RODO: Praca zdalna nie zwalnia z obowiązku ochrony danych
Jeśli przedsiębiorca nie poinformuje osoby, której dane osobowe zostały naruszone, to naraża się na ryzyko nałożenia kary przez PUODO, szkody wizerunkowe jak utrata zaufania klientów czy ryzyko podnoszenia przez nich roszczeń.
- Osoby poszkodowane mogą domagać się rekompensaty za powstałą szkodę - mówiła mecenas Renata Bugiel podczas webinarium "RODO 2020 - doświadczenia, które ułatwiają działalność" z cyklu "Dzień dobry Biznes", którego organizatorem jest PKO Bank Polski, a parterem portal Interia.
Każda firma, która pracuje z danymi: zapisuje, zbiera, utrwala, modyfikuje, ma obowiązek stosować przepisy rozporządzenia o ochronie danych osobowych (RODO). - Niezależnie od tego czy przedsiębiorca zatrudnia jedną osobę czy sto, musi stosować RODO. Instytucje publiczne, uczelnie, fundacje, stowarzyszenia, które przetwarzają dane osobowe muszą stosować RODO - wyjaśnia Renata Bugiel z Kancelarii GKR Legal. Już samo przechowywanie danych wymaga spojrzenia na nie pod kątem ich bezpieczeństwa.
Procesy i polityki bezpieczeństwa w firmie należy dopasować w stopniu adekwatnym do skali działalności i zakresu przetwarzania danych osobowych. Inne działania podejmie przedsiębiorca, który ma tysiące rekordów z danymi klientów; inne mała firma, która zatrudnia dwie osoby i opiera się głównie na relacjach b2b. - Pamiętajmy, że osoby fizyczne, które prowadzą działalność gospodarczą indywidualną są osobami fizycznymi i je też traktujemy jak podmioty danych określone w RODO, czyli musimy spełniać obowiązki o ochronie danych osobowych względem tych osób - dodała Bugiel.
Pomimo pojawiających się cyklicznie głosów, by wyłączyć MŚP z przepisów RODO, szanse na to są raczej małe. - Jeśli miałoby to dotyczyć tylko obowiązku informacyjnego, jego uproszczenia dla tych grup przedsiębiorców, to oczywiście można by dyskutować. Dzisiaj mikrofirmy mogą korzystać z takich ułatwień - przypomniała Bugiel.
Na dalsze ustępstwa raczej nie będzie zgody. Po pierwsze, nie pozwala na to rozporządzenie unijne. Po drugie, małe firmy potrafią od samego początku rozwijać się nie tylko lokalnie, ale wchodzić na zagraniczne rynki. Start-upy, chociażby, zatrudniać mogą niewiele osób, ale korzystając z nowych technologii od razu starają się działać globalnie i obsługiwać klientów z całego świata. W podobnej sytuacji zwalnianie ich z przepisów RODO wydawałoby się nieuzasadnione. Tym bardziej, że każdy podmioty rozwiązania w obszarze ochrony danych osobowych dostosowuje pod siebie.
- RODO nie zawiera precyzyjnej listy wymogów technicznych, które musimy spełnić, aby zapewnić bezpieczeństwo, poufność, integralność danych osobowych. To przedsiębiorcy przetwarzają dane osobowe i muszą odpowiedzieć sobie na pytanie czy te wszystkie starania, które podejmują są wystarczające, aby dane w sposób należyty zabezpieczyć - wyjaśniała Bugiel. Podkreśliła też, że mniejsze firmy z kilkoma pracownikami nie będą potrzebować skomplikowanych procedur i polityk bezpieczeństwa. Ale jeżeli skala działalności jest większa, warto zastanowić się nad narzędziami, które ułatwiają zarządzanie politykami jak i samymi danymi. Kiedy to się przyda? Przykładowo, gdy do firmy trafia prośba od osoby fizycznej, żeby usunąć jego dane. - Wówczas rozsyłamy zapytania do działów sprzedaży, marketingu, dystrybucji, sprawdzamy czy firma ma takie dane osobowe, z jakiego tytułu i czy rzeczywiście trzeba je usunąć. Te narzędzia nam w tym pomogą - dodała Bugiel.
Polityka bezpieczeństwa - to jeden z najważniejszych dokumentów, które firmy muszą przygotować, jeśli pracują z danymi. Oczywiście o tyle, o ile uznają, że jest to im niezbędne.
