Ewelina Rychlik, 2022-03-22
RODO nadal budzi wiele kontrowersji i wywołuje zdenerwowanie u niejednego przedsiębiorcy. Czy rzeczywiście jest takie straszne, jak go malują? Szczegóły wyjaśnia Katarzyna Ellerik, leader zespołu ds. Ochrony danych LexDigital i Inspektor Ochrony Danych.
Więcej szczegółów znajdziesz w naszym podcaście. Odcinek pt.: “LexDigital - 5 mln kary z tytułu RODO - czy Twoja firma może przekroczyć polski rekord?” jest już dostępny na popularnych platformach podcastowych oraz na Fakturownia.pl.
Lex Digital - jeden z prekursorów świadczących usługi związane z dostosowaniem wewnętrznych procesów organizacji do wymogów RODO. Lex Digital to interdyscyplinarny zespół specjalistów, bazujących na wieloletnim doświadczeniu. Firma tworzy indywidualne rozwiązania dla każdego z podmiotów bez względu na rodzaj wykonywanej działalności.
Zobacz także: Czy każda firma potrzebuje strony internetowej? Rozmowa z Krzysztofem Gonetem
- Bardzo często spotykam się z pytaniem - po co nam RODO? Dlaczego musimy tak wiele pracy poświęcić, żeby te wymagania wdrożyć w naszej organizacji? - mówi Katarzyna Ellerik - Wiem, że jest to kłopotliwe dla przedsiębiorców, ale od początku takie było tego założenie: RODO ma pomagać osobom fizycznym, a przedsiębiorcy mają ponieść tego koszty. Nie da się ukryć, że te koszty zawsze będą tam, gdzie będziemy musieli zaangażować odpowiednich specjalistów, wykonać dokumentacje, czy też wdrożyć nowe środki bezpieczeństwa w obszarze IT. Mimo wszystko RODO ma pomóc w zachowaniu naszej prywatności. Wraz z rozwojem i dynamiką świata, w którym teraz żyjemy, widzimy, że dane osobowe stanowią ogromną wartość. Już w 2019 r. wartość danych osobowych przekroczyła wartość ropy naftowej. Jest to zatem istotna waluta, która pojawia się w świecie cyfrowym. Musiało się pojawić pewne założenie czy ograniczenie prawne, które nie pozwoli organizacjom na przetwarzanie czy gromadzenie tych danych w celach, które nie byłyby istotne dla osoby, która te dane zostawiła. Albo wręcz przeciwnie, naruszałyby jej interesy. RODO ma pomóc w ustandaryzowaniu tego poziomu bezpieczeństwa w całej Unii Europejskiej, bo jest to akt, który obowiązuje we wszystkich krajach członkowskich i ma tak naprawdę podążać za technologią i rozwojem cyfrowym, który teraz oglądamy i w którym żyjemy.
Najwyższa jak do tej pory kara pieniężna w Polsce wynosiła blisko 3 mln, a dokładnie 2 830 400 zł (dotyczyła wycieku ponad 2 mln danych osobowych!). Na świecie te kary wynoszą nawet kilkadziesiąt milionów euro, tak jak np. w przypadku Google we Francji (50 mln euro). Warto wspomnieć, że kara jest dostosowana do danej organizacji i jej przychodów (50 mln euro w przypadku Google to dzienny przychód).
Mało się o tym mówi, ale naruszenie danych osobowych, czyli potencjalnie ich wyciek lub ujawnienie, może mieć dla nas poważne konsekwencje, np. kradzież tożsamości. Nie zdajemy sobie sprawy, że pozostawienie dowodu osobistego w zastaw za kajak lub rower, może sprawić, że ktoś skseruje nasz dokument i nawiąże umowę z operatorem telekomunikacyjnym lub np. weźmie na nas kredyt. Znaczenie danych rośnie z dnia na dzień.
- Jeśli chodzi o wysokość kar dla podmiotów prywatnych, mówimy tutaj o wartościach do 20 mln euro, bądź też 4% obrotu za poprzedni rok obrotowy i to jeszcze analizując obrót powiązanej ze sobą grupy spółek. W przypadku jednostek publicznych ta kara wynosi maksymalnie 100 tys. złotych. Zatem mam wrażenie, że te motywacje są jednak mniejsze - uważa Katarzyna Ellerik. Z drugiej strony to może wydawać się absurdalne, gdyż organizacje te posiadają bardzo szeroki zakres danych (ZUS, Urząd Skarbowy itp.). Niestety paradoksalnie nie mają zasobów na to, żeby zaangażować odpowiedniego specjalistę czy np. żeby wymienić być może część sprzętu, którym się posługują, żeby przeszkolić ludzi.
