Kwartał RODO – kto z tarczą, a kto na tarczy? O tym, czego nauczyły nas pierwsze miesiące od wprowadzenia Rozporządzenia

Minęły cztery miesiące, odkąd RODO na dobre zagościło w życiu przedsiębiorców, podmiotów publicznych i wszystkich obywateli, bo przecież tak naprawdę w mniejszym lub większym stopniu Rozporządzenie namieszało w życiu każdego z nas.

Oczywiście, jak to w Polsce często bywa, najlepiej przygotowani na RODO okazali się sami obywatele. Skąd taki wniosek? Stąd, że przysłowiowy Kowalski poczuł pismo nosem i niczym żandarm postanowił spełnić swój obywatelski obowiązek, jednocześnie dając upust nerwom związanym z otrzymywaniem niechcianych e-maili. Jego mrówcza praca się opłaciła, ponieważ w pierwszych trzech miesiącach obowiązywania RODO do Urzędu Ochrony Danych Osobowych wpłynęło prawie 2,4 tys. skarg, a większość z nich związana była właśnie z niechcianą korespondencją.

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych, niczym straszak weszło w życie i rozłożyło na łopatki dotychczasowy porządek, paraliżując niejeden podmiot gospodarczy. Doprowadziło do tego, że w szkołach zamiast nazwisk pojawiły się numerki, a w przychodni lekarskiej z humorem wywoływano pacjentów z listy bynajmniej nie po nazwiskach, a po imionach postaci bajkowych. Czy przez moment można było poczuć się jak w bajce? Niekoniecznie, raczej w groteskowej rzeczywistości braku zrozumienia.

Czytając ten tekst pewnie niejeden z Was uśmiechnął się pod nosem, myśląc „paranoja jakaś z tym RODO”. Nic bardziej mylnego, tzn. paranoja owszem, ale wszystkie te śmieszne zachowania wynikają nie z humoru administratorów, ale z całkowitego braku zrozumienia idei RODO i strachu przed konsekwencjami nadużycia prawa. Strach przed przepisami nie może nas jednak paraliżować do tego stopnia, że zaczniemy wprowadzać do swojego biznesu kuriozalne rozwiązania. Przecież Rozporządzenie o Ochronie Danych Osobowych to w gruncie rzeczy zbiór przepisów całkiem dobrych i przydatnych, pod warunkiem ich dobrej interpretacji, który nie zabrania przetwarzania danych osobowych w ogóle. Stanowi natomiast, że podmiot zarządzający danymi osobowymi może nimi dysponować w stopniu niezbędnym do finalizacji lub realizacji danego przedsięwzięcia. Cały czas powtarzam, że wszystko zależy od kontekstu, celu i zakresu… Przede wszystkim kontekst i jeszcze raz kontekst. Niestety większość Podmiotów przetwarzających dane osobowe nadal woli dmuchać na zimne.

Trzeba przyznać, że nowe przepisy owszem, nie są łatwe w implementacji i mogą przysporzyć wiele trudności w ich interpretacji, szczególnie kiedy zaradny przedsiębiorca próbuje wprowadzić je na własną rękę. Czasami może to przypominać walkę z wiatrakami. Wydaje nam się, że zrobiliśmy dużo, a tak naprawdę nie zrobiliśmy nic. Dlaczego? Bo niewłaściwie podeszliśmy do tematu, zbyt restrykcyjnie lub właśnie za mało restrykcyjnie. RODO nie wskazuje bowiem na konkretne środki techniczne i organizacyjne, jakie należy zastosować w celu zapewnienia właściwej ochrony przetwarzanym danym. Dotyczy to zarówno danych przetwarzanych w sposób tradycyjny, jak i danych przetwarzanych przy użyciu systemów informatycznych. Rozporządzenie stanowi jedynie, że środki, jakie administrator musi zastosować, powinny być odpowiednie do zakresu, kontekstu i celu, a także ryzyka naruszenia praw i wolności osób, których dane są przetwarzane. Zatem tym razem to nie Ustawodawca zrobił za nas analizę ryzyka, a wymaga takiej analizy od każdego administratora danych. To akurat bardzo słuszna zmiana, której nie należy się bać, a jedynie dobrze ją zrozumieć i odpowiednio podejść do tematu. I w tym miejscu powinien przystanąć każdy, kto takiej analizy jeszcze nie zrobił, gdyż jej brak może pociągnąć za sobą spore konsekwencje. Oczywiście analiza analizie nie równa, ale o tym później.

