A czy Ty jesteś gotowy na RODO? – wywiad z Wojciechem Wawrzakiem
Cały Internet już huczy – nadciąga RODO. Niektórzy przedsiębiorcy poczynili pierwsze kroki i są w trakcie przygotowań do unijnego rozporządzenia. Inni jeszcze przyglądają się badawczo, czy ten temat na pewno dotyczy ich. Czy warto zgłębić tę wiedzę? Zobaczcie.
O czym przeczytasz w tym artykule?
Słowem wstępu…moim gościem dzisiaj jest:
Wojciech Wawrzak – prawnik kreatywnych, autor bloga praKreacja.pl. Pomaga przedsiębiorcom, twórcom, freelancerom, sklepom internetowym, start-upom i innym przedstawicielom branży kreatywnej i e-commerce.
Co to jest właściwie RODO i skąd ten szum wokół tej zmiany?
RODO to unijne rozporządzenie o ochronie danych osobowych, które rozpocznie być stosowane od 25 maja 2018 r. Skąd ten szum? Stąd, że RODO wprowadza jednolite zasady ochrony danych osobowych funkcjonujące w obrębie całej Unii Europejskiej. Co więcej, RODO dotyczy również firm, które wprawdzie mają siedzibę poza Unią, ale przetwarzają dane osobowe obywateli Unii w związku ze świadczeniem im usług lub sprzedażą im produktów. Szum bierze się również stąd, że RODO wprowadza zmiany w stosunku do dotychczas funkcjonujących w poszczególnych państwach przepisach, co sprawia, że wszyscy przedsiębiorcy (bo każdy przedsiębiorca przetwarza jakieś dane osobowe) muszą dostosować swoje rozwiązania do wymogów RODO.
Jakie mogą być skutki dla firmy, która nie podejmie żadnych przygotowań przed wejście nowelizacji?
Na pewno należy zwrócić uwagę na kary, które będą mogły być nakładane od razu, a nie jak to do tej pory było, dopiero po niezastosowaniu się przez przedsiębiorcę do zaleceń pokontrolnych. RODO wprowadza bardzo wysokie kary, bo nawet do 20 mln euro lub 4% obrotu z poprzedniego roku. Nie można się jednak skupiać wyłącznie na tych karach, bo raz, że to nie jest tak, że kary będą zawsze nakładane największe, a dwa, że warto mieć inne motywacje niż tylko strach.
Jaka może być inna motywacja? RODO kładzie nacisk na transparentność procesów przetwarzania danych osobowych. Chodzi o to, by osoby, których dane są przetwarzane, miały pełną wiedzę na temat tego, co dzieje się z ich danymi osobowymi. W związku z szumem medialnym wokół RODO rośnie również świadomość społeczeństwa na temat ochrony danych osobowych, więc należyte wypełnianie obowiązków przez administratorów, będzie również elementem budowania przewagi konkurencyjnej. Jestem przekonany, że gdy ci przedsiębiorcy, którzy będą należycie wypełniać choćby swoje obowiązki informacyjne będą wizerunkowo lepiej postrzegani przez swoich klientów.
Jakie są najważniejsze zmiany wynikające z nowych przepisów?
Oj, na to pytanie naprawdę trudno odpowiedzieć w ramach krótkiej rozmowy. Jeden z komentarzy do RODO ma 1200 stron, co pokazuje, jak wiele można na ten temat powiedzieć. Ograniczę się zatem do wskazania kilku kluczowych kwestii.
Po pierwsze, znika obowiązek zgłaszania zbiorów do GIODO. Odchodzimy zatem od fiksacji na punkcie zgłoszenia, które do tej pory często było postrzegane jako jedyny obowiązek, a tak naprawdę stanowi jedynie zwieńczenie całego procesu wdrożenia ochrony danych osobowych.
Po drugie, znika bezwzględny obowiązek posiadania polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi. Dokumenty takie mogą być przydatne, ale nie są już bezwzględnie wymagane.
Te dwie powyższe zmiany wynikają z tego, że RODO odchodzi od formalizmu ochrony danych osobowych na rzecz rzeczywistych działań w celu należytego zabezpieczania danych. Czyli skupiamy się na wdrożeniu rzeczywistych rozwiązań, a nie na tworzeniu papierowej dokumentacji, która niewiele ma wspólnego z rzeczywistością.
Po trzecie, rozbudowaniu ulega obowiązek informacyjny. Przedsiębiorca zbierający dane osobowe będzie musiał osobom, których dane zbiera, przekazywać dużo więcej informacji oraz robić to w formie jasnej, czytelnej i zrozumiałej. Formalne klauzule informacyjne pisane małym druczkiem odchodzą do lamusa.
Po czwarte, pojawia się obowiązek notyfikacji o wycieku danych osobowych. Czyli gdy w naszej organizacji dojdzie do naruszenia ochrony danych osobowych, mamy obowiązek sami się do tego przyznać i to zaraportować organowi oraz osobom, których dane przetwarzamy. To dość istotna nowość, bo trzeba będzie wdrożyć odpowiednie rozwiązania techniczne, które pozwolą na sprawne postępowanie w razie wycieku.