- RODO nie określa listy dokumentacji, którą firmy muszą stworzyć. Nie musimy wprowadzać polityki bezpieczeństwa, jeżeli uznajemy, że nie jest to potrzebne. Niewątpliwie warto ją wprowadzić, żeby określić jakie są zadania dla poszczególnych działów, jak komunikacja będzie przebiegać, jak te dane będą zabezpieczone - tłumaczyła Bugiel.
Warto również prowadzić rejestry naruszeń. I zarządzać odpowiednio wnioskami dotyczącymi danych, które wpływają do firmy. Przedsiębiorca w terminie do 30 dni powinien na nie odpowiedzieć.
- Są obowiązki określone wprost w RODO, jak rejestr czynności przetwarzania danych osobowych. Muszą go prowadzić przedsiębiorcy, którzy zatrudniają powyżej 250 osób, ale rekomenduję, żeby przedsiębiorca zatrudniający nawet jedna osobę przygotował taki rejestr. To nie jest skomplikowana czynność. Po prostu opisujemy te procesy, w których te dane osobowe przetwarzamy, jak sprzedaż towarów, rozliczenia umów o prace - mówiła Bugiel.
Co powinno się znaleźć w polityce bezpieczeństwa? RODO nie zawiera konkretnych wytycznych, jak taki dokument powinien wyglądać, dając tutaj administratorom dużo swobody, a jedynie pewne wytyczne, co w takich politykach powinno się znaleźć. Najważniejsze informacje, które warto zawrzeć, to: jakie i czyje dane przetwarzamy, podstawy prawne przetwarzanych przez nas danych, wykaz osób odpowiedzialnych za poszczególne procesy, wykaz środków bezpieczeństwa, które stosujemy (technicznych i organizacyjnych), informacje dotyczące przeprowadzania audytów, rejestrów, szkoleń dla personelu, oceny skutków dla ochrony danych, analizy ryzyka; czy też jak będzie wyglądał proces zgłaszania naruszenia danych i zarządzania tym naruszeniem.
RODO definiuje wprost odpowiedzialności pracowniczej za naruszenia w obszarze danych osobowych. To jest kwestia uregulowana w przepisach krajowych. - Według Raportu Związku Firm Ochrony Danych Osobowych aż 68 proc. przypadków incydentów było spowodowane czynnikiem ludzkim. Istotne znaczenie ma budowanie świadomości pracowników. Niezależnie od tego jak rozbudowane będą procedury, gdy nikt nie będzie ich znać - nie odniesiemy pokładanego skutku. Pamiętajmy, żeby zapoznać z zasadami nowe osoby w firmie, bo dzięki temu budujemy świadomość - mówiła Bugiel.
A gdy już dojdzie do złamania przepisów RODO, przedsiębiorca powinien dokonać oceny czy musi zgłosić naruszenie do prezesa UODO i czy nie jest zobowiązany do powiadomienia o tym osób poszkodowanych. - Trzeba dokonać oceny ryzyka czy prawa osób zostaną naruszone. Jesteśmy zobligowani dokonać zgłoszenia w bardzo krótkim terminie 72 godzin (od wystąpienia zdarzenia - red.). Z doświadczenia mogę powiedzieć, że najczęściej do wykrycia naruszeń, dochodzi w piątek, ok. godz. 17.00. Od tego momentu czas ucieka - zauważyła Bugiel.
Jeśli przedsiębiorca stwierdzi, że powinien incydent zgłosić do PUODO, to sprowadza się to w głównej mierze do prawidłowego wypełnienia formularza naruszenia, który jest publicznie dostępny na stronie UODO. Uzupełniony formularz można złożyć on-line (za pośrednictwem ePUAP) lub też przesłać drogą tradycyjną w formie papierowej, na adres urzędu. W treści wniosku powinno się dokładnie opisać na czym polegało naruszenie, w jaki sposób zostało wykryte, jakie podjęto środki zaradcze oraz czy poinformowano osoby, których dane dotyczą o naruszeniu. Złożenie wniosku nie jest związane z koniecznością uiszczania dodatkowych opłat (wyjątkiem jest sytuacja, gdy działamy przez pełnomocnika).
- Niezwykle istotne jest ustalenie wszystkich szczegółów, w tym technicznych, by w pełny i rzetelny sposób opisać urzędowi, co się wydarzyło i przede wszystkim ustalić jaki rodzaj danych został utracony - przypomniała Bugiel.
