Wprowadzanie prawa zamieniło się w koszmar, czyli kłopoty z RODO
Najwięcej kontrowersji wywołało zbyt rygorystyczne podejście do nowego prawa. Wiele osób nadal błędnie rozumie znaczenie tego rozporządzenia. Powoduje to, że pojawiają się absurdalne decyzje.
Od 25 maja obowiązuje unijne Rozporządzenie o Ochronie Danych Osobowych, które w znaczący sposób wpływa na obowiązki w zakresie ochrony danych osobowych. Zakłada ono m.in.: dokonywanie przez administratorów oceny ryzyka dla poszczególnych procesów przetwarzania, konieczność zgłaszania naruszeń w ciągu 72 godzin od momentu ich wykrycia, konieczność wypełniania obowiązku informacyjnego w odniesieniu do osób, których dane przetwarza administrator, tworzenia w firmach dokumentów, jak np. rejestr czynności przetwarzania,
Strach przed konsekwencjami, brak wiedzy, brak szkoleń w firmach oraz brak dobrego zrozumienia przepisów, doprowadza do kuriozalnych sytuacji. Na początku czerwca, głośna była sprawa zamknięcia cmentarza na trzy dni z uwagi na błędne zrozumienie przepisów RODO. Na cmentarzu były nagrobki osób żyjących, które za życia już wykupiły miejsce - widniały tam ich imiona i nazwiska z datą urodzenia. Błędnie zinterpretowano, że jest to nielegalne, mimo umowy dobrowolnego umieszcza danych na nagrobkach.
Innymi kuriozalnymi sytuacjami było np. nieudzielenie rodzicom przez szpital informacji o stanie zdrowia dzieci, które ucierpiały w wypadku szkolnego autokaru, zwracanie się do uczniów numerami z dziennika, albo uznanie monitoringu szkolnego za nielegalny, mimo, że został zainstalowany dla ochrony uczniów.
We wszystkich tych przypadkach błędnie zinterpretowano przepisy rozporządzenia.
- Przed wejściem w życie RODO największe obawy budziła wysokość kar za nieprzestrzeganie przepisów rozporządzenia, a przypomnijmy, że RODO przewiduje kary do 20 mln euro lub 4 proc. rocznego światowego obrotu przedsiębiorstwa - mówi w rozmowie z MarketNews24 Joanna Stolarek, Lider Praktyki Zarządzania Zgodnością w Kancelarii Ożóg Tomczykowski. - Faktycznie kary mogą zaboleć, ale większe szkody firmie może wyrządzić utrata reputacji, czas poświęcony na obronę przed roszczeniami osób fizycznych, a w końcu wysokość samych odszkodowań cywilnych.
Wiele firm uważa, że posiadanie polityk i regulaminów jest wystarczające dla uznania, że działanie przedsiębiorstwa jest zgodne z RODO. Nic bardziej mylnego. Dla przykładu: jeżeli mamy dwie firmy, z których jedna od wielu lat posiada dobre praktyki w zakresie ochrony danych osobowych, prawidłowo wdrożyła zabezpieczenia techniczne i organizacyjne, zaś druga takich dobrych praktyk nie posiada, ale stworzyła polityki i regulaminy, które jednak nie są stosowane w praktyce, z całą pewnością bardziej bezpieczna może się czuć ta pierwsza.
Z całą pewnością w przyszłości będzie też pokutowało przekonanie, że wystarczy raz wdrożyć RODO i w zasadzie można zapomnieć o problemie.
- Trudno się z takim podejściem zgodzić. RODO jest bowiem "żywym organizmem" i stąd też regulacje w nim przewidziane muszą być na stałe wpisane w działalność przedsiębiorstwa - ocenia mec. Joanna Stolarek. - Polityki i regulaminy muszą być stale modyfikowane w związku z zachodzącymi zmianami w procesach biznesowych. Trzeba też śledzić wydawane decyzje administracyjne czy wyroki sądowe związane ochroną danych osobowych i weryfikować, czy nie wpływają one na prowadzoną przez przedsiębiorstwo działalność.
Z całą pewnością należy również dokonywać okresowych audytów zgodności z RODO oraz przeprowadzać szkolenia dla osób mających styczność z RODO. Lepiej niech proces jego wdrażania trwa dłużej, ale będzie przemyślany i dostosowany do danej organizacji, niż miałby polegać na przygotowaniu dokumentów "na wypadek kontroli", które nijak będą się miały do rzeczywistości i procesów zachodzących w organizacji, a przy tym ich treść będzie znana wyłącznie osobom, które je stworzyły.
Do RODO należy podejść w sposób racjonalny, osiągnięcie pełnej zgodności z RODO może okazać się trudne do uzyskania w praktyce przez większość firm ze względu na ograniczenia czasowe i finansowe. Dlatego, należy nauczyć się oceniać ryzyka i podejmować proaktywnie decyzje, co do najlepszych sposobów postępowania z danymi osobowymi.
Faktem jest natomiast, że ochrona prywatności powinna być wbudowana od początku w każdy projekt zakładający przetwarzanie danych i co najważniejsze - firmy będą zobowiązane udowodnić, iż to zrobiły.
