Co wejście RODO oznacza dla małej firmy

- Nie ma powodu do paniki. Problem polega na tym, że fakt wprowadzenia przez RODO kar powoduje, że przedsiębiorcy często dopiero teraz dostosowują się do regulacji i wymogów z 1997 roku. Nowe obowiązki oraz uprawnienia, których dziś nie ma to np. prawo do wystąpienia o kopię danych, prawo do przeniesienia danych, obowiązek poinformowania o naruszeniu, o wycieku - tłumaczy dr Maciej Kawecki z Ministerstwa Cyfryzacji.

Monika Krześniak-Sajewicz, Interia: Już pod koniec maja zacznie obowiązywać rozporządzenie RODO dotyczące ochrony danych osobowych. Co to oznacza dla mikrofirm, drobnych usługodawców? Są sygnały, że nerwowo próbują się do tego przygotować, ale nie mają praktycznych informacji o tym jakie nowe obowiązki dotyczące danych osobowych na nich spadają, czy w ogóle mogą gromadzić jakiekolwiek dane osobowe...

Maciej Kawecki, dyrektor departamentu zarządzania danych w Ministerstwie Cyfryzacji: - Rzeczywiście powstaje takie fałszywe przekonanie, że po 25 maja przechowywanie i przetwarzanie danych będzie zabronione czy ograniczone. To jest mit. Dużo obowiązków jest takich samych lub nieznacznie zmodyfikowanych względem wymogów obowiązujących przed wejściem w życie RODO. Rozbudowanym obowiązkiem, koniecznym do realizowania jest natomiast obowiązek informacyjny czyli w praktyce oznacza to, że w momencie gdy gromadzimy dane musimy poinformować o tym osobę, której one dotyczą i trzeba to zrobić w bardziej rozbudowany sposób niż wcześniej. Tego nie ominie w zasadzie żaden przedsiębiorca.

Reklama

Na czym konkretnie polega zmiana dotycząca obowiązku informacyjnego?

- Obowiązek poinformowania, że gromadzi się dane istnieje już od 20 lat i polega na tym, że z chwilą pozyskania danych musimy poinformować daną osobę kto jest administratorem, że przysługuje jej prawo do poprawienia danych, że podanie danych jest dobrowolne, ale konieczne do wykonania usługi. Przyzwyczailiśmy się już do tego, że na stronach internetowych pokazują się takie klauzule pod okienkami, w których podajemy nasze dane osobowe i taki obowiązek jest utrzymany w RODO i dodatkowo jeszcze poszerzony. O co? Po pierwsze trzeba poinformować w jaki celu dane są gromadzone, poinformować o prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania. Jeżeli w firmie powołany jest inspektor danych osobowych, to potrzebne są jego dane kontaktowe.

Czy jest więc powód do paniki?

- Nie ma powodu do paniki. Problem polega na tym, że fakt wprowadzenia przez RODO kar powoduje, że przedsiębiorcy często dopiero teraz dostosowują się do regulacji i wymogów z 1997 roku. W praktyce przeraża ich nie to, że wymogi zostają poszerzone w RODO, ale to, że w ogóle zaczną realizować obowiązki, które ciążą na nich już od dawna, ale ich nie wykonywali. Cała mityzacja RODO polega więc na tym, że wielu przedsiębiorców nagle się obudziło i dopiero teraz dostrzegło konieczność ochrony prywatności swoich klientów.

Jakie inne nowe obowiązki wprowadza RODO, tak by oddzielić je od tych, które już są?

- RODO wprowadza nowe obowiązki oraz uprawnienia, których nie ma dziś w ustawie o ochronie danych osobowych np. prawo do wystąpienia o kopię danych, prawo do przeniesienia danych, obowiązek poinformowania o naruszeniu, o wycieku itd. Przykładowo dziś nie możemy wystąpić o wydanie kopii danych i będzie to możliwe dopiero po wejściu RODO. Przedsiębiorca z wyjątkiem operatora telekomunikacyjnego nie ma też obecnie obowiązku poinformowania nas o wycieku danych, a po wejściu RODO będzie musiał to zrobić.

- Tylko, że w przypadku większości mikroprzedsiębiorców więc przykładowego fryzjera, który gromadzi dane osobowe okazjonalnie, prawdopodobieństwo kierowania takich żądań przez klientów jest bardzo małe, a nawet jeżeli nastąpi to będą incydentalne, więc nie wymaga to w mojej ocenie kupowania dedykowanych programów informatycznych.

- To co nowe, to zasada rozliczalności czyli udowodnienia działań, które przedsiębiorca wykonuje na danych osobowych czyli np. jeżeli komuś trzeciemu je udostępniamy to powinno być to zapisane, jeśli je aktualizujemy czy usuwamy, to również powinno być zapisane, tak żeby w razie potrzeby można się było z tego rozliczyć przed organem nadzorczym.

