Właśnie kończy się pierwszy rok obowiązywania RODO. Rozporządzenie szczególne, bo dotykające każdego obywatela w Unii Europejskiej oraz każdego przedsiębiorcę prowadzącego działalność na terenie UE, nawet jeżeli jego siedziba znajduje się poza granicami Wspólnoty. Na pewno w najbliższych dniach w mediach spotkasz wiele podsumowań i statystyk o tym, jak Rozporządzenie zmieniło życie Kowalskiego, jakie działania podjęły urzędy, czy nowe prawo działa i jest skuteczne, czy może okazało się wydmuszką.

Ja pokuszę się o własne, subiektywne podsumowanie. RODO jest mi bliskie jako obywatelowi, bo daje mi narzędzia do ochrony własnych danych i mojej prywatności przed zakusami przedsiębiorców i wielkich marketingowych korporacji. RODO jest mi bliskie jako przedsiębiorcy, gdyż prowadząc firmę muszę spełniać wymogi związane z przetwarzaniem danych osobowych. Szczególnie teraz, gdy marketing w moim biznesie ma większe znaczenie niż jeszcze rok czy dwa lata temu. RODO jest mi bliskie jako informatykowi, mimo że nie ma w Rozporządzeniu słowa o technologii. Widzę dzięki prowadzonym projektom jak RODO przestaje być „miną” a zmienia się w „koło zamachowe” do usprawnienia całości procesów u mikro i małych przedsiębiorców czego rezultatem jest optymalizacja kosztów i więcej pieniędzy na inwestycje. I przez pryzmat tych trzech soczewek spojrzę na pierwszy rok z RODO.

Świadomość

Jeszcze 2 lata temu większość polaków nie miała większej świadomości co do tego w jaki sposób ich dane osobowe są wykorzystywane, bez zająknięcia podawała masę informacji o sobie w różnych formularzach bezrefleksyjnie ufając, że „tak być powinno”. Mali przedsiębiorcy masowo ignorowali, lub nawet nie wiedzieli o obowiązku rejestrowania zbiorów danych osobowych w GIODO. Zmianę stanu rzeczy widać gołym okiem.

Wzrost świadomości konsumenta to dla przedsiębiorcy więcej pracy. Świadomy obywatel będzie zadawał pytania i dochodził swoich praw (nawet wtedy gdy z punktu prawa nie będzie miał racji) a to dla przedsiębiorcy generuje koszty prowadzenia biznesu. Gdy otrzymasz pytanie o zakres przetwarzania danych osobowych lub wniosek o udostępnienie kopii danych osobowych to musisz go wykonać. Od Ciebie zależy, czy będzie to zadanie proste czy skomplikowane a zatem bardzo czasochłonne. Ręczne szukanie informacji w pamięci urządzeń czy aplikacjach na pewno zabierze sporo czasu, a braki merytoryczne odpowiedzi czy jej niekompletność mogą skutkować kontrolą z UODO. Dobrze udokumentowany obieg informacji oraz utrzymywany rejestr czynności przetwarzania, które mają swoje odzwierciedlenie w systemach IT przedsiębiorstwa uchronią Cię przed takimi wpadkami. Pozwolą też zautomatyzować wiele czynności związanych z przygotowaniem odpowiedzi.

Myślisz, że mali przedsiębiorcy tego nie potrzebują? A pamiętasz gdzie rok temu zostały zapisane, w jaki sposób i do jakich celów wykorzystane i komu udostępniona dane każdego Kowalskiego, który dokonał zakupów w Twoim sklepie internetowym?

Strach

Jednym z aspektów mobilizujących przedsiębiorców do tego, aby prowadzić biznes zgodnie z wymogami RODO jest wizja dużych kar finansowych. Zapisane w Rozporządzeniu sankcje finansowe mogą sięgać 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa. Kwoty astronomiczne dla większości prowadzących własną działalność.

Strach nie jest dobrym motywatorem. Może on wymusić pewne działanie na przedsiębiorcy ale na pewno nie działanie skuteczne czy wprowadzające rzeczywistą ochronę procesu przetwarzania danych osobowych. Częściej jego efektem jest pobieżne i pozorne wykonanie ciążących obowiązków aby zapewnić sobie poczucie zrobienia czegokolwiek. Usprawiedliwienia samego siebie, że przecież temat RODO nie został zignorowany, coś przecież zostało zrobione. Obserwujemy teraz drugą falę działania przedsiębiorców pod wpływem strachu. Pierwszą obserwowaliśmy rok temu tuż przed wejściem Rozporządzenia w życie. Iskrą zapalną drugiej fali były pierwsze kary finansowe nałożone za złamanie RODO, a także ich wysokość – jeżeli ktoś spodziewał się symbolicznych czy względnie niskich kar za naruszenia to Urząd Ochrony Danych Osobowych pierwszymi decyzjami rozwiał wątpliwości.

Prowadząc biznes w strachu przed kontrolą i potencjalnymi karami finansowymi ze strony UODO przedsiębiorcy zapominają, że sami konsumenci mogą bezpośrednio dochodzić swoich praw gdy czują, że ich dane osobowe były przetwarzane niezgodnie z celem lub nastąpił ich wyciek. Zarówno na drodze cywilnego porozumienia pomiędzy stronami jak i pozwu w sądzie mogą oczekiwać odszkodowania lub zadośćuczynienia.

