Wdrożenie RODO w przedsiębiorstwie – nowe wyzwania.

RODO, czyli wchodzące w życie 25 maja br. unijne rozporządzenie o ochronie danych osobowych, sieje popłoch wśród przedsiębiorców. Przyczyną są drakońskie, bo sięgające do 20 milionów euro (sic!), kary za jego nieprzestrzeganie. Dlatego spieszymy wyjaśnić dlaczego wdrożenie RODO w Twoim przedsiębiorstwie powinno Cię zainteresować.

RODO dotyczy wszystkich przedsiębiorców.

Na RODO muszą przygotować się przedsiębiorcy. Niestety, będzie ono dotyczyć zarówno dużych korporacji, jak i małych, nawet jednoosobowych firm. Zaś biorąc pod uwagę fakt, że w dzisiejszych czasach nie sposób prowadzić biznesu nie przetwarzając jakichkolwiek danych osobowych, RODO będzie dotyczyć w praktyce wszystkich.

Niektórzy przedsiębiorcy są jednak bardziej dotknięci ryzykiem niewdrożenia RODO. Oto przykłady firm szczególnie dotkniętych przez RODO:

Przykład 1: Lekarze prowadzący prywatne praktyki. Chodzi tu zarówno o prywatne centra medyczne jak i nawet indywidualne praktyki lekarskie. Lekarze przetwarzają bowiem dane o stanie zdrowia, które uchodzą za szczególnie wrażliwe. Dlatego według naszej oceny, lekarzom grozi bardzo wysokie ryzyko z tytułu niedostosowania się do RODO. Tym bardziej, że poziom świadomości wśród przedstawicieli tej grupy jest niewielki.

Przykład 2: Podmioty prowadzące działalność w Internecie. W szczególności wszelkiego rodzaju sklepy internetowe, portale oraz podmioty, które dają klientom możliwość zalogowania się do systemu przy pomocy ich strony internetowej – czasami nawet zapisania się na zwykły newsletter.

Przykład 3: Podmioty, które wysyłają dane osobowe za granicę Unii Europejskiej, w szczególności wszelkiego rodzaju agencje zatrudnienia. Wdrożenie RODO będzie się dla nich wiązała z migracją danych osobowych poza granice UE.

Przykład 4: Podmioty prowadzące działalność produkcyjną, z wykorzystywaniem hal przemysłowych, w których zainstalowano monitoring, zabezpieczenia biometryczne itp. Także podmioty, które gromadzą ponad przeciętne dane o pracownikach, jak np. dane o ich członkach rodziny, o stanie zdrowia, sytuacji finansowej.

Sporo mamy takich lokalnych firm, w rejonie Grudziądza, Świecia i Tucholi, prawda?

Realne kary za nieprzestrzeganie RODO.

Skąd na rynku tyle strachu przed RODO? Przede wszystkim, bardzo możliwe, że w końcu zaczną się sypać kary za naruszanie przepisów o ochronie danych osobowych. Do tej pory Generalny Inspektor Ochrony Danych Osobowych dysponował niewielkimi możliwości nakładania sankcji na przedsiębiorców nienależycie chroniących dane osobowe. Wizyta kontrolerów z GIODO z reguły kończyła się co najwyżej upomnieniem. Oczywiście przy założeniu, że do takiej kontroli w ogóle doszło. Z uwagi na braki kadrowe w GIODO, kontrole inicjowane przez ten organ, pisząc eufemistycznie, nie należały do najczęstszych. Obecnie ten stan ma się zmienić. Przede wszystkim z uwagi na plany związane ze zwiększeniem środków na ochronę danych osobowych, w tym na kadry (czytaj: na kontrolerów) z GIODO. W praktyce więc największą zmianą związaną z wprowadzeniem RODO będzie urealnienie sankcji za nieprzestrzeganie przepisów.

Prawo do bycia zapomnianym.

Co zmienia RODO? Przede wszystkim przyznaje obywatelom nowe uprawnienia. Pierwszym z nich jest tzw. prawo do bycia zapomnianym. Idea, która za tym prawem stoi polega na zapewnieniu, aby dane osobowe nie były przetwarzane zbyt długo. Oczywiście, nie ma ono bezwzględnego charakteru. Jeśli bowiem posiadamy mandat do przetwarzania danych, np. przetwarzanie wynika z obowiązków nakładanych przez przepisy prawa albo z umowy zawartej z klientem, to w takim zakresie nadal będziemy mogli przetwarzać dane.

Przykład: Jeśli klient będący osobą fizyczną jest zobowiązany zapłacić nam wynagrodzenie i zażąda aby został „zapomniany”, to oczywiście możemy przetwarzać jego dane w celu dochodzenia od niego wierzytelności. Natomiast nie będziemy mieć już mandatu na przetwarzanie jego danych w celu wysyłki materiałów promocyjnych, np. newslettera.

Prawo do przeniesienia danych do innego administratora.

Kolejną nowością wprowadzaną przez RODO jest prawo do przenoszenia danych do innego administratora. Jest to kłopotliwe uprawnienie, ponieważ na żądanie klienta przedsiębiorca będzie musiał przenieść wszelkie zgromadzone dane o kliencie do swojej konkurencji. Jest to o tyle „niedyskretne”, że w ten oto sposób konkurencja dowie się jakiego rodzaju dane zbieramy i pośrednio także, co z nimi robimy. Ponadto jeśli konkurencja oceni, że zakres danych jest niewspółmierny np. do łączącej nas z klientem umowy, będzie miała wszelkie możliwe narzędzia do przygotowania odpowiedniego „donosu” do organów kontroli.

