Od 25 maja obowiązuje unijne Rozporządzenie o Ochronie Danych Osobowych, które w znaczący sposób wpływa na obowiązki w zakresie ochrony danych osobowych. Zakłada ono m.in.: dokonywanie przez administratorów oceny ryzyka dla poszczególnych procesów przetwarzania, konieczność zgłaszania naruszeń w ciągu 72 godzin od momentu ich wykrycia, konieczność wypełniania obowiązku informacyjnego w odniesieniu do osób, których dane przetwarza administrator, tworzenia w firmach dokumentów, jak np. rejestr czynności przetwarzania,
Strach przed konsekwencjami, brak wiedzy, brak szkoleń w firmach oraz brak dobrego zrozumienia przepisów, doprowadza do kuriozalnych sytuacji. Na początku czerwca, głośna była sprawa zamknięcia cmentarza na trzy dni z uwagi na błędne zrozumienie przepisów RODO. Na cmentarzu były nagrobki osób żyjących, które za życia już wykupiły miejsce - widniały tam ich imiona i nazwiska z datą urodzenia. Błędnie zinterpretowano, że jest to nielegalne, mimo umowy dobrowolnego umieszcza danych na nagrobkach.
Innymi kuriozalnymi sytuacjami było np. nieudzielenie rodzicom przez szpital informacji o stanie zdrowia dzieci, które ucierpiały w wypadku szkolnego autokaru, zwracanie się do uczniów numerami z dziennika, albo uznanie monitoringu szkolnego za nielegalny, mimo, że został zainstalowany dla ochrony uczniów.
We wszystkich tych przypadkach błędnie zinterpretowano przepisy rozporządzenia.
- Przed wejściem w życie RODO największe obawy budziła wysokość kar za nieprzestrzeganie przepisów rozporządzenia, a przypomnijmy, że RODO przewiduje kary do 20 mln euro lub 4 proc. rocznego światowego obrotu przedsiębiorstwa - mówi w rozmowie z MarketNews24 Joanna Stolarek, Lider Praktyki Zarządzania Zgodnością w Kancelarii Ożóg Tomczykowski. - Faktycznie kary mogą zaboleć, ale większe szkody firmie może wyrządzić utrata reputacji, czas poświęcony na obronę przed roszczeniami osób fizycznych, a w końcu wysokość samych odszkodowań cywilnych.
Wiele firm uważa, że posiadanie polityk i regulaminów jest wystarczające dla uznania, że działanie przedsiębiorstwa jest zgodne z RODO. Nic bardziej mylnego. Dla przykładu: jeżeli mamy dwie firmy, z których jedna od wielu lat posiada dobre praktyki w zakresie ochrony danych osobowych, prawidłowo wdrożyła zabezpieczenia techniczne i organizacyjne, zaś druga takich dobrych praktyk nie posiada, ale stworzyła polityki i regulaminy, które jednak nie są stosowane w praktyce, z całą pewnością bardziej bezpieczna może się czuć ta pierwsza.
Z całą pewnością w przyszłości będzie też pokutowało przekonanie, że wystarczy raz wdrożyć RODO i w zasadzie można zapomnieć o problemie.
- Trudno się z takim podejściem zgodzić. RODO jest bowiem "żywym organizmem" i stąd też regulacje w nim przewidziane muszą być na stałe wpisane w działalność przedsiębiorstwa - ocenia mec. Joanna Stolarek. - Polityki i regulaminy muszą być stale modyfikowane w związku z zachodzącymi zmianami w procesach biznesowych. Trzeba też śledzić wydawane decyzje administracyjne czy wyroki sądowe związane ochroną danych osobowych i weryfikować, czy nie wpływają one na prowadzoną przez przedsiębiorstwo działalność.
Z całą pewnością należy również dokonywać okresowych audytów zgodności z RODO oraz przeprowadzać szkolenia dla osób mających styczność z RODO. Lepiej niech proces jego wdrażania trwa dłużej, ale będzie przemyślany i dostosowany do danej organizacji, niż miałby polegać na przygotowaniu dokumentów "na wypadek kontroli", które nijak będą się miały do rzeczywistości i procesów zachodzących w organizacji, a przy tym ich treść będzie znana wyłącznie osobom, które je stworzyły.
Do RODO należy podejść w sposób racjonalny, osiągnięcie pełnej zgodności z RODO może okazać się trudne do uzyskania w praktyce przez większość firm ze względu na ograniczenia czasowe i finansowe. Dlatego, należy nauczyć się oceniać ryzyka i podejmować proaktywnie decyzje, co do najlepszych sposobów postępowania z danymi osobowymi.
Faktem jest natomiast, że ochrona prywatności powinna być wbudowana od początku w każdy projekt zakładający przetwarzanie danych i co najważniejsze - firmy będą zobowiązane udowodnić, iż to zrobiły.