- Dużo przedsiębiorców jest zrzeszonych w izbie branżowej i ogrom z nich pracuje nad kodeksem dotyczącym praktycznego wprowadzenia RODO, natomiast prezes Urzędu Ochrony Danych Osobowych będzie uprawniony do zatwierdzania takich kodeksów. Nawet jeśli ktoś nie jest formalnie członkiem izby to i tak może stosować taki kodeks.

Czy na podstawie liczby zapytań izb branżowych widać, że przygotowują zrzeszone firmy do wejścia RODO, tworząc tego typu kodeksy?

- Tak, informują nas o tym i takie kodeksy przygotowuje m.in. branża medyczna, bankowa, ubezpieczeniowa, hotelarska. Wypracowywane są one często przy współpracy z GIODO.

Czy taki drobny przedsiębiorca, usługodawca po wejściu RODO musi zbierać i przetwarzać dane elektronicznie?

- To jest bardzo ważna kwestia, bo część przedsiębiorców rzeczywiście tak myśli, ale to jest wynik wprowadzania ich w błąd, prób naciągania ich na zakup programów informatycznych czy aplikacji, które rzekomo stanowią remedium na nowe obowiązki jakie wprowadza RODO. Oczywiście takiego programu nie ma. Mogą być programy wspierające, ale nie są one obowiązkowe, a w wielu przypadkach stosowanie ich i tak nie ma żadnego sensu, bo nie mogą dać gwarancji zgodności z rozporządzeniem, ponieważ zabezpieczenia muszą każdorazowo zostać dostosowane do specyfiki działalności. Nawet w ramach tego samego rodzaju sklepu internetowego są różnice, jeden zajmuje się sprzedażą książek tylko w wersji e-booków, a inny również sprzedażą książek tradycyjnych. Wtedy zakres danych gromadzonych przez drugą księgarnię jest dużo większy, bo musi obejmować np. adres do doręczeń.

Wracając do usług świadczonych w świecie fizycznym, to czy jeśli ktoś prowadził do tej pory tradycyjną czyli papierową formę zapisywania danych klientów takich jak adres czy numer telefonu oraz rok urodzenia, to czy musi zmienić sposób ich gromadzenia?

- Nie musi. Nadal może prowadzić formę papierową i żaden przepis RODO nie wymaga elektronizacji baz danych.

W jaki sposób ma spełnić obowiązek poinformowania klienta o przetwarzaniu danych?

- To zależy od tego w jaki sposób dany podmiot gromadzi dane, jeśli poprzez bezpośredni kontakt z dana osobą, to może on nakleić plakietkę na ladzie czy szybie recepcji na podobnej zasadzie jak tabliczki z informacją, że obiekt jest monitorowany. Jeśli natomiast gromadzi dane przez Internet, to tym samym kanałem czyli np. poprzez zamieszczenie tych informacji na stronie internetowej, jeśli telefonicznie, to przez przeczytanie klauzuli. Tylko, że ten obowiązek istnieje już od ponad 20 lat od kiedy weszła w życie ustawa o ochronie danych osobowych.

Co jeszcze powinni wiedzieć mali przedsiębiorcy o RODO?

- Warto podkreślić, że ta reforma działa również pro biznesowo. Rozwiązaniem probiznesowym są bez wątpienia kodeksy branżowe. Branża sama będzie w nich mogła doprecyzować sobie sposoby zabezpieczania danych w danym sektorze. Kto potrafi zrobić to lepiej, niż podmioty działające w danej branży i znające ją od "podszewki". Firmy zdecydowanie skorzystają też na certyfikacji. W projekcie rząd przewiduje dwa mechanizmy certyfikacji: przez Prezesa Urzędu Ochrony Danych Osobowych oraz przez akredytowanych przedsiębiorców. Posiadanie certyfikatu będzie oznaczało, że firma przetwarza dane osobowe zgodnie z wymogami RODO. Sam fakt wdrożenia RODO wyróżnia dany podmiot jako dochowujący staranności w ochronie gromadzonych danych, czyniąc go bardziej konkurencyjnym. Zdecydowanie probiznesowym rozwiązaniem jest też obowiązywanie jednego, niemal identycznego systemu ochrony danych osobowych w całej Unii Europejskiej. Internet nie ma przecież granic, a to z jego wykorzystaniem firmy coraz częściej gromadzą dane. Coraz więcej podmiotów gospodarczych działa również w formie sieci zlokalizowanych w kilku krajach.

W jaki jeszcze sposób RODO ułatwi funkcjonowanie firm?