Na tych czterech zmianach bym zakończył swoją odpowiedź, zdając sobie oczywiście sprawę, że to jedynie delikatnie dotknięcie tematu. Po więcej szczegółów mogę odesłać na swój blog PRAKreacja.pl
Jak powinny się do nich przygotować biura nieruchomości i deweloperzy?
Tutaj znowu można byłoby z powodzeniem spisać całą książkę na ten temat, ale postaram się w skrócie opowiedzieć o tym, co moim zdaniem jest najważniejsze:
- należy zbadać wszystkie procesy przetwarzania danych osobowych w firmie. Zastanowić się, gdzie pojawiają się dane osobowe, kto ma do nich dostęp, w jaki sposób są chronione i co można zrobić, by ta ochrona miała rzeczywisty charakter, a nie była tylko pięknie opisana na papierze,
- należy zweryfikować, czy w stosunku do wszystkich danych osobowych mamy odpowiednią podstawę do ich przetwarzania. Może bowiem okazać się tak, że są w naszych systemach dane, których tak naprawdę nie możemy przetwarzać, bo np. nigdy nie zebraliśmy na ten cel zgody,
- trzeba przygotować odpowiedniej treści komunikaty związane z ochroną danych osobowych, które będą przekazywane osobom, których dane są przetwarzane. Mogą być to klauzule w umowach, mogą być to dodatkowe broszury informacyjne czy też po prostu regulaminy udostępniane drogą elektroniczną. Chodzi o to, by dostarczyć osobom, których dane przetwarzamy wszystkich informacji, o których mówi RODO oraz zrobić to w taki sposób, by odbiorca był w stanie to zrozumieć,
- należy dokonać przeglądu infrastruktury technicznej i zweryfikować, czy jest ona w stanie sprostać standardom stawianym przez RODO,
- należy przeszkolić wszystkie osoby mające kontakt z danymi osobowymi na temat standardów wprowadzanych przez RODO. Co z tego, że właściciel firmy zadba o odpowiednie zabezpieczenia, dokumenty etc., podczas gdy jego pracownicy będą nieświadomi zagrożeń i konieczności podejmowania odpowiednich kroków.
Tak jak powiedziałem, nie sposób w ramach jednej rozmowy omówić wszystkich obowiązków szczegółowo, ale uważam, że zwróciłem uwagę na najważniejsze kwestie. Zachęcam jednak oczywiście do zgłębienia tematu albo po prostu do skorzystania z profesjonalnych usług, w ramach których w firmie zostanie wykonany audyt danych osobowych, a następnie zostaną zarekomendowane odpowiednie środki, przygotowane zostaną odpowiednie dokumenty, a pracownicy zostaną odpowiednio przeszkoleni.
Czym jest „Rejestr czynności danych osobowych”? Czy dotyczy on biur nieruchomości i deweloperów?
Rejestr czynności przetwarzania to dokument, który zastępuje obowiązek zgłaszania zbiorów. Owszem, zgłaszać zbiorów już nie będzie trzeba, ale trzeba będzie prowadzić rejestr czynności przetwarzania, który będzie takim rozbudowanym wykazem zbiorów danych osobowych funkcjonującym dotychczas. Chodzi o to, by w ramach takiego rejestru opisać wszystkie procesy przetwarzania danych osobowych, wskazać na rodzaje przetwarzanych danych, zabezpieczenia techniczne, podmioty, które uzyskują dostęp do danych itp. RODO przewiduje dokładnie, co w takim rejestrze ma się znaleźć i warto w tym zakresie zajrzeć bezpośrednio do rozporządzenia. Jeżeli administrator posiada już profesjonalnie przygotowaną politykę bezpieczeństwa, to w jej ramach funkcjonuje na pewno wykaz zbiorów danych osobowych. Można na jego podstawie stworzyć rejestr czynności przetwarzania.
W niektórych sytuacjach rejestr czynności przetwarzania nie będzie konieczny, ale ja rekomendowałbym przygotowanie takiego rejestru przez każdego administratora danych osobowych jako takiego podstawowego i kluczowego dokumentu związanego z ochroną danych osobowych. Jego przygotowanie pozwoli zdiagnozować wszystkie zbiory danych, dostrzec zależności między zbiorami i uświadomić sobie skalę przetwarzania danych w firmie.
Gdzie szukać pomocy w razie wątpliwości?
Materiałów na RODO jest mnóstwo. Internet pęka w szwach od artykułów, poradników, nagrań wideo. Zawsze warto jednak weryfikować pochodzenie takich materiałów, ponieważ RODO jest na tyle głośnym tematem, że dla wielu podmiotów może być po prostu źródłem dodatkowego zarobku, a nie rzeczywistą specjalizacją. To samo dotyczy przeglądania oferty szkoleniowej. Zanim podejmiemy decyzję o skorzystaniu z jakiegoś szkolenia, warto zweryfikować realne doświadczenie i czas obecności na rynku w zakresie ochrony danych osobowych.
Ze swojej strony mogą zaprosić do zapoznania się z moim poradnikiem dotyczącym RODO dostępnym w wersji tekstowej oraz audio.
Wojciechowi dziękuję za wywiad i przekazanie informacji w przestępnej formie. A czy Wy już zaczęliście przygotowania do RODO?