Konsekwencje braku odpowiedniej analizy ryzyka odczuł bardzo dotkliwie francuski sklep Optical Center obarczony karą wysokości 250.000 €. Zajmująca się sprzedażą okularów firma nie wprowadziła wystarczających zabezpieczeń lub wprowadziła nieadekwatne do narzędzia, jakim jest strona internetowa. Efekt – dane klientów takie jak imię i nazwisko, miejsce zamieszkania, dane dot. zdrowia, numer ubezpieczenia zdrowotnego były dostępne dla każdego, kto wpisał odpowiedni adres URL w pasku przeglądarki. Kolejny przykład braku odpowiednich zabezpieczeń wynikający z nieodpowiedniej analizy ryzyka okazał się bolesny dla Dixons Carphone z Wielkiej Brytanii, właściciela sieci sklepów z elektroniką, z którego wyciekły dane prawie 6 milionów kart kredytowych.

W Polsce jeszcze czekamy na pierwsze nałożone kary jako konsekwencja kontroli UODO, ale są one tylko kwestią czasu. Wykorzystajmy ten okres na jak najlepsze przygotowanie swojego biznesu, by tych kar uniknąć. RODO dotyczy każdego z nas. Jeśli prowadzisz szkołę tańca, udzielasz pacjentom prywatnych porad lekarskich, strzyżesz klientów w swoim zakładzie fryzjerskim albo reklamujesz własne produkty przez Internet, oznacza to, że gromadzisz nazwiska, adresy, maile, telefony. Nawet jeżeli zapisujesz dane w notesie, to nadal je przetwarzasz, a więc musisz zastosować się do nowych przepisów.

Gdy już zaczniemy robić analizę danych osobowych, które przetwarzamy, szybko może się okazać, że wiele z nich zbieramy na wyrost i będzie trzeba je usunąć z systemów lub formularzy papierowych. Dla wielu operacji może brakować nam odpowiednich podstaw do ich zbierania, np. zgód. Nawet gdy zbieraliśmy zgody, mogły one nie spełniać przesłanki „privacy by design” – np. zgoda była zaznaczona domyślnie, a nie jako opcja. Bardzo często okazuje się, że w systemach posiadamy dane, których nie wykazujemy w swoich procesach, możliwe, że o nich zapominamy, albo nawet nie jesteśmy świadomi ich zbierania. Praca, jaką musimy włożyć w przygotowanie biznesu do RODO, tak by żaden klient nie ucierpiał z powodu wycieku jego danych osobowych, jest obszerna i ciężko samemu uporać się z wieloma jej aspektami. Procedura realizująca prawo obywatela do bycia zapomnianym, analiza ryzyka, polityka bezpieczeństwa, rejestry czynności i kategorii, zmiany architektury systemu, zmiany funkcjonalności, zapewnienia prawa do wydania i przenoszenia danych, wprowadzenie automatycznej retencji danych czy polityka backupu i archiwizacji to tylko niektóre obszary, które stanowią prawdziwe wyzwanie dla przedsiębiorcy.

Dlatego bardzo dobrym rozwiązaniem jest wspólna praca z podmiotem, który się na tym zna, który sam włożył tytaniczny wysiłek w dostosowanie swoich procesów do RODO. Z podmiotem, który oprócz zaplecza w postaci wiedzy o nowych przepisach prawnych ma również zaplecze wiedzy w zakresie rozwiązań IT. Z podmiotem, który korzysta z dobrych praktyk ISO 27001 i ISO 22301 oraz posiada doświadczenie w tematyce bezpieczeństwa danych osobowych. Warto wspomnieć, że Rozporządzenie nieprzypadkowo bardzo mocno wskazuje na normę ISO 27001 jako zbiór dobrych praktyk do zaimplementowania skutecznych rozwiązań w obszarze bezpieczeństwa danych osobowych. Z podmiotem, który powie Ci jak wykonać dobry i skuteczny backup, jak zaszyfrować dane oraz co zrobić, by dane osobowe przetwarzane przez Twój biznes znalazły się w bezpiecznym miejscu i jak takie miejsce znaleźć. I to nie prawda, że tylko duże przedsiębiorstwa mogą się dobrze przygotować do RODO, również mikro i mały przedsiębiorca ma ogromną szansę, aby prowadzić swój biznes zgodnie z Rozporządzeniem i nie jest do tego potrzebne wcale rozbudowane zaplecze IT,  ale o tym w następnym artykule.

Do zobaczenia przy okazji kolejnego artykułu z cyklu, „Nie takie RODO straszne”, a tymczasem rzucam koło ratunkowe dla wszystkich, którzy z chcą głową podejść do RODO i zachęcam do kontaktu – www.exea.pl/rodo.

Prowadzisz firmę? Dostaniesz
50 PLN na testy chmury.

Bez zobowiązań. Ot tak.

Załóż konto

Exea Cloud
Exea Cloud
Exea Backup
Exea Poczta
Status i informacje
Pomoc techniczna
×