5 MITÓW O RODO

Prowadzisz lub może zamierzasz prowadzić swoją własną jednoosobową działalność gospodarczą, lub spółkę prawa handlowego? A może świadczysz tylko usługi na podstawie umowy-zlecenia czy umowy o dzieło? Zatem na pewno wiesz, że rok temu doszedł Ci nowy obowiązek zwany powszechnie „RODO”. 

Zaraz, moment… czy aby na pewno nowy?

Wydawać by się mogło, że po roku szum komunikacyjny powinien być już jasnym przekazem a popłoch przedsiębiorców opanowany, tymczasem nadal wiele osób boi się zagadnień związanych z danymi osobowymi, powierza ich obsługę zewnętrznym firmom czy kancelariom prawnym, lub po prostu ignoruje temat, uważając, że ich on nie dotyczy. Nie da się zacząć pisać o sposobach na wdrożenie RODO w firmie bez rozprawienia się z kilkoma mitami. Oto te moim zdaniem najważniejsze.

Mit pierwszy — RODO to kosztowna rewolucja

Ochrona danych osobowych nie jest czymś nowym. Przecież do 25 maja 2018 roku, kiedy to zaczęto stosować bezpośrednio zapisy ogólnego rozporządzenia o ochronie danych osobowych (tak zwyczajowo nazywa się interesujący Cię akt prawny Unii Europejskiej, potocznie też zwany RODO lub GDPR) nie istniała luka prawna – dane osobowe przez cały czas podlegały ochronie. W Polsce obowiązywała Ustawa o Ochronie Danych Osobowych z 1997 roku, regulacje sektorowe zawarte choćby w prawie telekomunikacyjnym czy aktach regulujących handel elektroniczny. Regulacje we wszystkich państwach europejskich były implementacją Dyrektywy Parlamentu Europejskiego kryjącej się pod numerem 95/46/EC. Zatem skąd ten cały hałas, że RODO wywraca do góry nogami prowadzenie firmy?

Nastąpiła spora zmiana prawna dająca obywatelom lepsze narzędzia ochrony ich danych osobowych. Prawa przysłowiowego Kowalskiego są spójne na obszarze całej Unii Europejskiej, tak samo obowiązki samych przedsiębiorców, organizacji pozarządowych czy organów administracji państwowej. Czy dla przedsiębiorcy nastąpiła rewolucja? Z prawnego punktu widzenia nie! Rewolucja nastąpiła w głowach i świadomości konsumentów, dzięki czemu nowe regulacje nie są martwe jak wiele paragrafów Ustawy z 1997 roku. Pierwszy rok pokazał, że obywatele Unii Europejskiej chętnie korzystają ze swoich uprawnień, a organizacje pozarządowe aktywnie wykorzystują dane im narzędzia. Szum medialny sprawił też, że są oni bardziej świadomi swoich praw. A przedsiębiorcy? Jeżeli dotychczas ignorowali zarówno stare, jak i nowe regulacje prawne to dostosowanie firmy do wymagań RODO może być rewolucją, a zmiany kosztowne.

Jeszcze bardziej po kieszeni boleć będzie zaniechanie.

Mit drugi — RODO przeszkadza w prowadzeniu biznesu

RODO jest jedną z regulacji prawnych, do których przedsiębiorcy muszą się stosować. Jedną spośród wielu. Jeżeli potrafisz dostosować swój biznes do wymogów Prawa Pracy, do Ustawy o Podatku Dochodowym od Osób Prawnych, skomplikowanej Ustawy o Podatku od Towaru i Usług, czyli popularnie zwanej ustawy VAT-owskiej, to dlaczego o wiele prostsze RODO miałoby być dla Ciebie problemem? A gdybym Ci powiedział, że wdrożenie RODO pomoże usprawnić działanie Twojej firmy?

Ochrona danych osobowych dotyczy każdego przedsiębiorcy. Takie same obowiązki ma prowadzący osiedlowy sklep z warzywami, jak i agencja marketingowa czy software house. Zmienia się jedynie to jakie dane podlegają przetwarzaniu (ochronie) oraz narzędzia, które będą do tego wykorzystywane. W warzywniaku będą to zarówno dane dostawców, jak i chowany w szufladzie zeszyt z indywidualnymi zamówieniami klientów wraz z danymi kontaktowymi. Jeżeli prowadzisz biznes, którego elementy a może i całość oparte są o platformy internetowe to także przetwarzasz dane swoich klientów, lecz zapewne w strukturyzowanej formie bazy danych lub arkusza kalkulacyjnego. W obu przypadkach, aby chronić te dane przedsiębiorca musi między innymi uzyskać zgodę na przetwarzanie danych, zabezpieczyć przetwarzane dane, stworzyć jasne zasady obiegu i przeszkolić pracowników.

