RODO w małym i dużym biznesie
Rewolucja RODO trwa już w najlepsze. Nie ulega wątpliwości, iż zmieniła ona rzeczywistość wielu polskich przedsiębiorców. Regulacje odnoszące się do ochrony danych osobowych nałożyło na nich szereg nowych obowiązków. Głównymi założeniami ustawodawcy unijnego miało być wprowadzenie na tyle efektywnych mechanizmów w obszarze przetwarzania danych osobowych, aby zapewniły one ich skuteczną ochronę. Czy rzeczywiście tak się stało? Wciąż docierają do mnie sygnały, że w wielu miejscach RODO zabija biznes, dlatego jego pełne wdrożenie w niektórych instytucjach w dalszym ciągu nie jest możliwe. Część z przedsiębiorców wciąż odkłada plany dostosowania swoich procedur „na później”. Czy rzeczywiście tak jest? Bazując na doświadczeniach własnych, jak i na doświadczeniach swoich kolegów i koleżanek z branży, postanowiłem zagłębić się w to zagadnienie oraz spróbować ustalić, jak polskie przedsiębiorstwa radzą sobie z RODO.
JAKIE ZMIANY DLA PRZEDSIĘBIORCY WPROWADZIŁO RODO?
Już na samym wstępie trzeba wyraźnie podkreślić, iż nie da się jednoznacznie udzielić odpowiedzi na tak zadane pytanie. Całkowicie odmienny stan kształtuje się bowiem w wielkich korporacjach, odmienny zaś w małych biznesach. Zacznijmy jednak od wskazania tych instrumentów prawnych, które polski przedsiębiorca musiał zapewnić, aby dostosować się do nowych wymogów w obszarze ochrony danych osobowych. Przede wszystkim znaczna część przedsiębiorców została zobowiązana do wyznaczenia w swoich strukturach Inspektora Ochrony Danych (IOD), który ma czuwać nad bezpieczeństwem chronionych danych osobowych. Dotyczy to przede wszystkim sektora publicznego, ale nie tylko. W sektorze prywatnym wyznaczenie inspektora jest wymagane, gdy główna działalność przedsiębiorcy polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. I tu trzeba wskazać, że banki, ubezpieczyciele czy też duże firmy windykacyjne rzeczywiście powołały w swoich szeregach Inspektora Ochrony Danych. Ponadto taki obowiązek występuje także w sytuacji, gdy główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, czyli przede wszystkim danych dotyczących naszego zdrowia, poglądów politycznych czy też danych biometrycznych. Jako przykład możemy podać tu znaczną część placówek medycznych, które wyznaczyły własnego IOD-ę.
REJESTRY POWINNY ZMIENIAĆ PODEJŚCIE PRZEDSIĘBIORCY DO RODO
RODO wprowadziło też obowiązki prowadzenia rejestrów oraz dokonywania oceny skutków przetwarzania danych osobowych przez przedsiębiorcę. W mojej ocenie to właśnie ten czynnik powoduje, iż przedsiębiorcy powinni zmienić wizję swojej strategii w tymże obszarze. I tak w niepamięć powinno odejść dotychczasowe podejście polegające na wdrożeniu kilku dokumentów, które na lata przetrzymuje się w szafach swoich biurek. W jego miejsce przedsiębiorcy powinni dostrzec, iż obszar ten „żyje”, jest dynamiczny i wymaga stałego reagowania na wszelkie zmiany legislacyjne, jak i ciągłego dostosowywania go do zmian wprowadzanych wewnątrz przedsiębiorstwa. Niestety, w tym zakresie wciąż widzę poważne braki. W dalszym ciągu (zwłaszcza w sektorze MŚP) panuje przekonanie, że RODO to kilka formularzy i tablica wywieszona w lokalu przedsiębiorcy. Wciąż zaniecha się zasady ciągłości procesów związanych z obrotem danymi wdrażając jedynie szereg dokumentów, bardzo często zresztą nieskorelowanych z całością procesów przetwarzania w przedsiębiorstwie. Z tego właśnie powodu uważam, że mamy jeszcze dużo do zrobienia. Rzetelne prowadzenie rejestrów jest niezbędne do tego, aby można było mówić o właściwie sprawowanym nadzorze nad danymi osobowymi.
O rejestrze czynności przetwarzania danych możesz przeczytać tutaj.
WIDMO KAR FINANSOWYCH JAKO NAJWIĘKSZA MOTYWACJA PRZEDSIĘBIORCY
To, co rzeczywiście zaczęliśmy zauważać w ciągu ostatnich lat, to ogromne zainteresowanie tematyką ochrony danych osobowych w kontekście ogromnych kar finansowych, które grożą przedsiębiorcy za nieprzestrzeganie RODO. Duże korporacje szybko zdały sobie z tego sprawę i zajęły się przeprowadzaniem audytów oraz wdrażaniem odpowiednich zmian jeszcze przed 25 maja 2018 roku. Inaczej sytuacja wygląda w mniejszych podmiotach. Znaczna część mikroprzedsiębiorców odłożyła plany wdrożenia RODO „na później” i wygląda na to, że po ponad dwóch latach obowiązku stosowania RODO wielu z nich wciąż nie jest w stanie podjąć się tego wyzwania. Z nadzieją wskazuję jednak na to, że od czasu do czasu udaje mi się wpłynąć na mikroprzedsiębiorcę i przekonać go do tego, aby powziął on przynajmniej najważniejsze kroki zmierzające do zabezpieczenia danych osobowych swoich klientów. To pokazuje zatem, że wciąż mamy szansę na to, aby sprostać celom stawianym przez unijnego ustawodawcę. Kluczowa jest tu jednak świadomość przedsiębiorcy zarówno w kontekście globalnych zagrożeń dla społeczeństwa, które płyną z braku zabezpieczeń w analizowanym obszarze, jak i przede wszystkim konsekwencji, które bezpośrednio dotkną przedsiębiorcę w przypadku ziszczenia się tychże zdarzeń.