Zamiast budować firmowy proces przetwarzania danych osobowych na strachu musisz poszukać jakie dodatkowe korzyści jego wdrożenie przyniesie Twojej firmie. Jeżeli implementując wymogi RODO potrafisz zabezpieczyć dane osobowe i odpowiednio je chronić to równie dobrze te same mechanizmy czy aplikacje wykorzystasz by chronić cenne zasoby – dokumentację, wartość intelektualną i inne tajemnice firmowe.

Nadgorliwość

Dziś już większość przedsiębiorców rozumie, że praktycznie każda firma przetwarza dane osobowe. Nadal wielu jednak nie rozumie co jest a co nie jest daną osobową. Nie wiedząc co przetwarzają błędnie interpretują przepisy, nadgorliwie podchodząc do obowiązków ciążących na administratorze danych osobowych. Najłagodniejszym skutkiem nadgorliwości jest strata czasu i utrudnianie sobie samemu prowadzenia firmy. Przedsiębiorca zamiast skupić się na rozwoju, sprzedaży czy realizacji podpisanych umów traci czas na nadmiernie rozbudowaną „papierkologię”, ciągłe uaktualnianie polityki prywatności czy źle zaprojektowane procesy realizacji obowiązku informacyjnego. Potencjalny klient zasypywany co chwila różnymi zgodami czy informacjami może zrezygnować z dokonania zakupów w sklepie internetowym czy skorzystania z innych oferowanych usług.

Nadgorliwość najczęściej widać w działaniach widocznych dla konsumenta, nie w procesach wewnątrz spółki. Dysproporcja w działaniach na tych dwóch płaszczyznach na pewno nie będzie okolicznością przemawiającą za niższą karą w przypadku stwierdzenia naruszeń i kontroli UODO. Każdy zapis, czy to w ustawie czy Twoim regulaminie, musi mieć odzwierciedlenie w rzeczywistych działaniach, procedurach jak i konfiguracji wykorzystywanych narzędzi.

Dopieszczona polityka prywatności nie uchroni Cię przed finansowymi karami w przypadku naruszenia prawa z powodu wycieku danych czy niefrasobliwości pracownika. Odpowiednie narzędzia IT oraz świadomość Twoja i Twojego zespołu mogą uchronić cię przed kosztowną pomyłką lub zminimalizować jej rozmiar.

Jak żyć z RODO?

Trzeba pogodzić się z tym, że RODO jest i obowiązki związane z przetwarzaniem danych osobowych nie znikną. Zatem zamiast demonizować stawiane przed Tobą wymagania poszukaj dobrych jego stron i korzyści. Wykorzystuj sprawdzone wzorce modyfikując je do potrzeb Twojego biznesu. Do zadania można podejść na dwa sposoby. Pierwszy z nich polega na minimalistycznym napisaniu niezbędnych polityk i dokumentacji i pozwoleniu aby RODO stało się dodatkową uciążliwością. Będzie wtedy po prostu kolejną formalnością taką jak rozliczanie faktur czy odpisywanie na reklamacje. W efekcie kontrolę nad przetwarzaniem danych spełnisz jedynie w czynnościach, które będą kojarzyły się z danymi osobowymi i tylko wtedy, gdy będziesz o nich pamiętać. 

Drugie podejście to kompleksowe spojrzenie na czynności przetwarzania danych osobowych w każdej biznesowej czynności i wykorzystanie rozwiązań IT, które zminimalizują Twój nakład pracy i ryzyko popełnienia błędu. Te same mechanizmy wspomogą także inne procesy w Twojej firmie, takie jak obieg informacji, przekazywanie dokumentów między pracownikami, kontrolę dostępu do cennych zasobów a także sam proces kontaktu z klientami. Zdziwisz się, jak wiele takich produktów już teraz masz w swojej firmie, tylko wykorzystujesz ułamek ich prawdziwej możliwości.

Nowoczesne technologie w IT nie są zarezerwowane dla wielkich korporacji i nie kosztują fortuny. RODOwskaz powstał aby pokazać przedsiębiorcom takim jak Ty, że spełnianie wymogów RODO nie jest skomplikowane dzięki odpowiednim rozwiązaniom IT, które jednocześnie wykorzystać by całościowo usprawnić działanie swojej firmy.

Informuj mnie o nowościach

Podając nam swój adres email wyrażasz zgodę na otrzymywanie od nas wiadomości o nowościach w serwisie RODOwskaz.online, usługach czy podsumowaniem ważnych zmian i interpretacji prawa związanych z przetwarzaniem danych osobowych w Twojej firmie. W każdej chwili możesz zrezygnować z otrzymywania informacji wypisując się z listy. Odpowiedni odnośnik znajdziesz w każdym mailu. Więcej informacji o przetwarzaniu danych osobowych znajdziesz w naszej polityce prywatności.

Pobierz poradnik, dzięki któremu zaczniesz dostosowywać swoją firmę do wymogów RODO