Tę ocenę ryzyka za każdym razem podejmuje przedsiębiorca. Jeżeli pracownik pomyłkowo zaadresuje koperty z dokumentacją pacjenta, z danymi osobowymi jak PESEL, ale też wrażliwymi jak stan zdrowia, i zostanie ona wysłana do osoby trzeciej, to ryzyko naruszenia praw osobowych diametralnie rośnie. - Mając takie dane ktoś może próbować ukraść nam tożsamość, czy spróbować zaciągnąć kredyt. Trzeba poinformować tę osobę poszkodowaną, żeby wiedziała jakie działania ma podjąć, by uniknąć ewentualnej szkody - mówiła Bugiel. Jeśli przedsiębiorca nie poinformuje takiej osoby, to naraża się na ryzyko nałożenia kary przez PUODO, szkody wizerunkowe jak utrata zaufania klientów czy ryzyko podnoszenia przez nich roszczeń. - Osoby poszkodowane mogą domagać się rekompensaty za powstałą szkodę - dodała.
Forma poinformowania osób poszkodowanych jest dowolna. Ważne, żeby mogły się one zapoznać z takim komunikatem. - Przy dwóch osobach będzie inaczej wyglądać ten proces niż w przypadku dziesiątek tysięcy. Ale forma e-maila jak najbardziej się do tego nadaje - podkreśliła Bugiel.
W 2019 r. do organu nadzorczego (Prezes Urząd Ochrony Danych Osobowych) wpłynęły 9304 skargi opisujące naruszenia związane z przepisami RODO. W toku przeprowadzonych postępowań PUODO zdecydował o nałożeniu kary administracyjnej na osiem podmiotów z sektora prywatnego i cztery z sektora publicznego. Najwyższa z nich wyniosła prawie 3 mln zł.
- Zdarzenia, które najczęściej są zgłaszane do PUODO to kradzież laptopa, błędne zaadresowanie koperty, w której była np. polisa ubezpieczeniowa, dokumenty, które zawierają dane wrażliwe lub finansowe; zagubienie niezaszyfrowanego pendrive’a, zgubienie dokumentów w formie papierowej, czytanie dokumentacji służbowej w tramwaju lub autobusie, która zawiera dane osobowe. Te sytuacje bardzo często się zdarzają i wzbudzają zainteresowanie. Nawet postronna osoba może dokonać zgłoszenia - mówiła Bugiel.
Jak dbać o bezpieczeństwo danych? Trzeba pamiętać o minimum staranności: używać aktualnych systemów antywirusowych, nie korzystać z otwartych sieci wi-fi. - Warto używać sieci VPN. To pracodawca powinien o tym pomyśleć i zapewnić swojemu zespołowi. Ograniczmy do minimum wynoszenie danych poza biuro. Jeżeli korzystamy z dokumentacji papierowej - zabierajmy raczej kserokopie, a po wykorzystaniu zwracajmy do biura czy też w sposób trwały niszczmy. Jeśli korzystamy z dysków przenośnych - zaszyfrujmy je. W przypadku kradzieży lub zgubienia, poziom bezpieczeństwa będzie zapewniony a ryzyko, że osoba nieuprawniona będzie miała dostęp do danych, mniejsze - tłumaczyła Bugiel.
W dobie pandemii - mówiła ekspertka - praca zdalna nabrała innego znaczenia. Dotychczas stosowana sporadycznie, dzisiaj jest rozwiązaniem często spotykanym. - Specustawa uprawniła pracodawcę do wydawania pracownikom wiążących poleceń, że mają oni wykonywać pracę w sposób zdalny, by minimalizować ryzyko zakażenia - przypomniała Bugiel.
Czy to oznacza, że dotychczasowe procedury RODO muszą się zmienić? Nie w każdym przypadku. Te, które już były w firmie, pozostają aktualne, ale nie zaszkodzi rozszerzyć je o krótki regulamin pracy zdalnej, aby przypomnieć o najważniejszych zasadach z punktu widzenia bezpieczeństwa danych. Warto pamiętać o kilku szczegółach. Po pierwsze to na pracodawcy ciąży obowiązek zapewnienia parcownikom niezbędnego sprzętu. Po drugie, nie powinno się korzystać z poczty prywatnej do przesyłania służbowych dokumentów. - Pracodawca może również wymagać, by ewidencja czasu pracy była prowadzona - dodała Bugiel.
Pracownik może używać prywatnego laptopa, ale musimy zadbać o bezpieczeństwo. - Dobrze byłoby zwrócić się do pracodawcy z prośbą o ocenę czy ma on odpowiednie oprogramowanie, czy będzie wszystko działało w sposób należyty - wyjaśniła Bugiel.
Opr. bed