Więcej o karach RODO możesz przeczytać tutaj.
RODO W ŚWIECIE WIELKICH KORPORACJI
Nie ulega wątpliwości, iż świadomość prawna w przedsiębiorstwach zatrudniających powyżej 250 osób jest znacznie wyższa niż w pozostałych grupach. Tak też należy jednoznacznie przyznać, iż stan wdrożenia mechanizmów zapewniających bezpieczny obrót danymi osobowymi w tej właśnie grupie podmiotów musi być bardziej zaawansowany. Z drugiej strony trzeba jednak zwrócić uwagę, iż przedsiębiorstwa te dysponują zdecydowanie szerszymi bazami danych osobowych oraz wykonują na nich bardziej skomplikowane procesy operacyjne, dlatego ich mechanizmy powinny być relatywnie lepiej zabezpieczone i w możliwie wysokim stopniu odporne na ewentualne próby kradzieży danych. To, co w mojej ocenie głównie hamuje tempo zmian w obszarze ochrony danych osobowych to nie czynnik finansowy, z którym niewątpliwie wiąże się wdrażanie zmian w każdej instytucji, lecz trudność w dostosowaniu procesów do realiów biznesowych. I tak obserwuję ogromne batalie pomiędzy jednostkami zarządzania ryzykiem, w tym Inspektorem Ochrony Danych a działami operacyjnymi, a w szczególności tymi, które są odpowiedzialne za wskaźniki sprzedaży produktów lub usług. Właściwy dialog pomiędzy IOD a jednostkami operacyjnymi jest kluczem do mądrego zarządzania procesami w zakresie ochrony danych osobowych. Coraz więcej instytucji stosuje bowiem fikcje polegające na redagowaniu w swoich politykach takich postanowień, które nie są stosowane przez osoby działające w jej strukturach. To pokazuje, jak ważny w dzisiejszych czasach staje się dobór odpowiedniej osoby na stanowisku Inspektora Ochrony Danych. Jeśli nie zadbamy o odpowiedni wybór tejże osoby, nie możemy liczyć na to, że ktokolwiek będzie w stanie nadzorować tak ważny i tak obszerny dział biznesu, jakim jest bezpieczny obrót danymi osobowymi w danej instytucji.
RODO WYZWANIEM DLA MIKROBIZNESÓW?
Nieco inną kategorię wyzwań możemy spotkać w sektorze małych i średnich przedsiębiorstw. Na potrzeby niniejszego artykułu posłużę się przykładami z najbardziej skrajnej grupy, a zatem podmiotów z segmentu mikroprzedsiębiorstw. Trzeba mieć na uwadze, że wśród najmniejszych podmiotów możemy spodziewać się największej ilości przypadków całkowicie niezabezpieczonych procesów przetwarzania danych osobowych. Przyczyn tego stanu należy upatrywać się zarówno w braku możliwości finansowych, jak i poważnych niedoborach kadrowych tychże przedsiębiorców. Większość z nich często nie ma nawet świadomości, że problem ich dotyczy. Zauważyłem także, iż duża część z nich obarczyła obowiązkiem wdrożenia RODO księgowych, z których usług korzystają na co dzień. Taki stan jest całkowicie nieakceptowalny. Podejmowanie się przez księgowych wyzwania, jakim jest przeprowadzenie audytu w tak skomplikowanym obszarze musi zakończyć się fiaskiem. Wielokrotnie miałem do czynienia z przedsiębiorcami, którzy otrzymywali od swoich księgowych szereg dokumentów, których nie potrafili użyć w realiach swoich biznesów. Nie trzeba oczywiście wspominać, iż nie spełniały one podstawowych wymogów stawianych przez ustawodawcę unijnego, a ich ogólna wartość merytoryczna była na bardzo kiepskim poziomie. I z tym problemem boryka się największa ilość mikroprzedsiębiorstw, która zdecydowała się wdrożyć RODO w swoich biznesach. Trzeba mieć na względzie, że usługi z zakresu ochrony danych osobowych są dla nich wciąż za drogie. Myślę, że to właśnie jest największe wyzwanie dla Urzędu Ochrony Danych Osobowych (UODO) - wesprzeć sektor najmniejszych podmiotów we wdrożeniu RODO. Nie ulega wątpliwości, iż dotychczasowe działania organu nadzorczego, jakim jest Prezes UODO są absolutnie niewystarczające i jak się okazuje, są one całkowicie nieefektywne.
CO CZEKA NAS W PRZYSZŁOŚCI?
Wiele mówimy o wzmożeniu działań kontrolnych po stronie Prezesa UODO. Jakiś czas temu słyszeliśmy o zmianach strukturalnych w samym Urzędzie. Czy wraz ze zwiększoną ilością postępowań zwiększy się świadomość przedsiębiorców? Czas pokaże.
Zakładam, że jesteś tu po to, bo szukasz informacji na konkretny temat. Jeśli powyższy post nie rozwiązał Twojego problemu, zachęcam Cię do konsultacji online.
