Od siedmiu miesięcy mamy nową rzeczywistość w obszarze ochrony danych osobowych. Wydaje się, że bum przedsiębiorców na wdrażanie nowych rozwiązań organizacyjnych minął, ponieważ o RODO nie słyszy się już tak intensywnie jak to było na wiosnę, gdy zbliżał się deadline. Problem w tym, że cała sztuka nie polega na wprowadzeniu zasad, ale na ich stosowaniu.
Autorzy: Artur Zawolski, partner i radca prawny w MKZ Partnerzy, Aleksander Półtorak, specjalista ds. RODO w MKZ Partnerzy
Zgodność przedsiębiorstwa z przepisami o ochronie danych osobowych należy oceniać poprzez stopień dojrzałości tej organizacji, a nie zero-jedynkowo. Z przeprowadzonych audytów nie zawsze wynika, że dostosowanie organizacji do przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE przebiegło prawidłowo. Nie wszystkie firmy oferujące usługę wdrożenia tych przepisów potrafiły zagwarantować klientowi rzetelne przystosowanie infrastruktury informatycznej i ochrony danych do obowiązujących przepisów.
Ponadto samo wprowadzenie zasad nie wystarczy, sztuka polega na ich stosowaniu w bieżącej działalności firmy. Należy pamiętać, że RODO to element pakietu UE mającego zapewnić bezpieczeństwo prywatności osób fizycznych. Głównym założeniem nie jest jak dotąd posiadanie dokumentów wykazujących odpowiednie polityki w przedsiębiorstwie, tylko możliwość wykazania, że administrator danych panuje faktycznie nad cyklem życia danych, które zebrał od osoby fizycznej.
W tym celu polityki i procedury muszą być dostosowane pod konkretnego przedsiębiorcę, tak żeby mogły efektywnie wspierać codzienne funkcjonowanie firmy. Procedury powinny być zatem proste, przejrzyste i konkretne, stworzone w oparciu o istniejące w organizacji standardy. Nie da się wprowadzić jednego szablonu pasującego do wszystkich firm. Należy wprowadzić system dostosowany do konkretnego przedsiębiorstwa, po gruntownej analizie jego struktury, typu przechowywanych danych, działalności jaką prowadzi i umów zawieranych z odbiorcami usług.
Ponadto, RODO wymaga prowadzenie rejestru czynności przetwarzania. Ten dość enigmatyczny obowiązek jest obligatoryjny dla przedsiębiorstw zatrudniających powyżej 250 osób lub przetwarzających na duża skalę specjalne kategorie danych. Rekomendujemy jednak prowadzenie takiego rejestru w każdym przypadku. Zapewnia to bowiem transparentność procesów, które mają miejsce w firmie i daje większą kontrolę nad wykorzystywanymi danymi.
Praca nad dojrzałością organizacji w zakresie bezpieczeństwa przetwarzanych danych osobowych to długotrwały proces, który warto konsultować z ekspertami w tej dziedzinie, by nie popełniać błędów, które mogą kosztować utratą zaufania klientów lub nałożeniem administracyjnej kary finansowej.
Przypomnijmy – za naruszenie zasad dotyczących przetwarzania danych osobowych przewidziana jest kara 20 milionów euro lub do 4 proc. wartości całkowitego rocznego światowego obrotu przedsiębiorstwa, tyle samo trzeba zapłacić gdy naruszy się warunki wyrażenia zgody na przetwarzanie danych, mniej – ale również krocie – za niedochowanie zasad bezpieczeństwa przetwarzania danych – 10 milionów euro lub do 2 proc. wartości całkowitego rocznego światowego obrotu przedsiębiorstwa. To tylko część z przewinień wymienionych w artykule 83 rozporządzenia Parlamentu Europejskiego i Rady o ochronie danych. Dlatego z tym przepisem i z całym rozporządzeniem warto być na bieżąco.