- Probiznesowym rozwiązaniem jest również wprowadzenie do przepisów krajowych skracających czas trwania postępowań w sprawie naruszenia zasad ochrony danych osobowych oraz zwiększenie ilości środków prawnych, które będzie mógł wydawać Prezes Urzędu. Naruszenia będą mogły skończyć się nie tylko decyzją zawierającą karę finansową, ale również ostrzeżeniem oraz upomnieniem. Sama reforma na pewno wpłynęła też na wyodrębnienie się lub wzmocnienie nowej grupy zawodowej osób specjalizujących się w ochronie danych osobowych. Rozwiązaniem probiznesowym są bez wątpienia kodeksy branżowe. Branża sama będzie w nich mogła doprecyzować sobie sposoby zabezpieczania danych w danym sektorze. Kto potrafi zrobić to lepiej, niż podmioty działające w danej branży i znające ją od "podszewki". Firmy zdecydowanie skorzystają też na certyfikacji. W projekcie rząd przewiduje dwa mechanizmy certyfikacji: przez Prezesa Urzędu Ochrony Danych Osobowych oraz przez akredytowanych przedsiębiorców. Posiadanie certyfikatu będzie oznaczało, że firma przetwarza dane osobowe zgodnie z wymogami RODO. Sam fakt wdrożenia RODO wyróżnia dany podmiot jako dochowujący staranności w ochronie gromadzonych danych, czyniąc go bardziej konkurencyjnym.

- Zdecydowanie probiznesowym rozwiązaniem jest też obowiązywanie jednego, niemal identycznego systemu ochrony danych osobowych w całej Unii Europejskiej. Internet nie ma przecież granic, a to z jego wykorzystaniem firmy coraz częściej gromadzą dane. Coraz więcej podmiotów gospodarczych działa również w formie sieci zlokalizowanych w kilku krajach. Probiznesowym rozwiązaniem jest również wprowadzenie do przepisów krajowych skracających czas trwania postępowań w sprawie naruszenia zasad ochrony danych osobowych oraz zwiększenie ilości środków prawnych, które będzie mógł wydawać Prezes Urzędu. Naruszenia będą mogły skończyć się nie tylko decyzją zawierającą karę finansową, ale również ostrzeżeniem oraz upomnieniem. Sama reforma na pewno wpłynęła też na wyodrębnienie się lub wzmocnienie nowej grupy zawodowej osób specjalizujących się w ochronie danych osobowych. Na pewno stymuluje również rozwój usług prawniczych. Pozytywne skutki reformy mógłbym więc tak wyliczać i wyliczać. Najważniejszym jest jednak to, że o ochronie danych osobowych po raz pierwszy od ćwierć wieku tak dużo się mówi.

Skoro już mowa o firmach, które specjalizują się w ochronie danych osobowych. Czy dużo jest takich, które próbują nieuczciwie zarobić na wejściu RODO oferując małym przedsiębiorcom, którzy nie mają działów prawnych, "specjalne programy informatyczne" czy inne usługi związane rzekomo z RODO?

- Muszę przyznać, że choć to przewidywaliśmy, to nie spodziewaliśmy się tak dużej skali i tak wielu podmiotów, które będą na tym chciały nieuczciwie zarobić oraz tak dużej liczby komunikatów wprowadzających w błąd.

Rozumiem, że chodzi o agresywny marketing różnorakich firm-naciągaczy, które oferują pseudoszkolenia czy inną "pomoc prawną" w zakresie RODO?

- Tak, mamy sygnały, że przedsiębiorcom próbuje się wmawiać, że szkolenia są obligatoryjne, że każdy będzie kontrolowany po 25 maja, że istnieje obowiązek posiadania kilku inspektorów ochrony danych osobowych w jednym przedsiębiorstwie, że po to, by należycie zabezpieczać dane należy posiadać odpowiedni sejf, a wszystko to oczywiście jest nieprawda.

Gdzie szybko przedsiębiorca, który dostał taką informację czy ofertę, może zweryfikować czy jest prawdziwa czy to tylko forma naciągania?

- Takim punktem jest GIODO, które gra tutaj kluczową rolę. Natomiast Ministerstwo Cyfryzacji tworzy prawo w tym zakresie i udostępnia przewodniki. Za chwilę udostępnimy kolejny informator. Polecam także przewodnik Ministerstwa Przedsiębiorczości i Technologii, strony internetowe Fundacji Panaptykon, która udostępnia świetne i bardzo użyteczne infografiki.

Co RODO zmienia w takich specyficznych instytucjach jak wspólnoty mieszkaniowe. Czy ograniczy im możliwość zbierania danych o swoich członkach po 25 maja?

- RODO nie zmienia definicji administratora danych osobowych. Jest nim każdy podmiot, który decyduje o celach przetwarzania danych. Wspólnoty mieszkaniowe w zakresie związanym z zarządzaniem nieruchomością są więc odpowiedzialne za gromadzone w tym celu dane. I tak przykładowo jeżeli wspólnota mieszkaniowa powierzy zarządzanie nieruchomością innemu wyspecjalizowanemu podmiotowi, umowa o zarządzanie nieruchomością musi zawierać postanowienia o powierzeniu przetwarzania danych osobowych. Muszą one odpowiadać nowym wymogom, przewidzianym wprost w RODO. Umowy zawarte dotychczas i obowiązujące po 25 maja br. powinny być więc aneksowane.

Rozmawiała Monika Krześniak-Sajewicz

Pobierz darmowy program do rozliczeń PIT 2017

INTERIA.PL
Dowiedz się więcej na temat: RODO | firma
Reklama
Reklama
Reklama
Reklama
Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »