).

Obecnie Inspektor ma pełnić rolę konsultacyjną, doradczą i kontrolną. Jest ważną postacią w przedsiębiorstwie, która powinna dogłębnie znać przepisy dotyczące ochrony danych, a także posiadać wiedzę o swoim administratorze oraz jego zabezpieczeniach, systemach, potrzebach.

Z uwagi na szeroki zakres wymaganych kompetencji z art. 37 ust. 5 RODO oraz podejmowanych działań, Inspektor powinien charakteryzować się niezależnością. Przepisy prawa nie ograniczają zasad współpracy pomiędzy administratorem, a inspektorem.

Należy jednak zastanowić się, czy błędem nie jest powoływanie na tę funkcję osoby, która dotychczas nie miała styczności z danymi osobowymi. Odpowiedzialność bowiem zawsze spada na administratora, który danego inspektora powołał.

Ewentualne błędy, niedopatrzenia lub nieprofesjonalny kontakt z klientem, stanowi odzwierciedlenie postawy administratora. Inspektor Danych Osobowych jest bowiem pierwszą osobą, do której zgłosi się klient w kwestii swoich danych osobowych.

Jednorazowe przygotowanie i wdrożenie RODO

RODO jest aktem prawnym wymagającym inteligentnej interpretacji, co oznacza, że tekst rozporządzenia napisany jest językiem prawniczym charakteryzującym się w tym przypadku uniwersalnością i elastycznością.

Na próżno szukać cech i długości haseł zabezpieczających, gotowego wzoru zgody czy obowiązku informacyjnego. Zdecydowanie należy zaprzeczyć twierdzeniu, że RODO jest martwym aktem prawnym, który należy jedynie wdrożyć.

Akt ten wymusza na przedsiębiorcach obowiązek stałego monitorowania procesów związanych z przetwarzaniem danych osobowych w organizacji. Należy więc przygotować się do pracy stałej, gdyż dane osobowe stają się jedną z najcenniejszych walut świata – informacji o nas, naszych potrzebach, zwyczajach, zdrowiu, dokonywanych decyzjach.

Ich ochrona jest kluczowa pod względem zarówno biznesu i wartości ekonomicznej dla przedsiębiorcy, jak i zachowania prywatności. Zaprzestanie stosowania RODO po wdrożeniu stanowić będzie iluzoryczną ochronę.

Kluczowe zatem jest, aby w każdym przedsiębiorstwie dane były przechowywane i chronione zgodnie z tekstem rozporządzenia, jak i najnowszymi technologiami. Akt ten wymusza nieustanną pracę, co jest szczególnie istotne, gdyż to każdy z nich przyczynia się do tworzenia przestrzeni wolności, bezpieczeństwa, postępu społeczno-gospodarczego oraz zapewnia prywatność i ochronę przetwarzanych danych.

Podstawa prawna:

  • rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Autor Klaudia Dryja

Prawnik w Kancelarii Radcy Prawnego Konrad Buczyło. W dotychczasowej praktyce uczestniczyła w projektach audytowych, tworzeniu dokumentacji oraz obsłudze prawnej z zakresu danych osobowych. Doradza na rzecz podmiotów publicznych i prywatnych. Doświadczenie zawodowe zdobywała w kancelarii Maruta Wachta oraz w Sejmie RP.

Admin
Admin

więcej porad

Compliance dla producentów i importerów

Compliance, czyli… nie ma jednoznacznego tłumaczenia compliance w języku polskim. Możemy go jednak rozumieć jako „politykę zgodności” lub „zgodność”. W praktyce oznacza to, że produkt, jaki przedsiębiorca chce wprowadzić do obrotu musi być zgodny z normami europejskimi. Aby tak było należy przeprowadzić proces compliance umożliwiający m.in. zredukowanie do minimum ryzyka powstania nieprawidłowości związanych np. z niedopuszczeniem wyrobu do sprzedaży. Co zatem zrobić, by  zapobiec takim sytuacjom? Bądź compliant. [reklama-ads] Praktyka zgodności Dokumentacja – przygotowana z należytą starannością, zindywidualizowana, sporządzona po szczegółowej analizie, testach i badaniach laboratoryjnych - może okazać się kluczem do sukcesu dla compliance’owego przedsiębiorcy. Co powinno wchodzić w jej skład? Szczegóły poniżej: ekspertyza (status prawny produktu), regulacje dotyczące bezpieczeństwa wyrobu, zalecenia dotyczące badań technicznych (laboratoryjnych), umowy (m. in. powierzenia np. pomiędzy producentem a dystrybutorem), zestawienie dotyczące wszystkich obowiązków producenta/ importera, certyfikat CE. …,bo warto! Czemu warto zainwestować w compliance produktowy? „Procedury nie tylko usprawniają procesy wewnątrz organizacji, one przede wszystkim zapewniają ochronę. Stwarzają domniemanie dopełnienia wszelkich obowiązków, zabezpieczają towary jako takie przed potencjalną konfiskatą. Chronią dobre imię firmy – markę, wprowadzając w życie politykę społecznej odpowiedzialności” - mówi Zuzanna Wiśniewska, założycielka Compliant Product – firmy świadczącej usługi prawnej z zakresu compliance. [reklama-ads] Co więcej, wdrożeniowa konsekwencja popłaca - buduje ona długoterminową i stabilną wartość przedsiębiorstwa, pozwala także na realizację celów biznesowych w sposób zrównoważony. Poprawnie wdrożony compliance może też pozwolić w zminimalizowaniu lub uniknięciu ryzyka związanego z naruszeniem unijnych norm, co zdecydowanie wpływa na pozytywny wizerunek firmy. Pozwoli także na uniknięcie horrendalnych kar finansowych nakładanych przez UE. Unijne sKARcenie Nieprzestrzeganie unijnych wymogów pociąga za sobą niezwykle dotkliwe kary dla przedsiębiorcy, który często na pierwszym planie stawia szybki zysk zapominając o tym, że inwestycja w compliance nie jest zbędnym wydatkiem, lecz inwestycją. Przekonał się o tym m.in. niemiecki producent samochodów - firma Volkswagen, kiedy to w sposób intencjonalny godziła w środowisko naturalne, manipulując parametrami spalin w silnikach diesla, naruszając tym samym unijne przepisy. 15 mld dolarów kary finansowej wymierzonej przez sąd w San Francisco, utrata zaufania klientów, spadek sprzedaży aut, reputacja w rozsypce – to zapewne tylko część strat poniesionych przez koncern motoryzacji w „aferze spalinowej”. Warto także wspomnieć, że kary mogą wynosić około 10% obrotu osiągniętego w roku poprzedzającym – czym zatem w porównaniu do tego jest koszt poniesiony na wdrożenie compliance…? [reklama-ads] Przezorny zawsze ubezpieczony Warto być mądrym przed szkodą. Jak pokazuje praktyka, zapobiegać jest niejednokrotnie łatwiej (i taniej) niż naprawiać, co dodatkowo wskazywałoby na zasadność stosowania procedur minimalizujących ryzyko nieprzemyślanych decyzji, a co za tym idzie zaprzyjaźnienie się z compliancem produktowym. Pamiętajmy, że zgodny w tym wypadku znaczy bezpieczny, a jak mawia polskie porzekadło przezorny zawsze ubezpieczony. Studentka Kolegium Prawa Akademii Leona Koźmińskiego, specjalistka ds. ochrony danych osobowych z dwuletnim doświadczeniem, obecnie młodszy prawnik zajmujący się compliancem w firmie Compliant Product.

Wolny zawód oraz forma jego wykonywania

Wolny zawód jest pojęciem, którym posługuje się Kodeks spółek handlowych w odniesieniu do spółki partnerskiej. Nie precyzuje jego znaczenia, natomiast wskazuje rodzaje wolnych zawodów, które mogą być partnerami ww. spółki. Zgodnie z k.s.h. do wolnych zawodów zalicza się następujące zawody: [reklama-ads] adwokata; aptekarza; architekta; inżyniera budownictwa; biegłego rewidenta; brokera ubezpieczeniowego; doradcy podatkowego; maklera papierów wartościowych; doradcy inwestycyjnego; księgowego; lekarza; lekarza dentysty; lekarza weterynarii; notariusza; pielęgniarki; położnej; radcy prawnego; rzecznika patentowego; rzeczoznawcy majątkowego; tłumacza przysięgłego. Dodatkowo na podstawie oddzielnej ustaw wolny zawód może wykonywać psycholog. Cechy wolnego zawodu Przede wszystkim osoby wykonujące wolne zawody, aby je wykonywać muszą posiadać odpowiednie dla danego zawodu uprawnienia. Co więcej w doktrynie ugruntował się pogląd, że wolny zawód łączy się posiadaniem wysokich umiejętności i wiedzy. [reklama-ads] Dodatkowym wymogiem wolnego zawodu jest osobisty udział przy wykonywaniu danych czynności zawodowych. Osoba wykonująca wolny zawód musi również przestrzegać etosu zawodowego, zachowywać tajemnicę zawodową oraz ubezpieczyć się przed odpowiedzialnością za wszelkie czynności dokonywane w obrocie gospodarczym. Wykonywanie większości wolnych zawodów łączy się z obowiązkiem zawarcia przez partnerów umowy ubezpieczenia OC w zakresie prowadzonej działalności zawodowej. Ubezpieczenie OC chroni spółkę za zobowiązania powstałe w wyniku działania konkretnego partnera. [uwaga] Czytaj też: Spółka jawna – jak ją założyć?[/uwaga] Spółka partnerska Zgodnie z art. 86 k.s.h. osoby wykonujące wolne zawody mogą zakładać spółkę partnerską. Spółka partnerska jest spółką osobową prawa handlowego analogiczną do spółki jawnej, jednocześnie posiada ona różnice charakterystyczne tylko dla niej. Różnicą miedzy spółką jawną a partnerską jest wymóg, aby partnerami w spółce partnerskiej były wyłącznie osoby fizyczne, uprawnione do wykonywania wolnych zawodów (art.88 k.sh.). Wspólnicy spółki partnerskiej mogą wykonywać jeden lub więcej wolnych zawodów. Jednakże przepisy szczególne nakładają pewne ograniczenia. Mianowicie, w ramach spółki partnerskiej wspólnikami mogą być wyłącznie osoby wykonujące określone, pokrewne wolne zawody, np. adwokat spółkę może prowadzić jedynie z adwokatami, radcami prawnymi, doradcami podatkowymi oraz rzecznikami patentowymi. Partnerami w spółce partnerskiej bezwzględnie nie mogą zostać osoby nie będące osobami fizycznymi oraz osoby nieposiadające ważnych, wymaganych uprawnień zawodowych. Oznacza to, że partner spółki, który utracił stosowne uprawnienia, nie może być dłużej członkiem spółce partnerskiej (art. 100 k.s.h.). [reklama-ads] [rada]Przepisy k.s.h. nie stawiają żadnych wymogów, które mogą być partnerami w spółce jawnej. Osoby wykonujące wolne zawody mogą więc założyć także inną spółkę niż partnerską.[/rada] Zindywidualizowana odpowiedzialność partnerów spółki Tym co odróżnia spółkę partnerską od innych spółek prawa handlowego jest zindywidualizowanie odpowiedzialności partnerów w ramach wykonywania przez nich działalności zawodowej. Przepisy art. 95 k.s.h. mówią wprost, że partner spółki partnerskiej nie ponosi odpowiedzialności za zobowiązania spółki powstałe w związku z wykonywaniem przez pozostałych partnerów wolnego zawodu w spółce. Nie ponosi odpowiedzialności również za zobowiązania spółki wynikające z działań osób podległych kierownictwu innego partnera przy świadczeniu usług związanych z przedmiotem działalności spółki. Jednocześnie umowa spółki może przewidywać, że partnerzy będą wspólnie ponosić odpowiedzialność za zobowiązania spółki (odpowiedzialność subsydiarną). Wyłącznie w umowie spółki wspólnej odpowiedzialności partnerów, nie wyłączają zasady subsydiarności. Wierzyciel wciąż może zaspokoić się z majątku spółki niezależnie od tego, czy zobowiązanie powstało w związku z wykonywaniem zawodu przez jednego czy wszystkich partnerów. Dopiero przy egzekucji z majątku prywatnego partnerów ma znaczenie rodzaj ustalonej w umowie odpowiedzialności. [reklama-ads] [informacja]Podstawa prawna: ustawa z dnia 15.09.2000 r. - Kodeks spółek handlowych (U.2017.0.1577). ustawa z dnia 8 czerwca 2001 r. o zawodzie psychologa i samorządzie zawodowym psychologów.[/informacja]