Teraz, proszę, spójrz na swoją firmę w szerszym aspekcie. Na pewno znajdziesz bez trudu kilka innych grup danych, które wymagają podobnej ochrony. Na przykład dane finansowe spółki, których upublicznienia nie chcesz, lub wręcz nie możesz udostępniać osobom nieuprawnionym. Może największą wartością dla Twojej firmy stanowi dokumentacja skomplikowanego sprzętu, którego serwisowaniem się zajmujesz i zrobisz wszystko, by tylko uprawnione osoby miały do niej dostęp i tylko we wskazanym czasie. A może jest to kod aplikacji, którą tworzą zatrudnieni programiści czy konspekt oraz slajdy prezentacji, którą za kilka dni wygłosisz komercyjnie?

Standardy służące usystematyzowaniu, zabezpieczeniu i monitorowaniu przetwarzania danych osobowych, zarówno od strony procedur, jak i wdrożenia odpowiednich rozwiązań teleinformatycznych, pomogą Ci chronić wszystkie cenne zbiory danych niezbędne do działania i rozwijania Twojej firmy.

Mit trzeci — "zrobię" to RODO i mam spokój (na zawsze)

Ochrona danych osobowych jest procesem, trwać będzie nieustannie tak długo, jak działa prowadzona przez nas firma, a nawet dłużej! Będzie się on zmieniał wraz z tym, jak zmieniać będzie się rozwijać się Twoje przedsiębiorstwo.

Gdy rozpoczynałem swoją działalność gospodarczą mój model biznesowy nie zakładał prowadzenia listy mailingowej. Docieranie z moimi usługami opierało się głównie o marketing szeptany, czyli polecenia. Dane które przetwarzałem to były jedynie dane kontaktowe do klientów oraz te, które pojawiały się na fakturach. Wraz z nowymi obszarami działania zmienił się zakres i cel przetwarzania danych osobowych, zatem dokumenty czy polityka prywatności spisane wtedy stały się nieaktualne.

Istotą RODO jest ochrona danych osobowych. Za każdym razem, gdy następuje zmiana w strukturze Twojej firmy, składzie osobowym, formach sprzedaży, marketingu, pozyskiwania danych itp. trzeba przyjrzeć się czy dokumentacja, procesy, jak i wiedza pracowników nie wymagają aktualizacji czy dodatkowej analizy ryzyka. RODO będziesz zajmował się cały czas, lecz dzięki odpowiedniemu podejściu i narzędziom nie będzie to dla Ciebie uciążliwość.

Pamiętaj, że za wszelkie uchybienia odpowiadasz Ty jako właściciel.

Mit czwarty — aby spełniać wymogi RODO potrzebuję zatrudnić prawnika

Gdyby była to prawda to w całej Unii Europejskiej rzeczywistość prawnicza wyglądałaby tak:

  • Większość prawników zajmowałoby się RODO bo każda firma przecież musi skorzystać z usług prawnych by spełnić wymogi RODO – czysty zysk!
  • Niewielu prawników zajmowałoby się sprawami patentowymi, cywilnymi, rodzinno-opiekuńczymi bo wszyscy siedzieliby z nosem w RODO – problemy społeczne gwarantowane.

Dobrze wiesz, że tak się nie stało. Prawnicy zajmują się RODO, ale zajmują się też wszystkimi innymi aspektami prawa w biznesie i życiu prywatnym, gdzie ich pomoc jest niezbędna. A przedsiębiorcy są w stanie podołać spełnieniu wymogów prawnych związanych z ochroną danych osobowych.