Zobacz także: Analityka - “must have” (prawie) każdego biznesu
W przypadku działalności gospodarczych, które sprzedają tak produkty i akcesoria w sieci, mamy do czynienia z gromadzeniem danych osobowych klientów w postaci danych dotyczących dostawy. Często pozwalamy naszym użytkownikom strony założyć profil i wtedy mamy też ich login, adres e-mail, inne dane w postaci historii transakcji w naszym serwisie. - Do tego dołożyłabym jeszcze bardzo lubiane ostatnio pliki cookies, czyli informacje, które idą za nami w naszej przeglądarce i które gromadzą różne podmioty. Na bazie tych informacji są w stanie określić, czym się interesujemy i jakie mamy preferencje - tłumaczy ekspertka RODO. Właściciel sklepu musi poinformować swoich klientów i użytkowników strony o tym, kim jest, co będzie z tymi danymi robił, jakie ma cele w ich przetwarzaniu, z jakich podstaw prawnych korzysta. Jest to tzw. obowiązek informacyjny. Właściciel musi nas poinformować, jakie mamy prawa i czy nasze prawa będą przetwarzane poza Europejskim Obszarem Gospodarczym. Poza UE ten poziom ochrony danych jest mniejszy bądź w ogóle nieznany, bo często kraje poza Unią nie mają wdrożonego żadnego aktu związanego z prywatnością. - Dlatego operator strony czy też właściciel tej działalności musi nam powiedzieć, w jaki sposób będzie przetwarzał informacje i dane, które u niego zostawimy. Poza tym przydałaby się polityka plików COOKIES - dokument informujący o ich rodzajach - kto ich dostarcza i jak długo będą przechowywane. Oczywiście weźmy pod uwagę, że właściciel chciałby przygotować newsletter i wysyłać go raz na miesiąc dla swoich klientów. Musiałby pobrać zgodę od klienta i użytkownika, aby ten kontakt mailowy czy telefoniczny móc wznowić i móc się z nim skontaktować - dodaje Katarzyna Ellerik.
Tych obowiązków jest wiele. Nie da się ukryć, że takie samodzielne ich wdrożenie może być wyzwaniem. Bardzo często warto skorzystać z czyjejś wiedzy i doświadczenia. Otrzymać pewne wytyczne i wzory dokumentów, które potem na własną rękę można dostosować i w ten sposób spełnić wymagania RODO na naszej stronie internetowej.
Zespół LexDigital przygotował rozwiązania dla małych i średnich firm - zobacz ofertę
Wybierając jeden z pakietów możecie uzyskać rabat 150 zł wpisując przy realizacji zamówienia kod fakturownia2022
Organ Nadzorczy w postaci Urzędu Ochrony Danych Osobowych ma za zadanie dbać o to, czy wszystkie organizacje wdrożyły odpowiednio wymagania rozporządzenia. Ma funkcję kontrolną i może przeprowadzać kontrole fizyczne i korespondencyjne - tych jest teraz znacznie więcej. Urząd Ochrony Danych Osobowych ma na swojej stronie formularz, który pozwala na złożenie skargi. - To kilka kliknięć potwierdzanych następnie profilem zaufanym. Każdy z nas może w tym momencie wejść na stronę urzędu, złożyć wniosek z informacją, że podejrzewamy, że dana firma narusza nasze dane osoby, że być może doszło do wycieku w danej firmie, że sami byliśmy jego świadkiem, ponieważ omyłkowo otrzymaliśmy dane innego klienta np. w liście albo mailowo. W ten sposób Urząd pozyskuje informacje, że dzieje się coś złego - dodaje inspektorka RODO.
Jest to jedna droga, przez którą firma może się narazić na pewne przykre doświadczenia kontrolne i potencjalnie nałożenie kary. Z drugiej strony Urząd planuje sektorowe kontrole. Zakłada sobie plan kontroli na dany rok i wyrywkowo wybiera organizacje, w których wszczyna kontrolę, mimo że nie wpłynęły zawiadomienia albo informacje o skardze czy naruszeniu.
Czy Urząd celuje w pewne branże, czy w pewne wielkości firm? Raczej nie. - Pamiętajmy, że te naruszenia danych to nie zawsze jest coś, czego można uniknąć. Bo w każdym systemie również danych osobowych, najsłabszym ogniwem jest człowiek. I nawet jeśli będziemy mieli świetnie zabezpieczone systemy IT, to może być moment, w którym zmęczony Adam Kowalski, który siedzi już 10h w pracy, wybierze nie ten plik, nie nałoży na niego hasła i wyśle do ogromnej liczby osób, ujawniając dane swoich klientów. To się zdarza. Myślę, że wielkość organizacji nie do końca ma znaczenie. Duży wpływ na to czy możemy zostać wytypowani do kontroli ma fakt, czy faktycznie machamy na to ręką i jesteśmy podejrzani, bo nie mamy żadnych informacji o tym, jak chronimy dane, czy jednak robimy wszystko co w naszej mocy i dochowujemy tej należytej staranności - uważa specjalistka RODO.
Masz więcej pytań o RODO i wdrożenie tego typu procedur w swojej firmie? Przesłuchaj cały nasz podcast TUTAJ i sprawdź również stronę internetową www.lexdigital.pl. Znajdziesz tam wszystkie praktycznie wskazówki i rodzaje dokumentów oraz działań, które powinieneś wdrożyć w swojej firmie.