Należy uprzedzić klienta o profilowaniu.

Wiele firm, w szczególnie tych działających w Internecie, tworzy profile klientów na podstawie ich zachowania w sieci (tzw. „profilowanie”). W praktyce profilowanie oznacza więc automatyczne zbieranie i przetwarzanie danych o kliencie w celu dostarczenie opisu jego cech i preferencji oraz antycypowania jego przyszłego zachowania. Niejednokrotnie jest ono bardzo korzystne dla obu stron tego mechanizmu. Umożliwia bowiem szybsze dotarcie do klienta z produktem, który istotnie może go zainteresować. Oczywiście profilować można nie tylko pod kątem preferencji zakupowych, ale także m.in. pod kątem sytuacji ekonomicznej, stanu zdrowia, efektów pracy danej osoby, osobistych preferencji, wiarygodności, lokalizacji, czy przemieszczania się.  Dlatego, profilowanie może się stać łatwym narzędziem do manipulacji, o czym zresztą w ostatnim czasie robi się coraz głośniej. Stąd konieczność ujęcia tej praktyki w ramy prawne.

RODO nie wprowadza zakazu profilowania klientów. Przedsiębiorca musi jednak spełniać określone warunki. Przede wszystkim profilowanie musi być jawne, a więc klient musi mieć wiedzę, że jest poddany analizie. Ponadto klient ma prawo do żądania, aby nie podlegać decyzjom, które opierają się wyłącznie na automatycznym profilowaniu jego zachowania. Ponadto będzie miał prawo do dostępu do danych, z których składa się jego „profil”.

Obowiązki przedsiębiorców zw. z wdrożeniem RODO.

Dla przedsiębiorców RODO oznacza cała gamę nowych obowiązków, na czele z odpowiednim zabezpieczeniem systemów IT, przygotowaniem dokumentacji prawnej, w tym zasad przetwarzania danych w przedsiębiorstwie. RODO usprawni komunikację z osobami, których dane przetwarzamy. Na ich żądanie administratorzy będą bowiem musieli udzielać im informacji o zakresie i celu przetwarzanych danych. Koniecznym będzie także informowanie osób, których dane przetwarzamy o wszelkich incydentach bezpieczeństwa z udziałem ich danych. Administratorzy będą mieć na to ledwie 72 godziny. Jeśli przedsiębiorca doniesie na siebie do GIODO (także w terminie 72 godzin), to będzie mieć szansę uniknąć kary. W niektórych przypadkach koniecznym będzie zatrudnienie nowego pracownika zajmującego się nadzorem nad sposobem przetwarzania danych albo outsourcingowanie tego typu usług.

Konieczną okaże się także weryfikacja danych zbieranych o pracownikach, w tym o wszelkiego rodzaju stosowanego w pracy monitoringu zachowania pracowników. Uderzy to w monitoring w halach przemysłowych, programach szpiegujących ruch pracowników w sieci, GPS-y w samochodach służbowych itp. RODO oznacza także szereg zmian w prawie pracy i w kadrach.

W praktyce, obowiązków ciążących na przedsiębiorcach w związku z wdrożeniem RODO jest o wiele więcej. Ich zakres jest jednak uzależniony od rodzaju prowadzonej działalności, jej skali (szczególnie przy zatrudnieniu powyżej 250 osób), rodzaju wykorzystywanych danych, przesyle danych za granicę UE, czy nawet od zinformatyzowania przedsiębiorstwa. Dlatego proces wdrażania RODO w przedsiębiorstwie warto poprzedzić rzetelnym audytem.

Jasna strona wdrożenia RODO.

RODO ma też dobre strony. Pozwala bowiem na zrozumienie mechanizmów, w ramach których dochodzi do przetwarzania danych w firmie, a tym samym do lepszego zrozumienia samego przedsiębiorstwa. Niejednokrotnie przedsiębiorcy dopiero na skutek audytu uświadamiali sobie jak wyglądają procesy przetwarzania danych w ich przedsiębiorstwie. Dzięki temu lepiej też potrafili ocenić ryzyko zw. z ich działalnością. Pamiętajmy, że wśród przetwarzanych przez przedsiębiorców danych, znajdują się także ważne informacje handlowe, w tym dane klientów, kontrahentów, zasady wynagradzania pracowników i wiele innych. Wyciek tego typu danych może być fatalny w skutkach dla każdego biznesu. W konsekwencji koszt rozsądnego wdrożenia RODO może okazać się o wiele łatwiejszy do poniesienia, niż to się może pierwotnie wydawać.

Podsumowanie.

Dlaczego o RODO jest w ostatnim czasie aż tak głośno? Otóż w przeszłości, organy kontrolne nie miały wystarczających narzędzi i zasobów do skutecznej kontroli. Tym razem ma się to zmienić i delegatury Generalnego Inspektora Ochrony Danych Osobowych we wszystkich województwach planują zatrudnienie nowych kontrolerów. Zaś tajemnicą poliszynela jest, że kontrolerzy Ci mają na siebie zarobić.

Kontakt z naszą kancelarią prawną: w Poznaniu, Świeciu lub Grudziądzu.

Zachęcamy do skorzystania z pomocy radców prawnych naszej Kancelarii we wdrożeniu RODO w Twojej firmie. Posiadamy siedziby w Poznaniu oraz w Świeciu (pomagamy klientom także z Grudziądza, Tucholi oraz Chełmna). Jesteśmy w stanie zaoferować pomoc prawną także online, bez konieczności dojazdu do siedziby firmy. Zapraszamy do kontaktu:

biuro@slupinska.eu

tel. 509 113 302