Mali przedsiębiorcy muszą być trochę omnibusami – znać się na kodeksie cywilnym, znać się na prawie pracy, księgowości, informatyce, zarządzaniu, marketingu.. uff… lista może być długa. Muszą też znać się na RODO, nawet jeżeli nie są prawnikami. Na szczęście są w stanie sobie poradzić sami lub z niewielką pomocą prawną i informatyczną. Są jednak specyficzne obszary, w których pomoc prawnika jest przydatna, czasem niezbędna, na przykład w sytuacji, gdy przetwarzamy dane osobowe objęte szczególną ochroną (na przykład dane medyczne).

Większość przedsiębiorców jest w stanie sama spełnić obowiązki wynikające z RODO. Lecz nawet korzystając z usług prawnika wdrożyć odpowiednie zalecenia i wypełniać zobowiązania będą musieli samodzielnie.

Mit piąty — kupię "gotowca" i mam spokój

Z punktu widzenia konsumenta wydawać by się mogło, że RODO to przede wszystkim rozbudowane polityki prywatności i masa checkbox-ów ze zgodami przy każdym formularzu. Tak naprawdę to tylko wierzchołek góry lodowej. Ważny jest sposób, w jaki zasady przetwarzania wynikające z RODO zostaną wdrożone w przedsiębiorstwie.

To nie regulaminy a ocena ryzyka i wdrożenie odpowiednich procedur czy mechanizmów bezpieczeństwa jest wypełnieniem RODO. Identyfikacja jakie dane są przetwarzane, w jakim celu oraz oszacowanie ryzyka dostępu do nich osób niepowołanych są pierwszymi krokami, które każdy przedsiębiorca musi zrobić, aby działać zgodnie z prawem. Często właściciele firm wykonując tą pracę są zdziwieni ile danych o osobach prywatnych zbierają czy na jak wielu urządzeniach trzymają ich kopię. Taka świadomość to dobry punkt wyjścia do przemyślenia, czy wszystkie te dane są potrzebne do zrealizowania zamówienia albo usługi oraz ograniczenia zbieranych danych czy ustalenia czasu, przez które te dane będą przetwarzane. Dopiero mając taką wiedzę możemy umieścić w regulaminach czy polityce prywatności odpowiednie zapisy spełniając obowiązek informacyjny. Ułatwi to też zaprojektowanie procesu realizacji żądań klienta na przykład dotyczących udostępnienia kopii przetwarzanych danych osobowych.

Polityka prywatności, choćby najlepiej napisana, jeżeli nie jest zaimplementowana w procesach biznesowych i systemach informatycznych firmy jest tylko zbiorem słów i nie uchroni Cię od kar w przypadku stwierdzenia naruszeń i wycieku danych. I zabierze Ci dużo czasu i nerwów gdy pojawi się konsument znający swoje prawa i z nich korzystający.

Co robić? Jak żyć?

Odpowiedź jest prosta – jako właściciel przejmij kontrolę nad wdrożeniem RODO we własne ręce. Jeżeli prawo nie nakłada na Ciebie powołania Inspektora Danych Osobowych to pełnia odpowiedzialności, jak i potencjalnych konsekwencji i tak spoczywa na Tobie. Niezależnie czy wdrożysz RODO samodzielnie, czy oddelegujesz zadania swoim pracownikom lub firmie zewnętrznej musisz zachować kontrolę nad całym procesem, tak by dostosowywać go wraz ze zmianami zachodzącymi w Twojej firmie (patrz mit trzeci).

Na łamach RODOwskaz.online wyjaśnię jak się do tego zabrać, na co zwracać uwagę i w jaki sposób może usprawnić to Twoją firmę. Jeżeli dopiszesz się na listę mailową to będę Cię informował nie tylko o nowościach w serwisie, ale i innych ważnych lub ciekawych nowinkach związanych z RODO, o których przedsiębiorca powinien wiedzieć.

Informuj mnie o nowościach

Podając nam swój adres email wyrażasz zgodę na otrzymywanie od nas wiadomości o nowościach w serwisie RODOwskaz.online, usługach czy podsumowaniem ważnych zmian i interpretacji prawa związanych z przetwarzaniem danych osobowych w Twojej firmie. W każdej chwili możesz zrezygnować z otrzymywania informacji wypisując się z listy. Odpowiedni odnośnik znajdziesz w każdym mailu. Więcej informacji o przetwarzaniu danych osobowych znajdziesz w naszej polityce prywatności.

Pobierz poradnik, dzięki któremu zaczniesz dostosowywać swoją firmę do wymogów RODO