Ochrona danych osobowych cały czas sprawia problemy polskim przedsiębiorcom. Możemy wymienić kilka powodów takiej sytuacji.
1. Niska kultura prawna
Niestety to bardzo duży problem w Polsce. Wiele podmiotów nie zna lub nie rozumie prawa. Ponadto RODO oznacza zmiana filozofii w ochronie danych osobowych – RODO opiera się bardziej na filozofii anglosaskiej (tworzenia standardów), a polska kultura prawna wywodzi się z prawa kontynentalnego i ma wielką słabość do kazuistyki. To powoduje problemy ze zrozumieniem przepisów RODO.
2. Lekceważenie RODO
Poprzednia ustawa o ochronie danych osobowych była lekceważona przez wiele podmiotów i sytuacja ta powtarza się w przypadku RODO. ¦wiadczą o tym choćby budżety na inspektorów ochrony danych i systemy ochrony danych osobowych. Z jednej strony jest to skutek braku świadomości, z drugiej – to szansa uzyskania przewagi konkurencyjnej.
Przed wejściem w życie RODO i w pierwszym roku funkcjonowania, większość straszyła karami – do milionów euro – absurdalna wysokość dla większości podmiotów. Do tego, żeby kary były skuteczne, muszą być nieuchronne. Sama surowość prawie nikogo nie nastraszy. Przez pięć lata, PUODO nałożył 45 kar finansowych na łącznie 16 mln zł. Największa z nich to 5 mln zł. Oczywiście podmiot odwołał się do sądu i do dziś nie zapłacił. Według mnie kar powinno być więcej, ale powinny być niższe.
3. Brak jednoznacznych odpowiedzi
Zgodnie z RODO rozwiązania muszą być adekwatne do ryzyk. To powoduje, że 25 lat doświadczenia może być obciążeniem, a nie zaletą. Obecnie nawet najlepsza dokumentacja nie rozwiąże problemu. W RODO chodzi o wdrożenie adekwatnego i skutecznego systemu ochrony danych osobowych. Sama dokumentacja to tylko jeden z wielu elementów tego systemu. W paktyce niestety często jedyny i to nie najlepszy.
4. Prawo ochrony danych osobowych cały czas ewoluuje
Pojawiają się nowe wytyczne PUODO. Rzeczywistość stawia cały czas nowe pytania – np.: czy można mierzyć temperaturę pracowników w pandemii. Ponadto cały czas mierzymy się z lukami i sprzecznościami prawnymi w samych ustawach, któr mają regulować całe zagadnienie.
5. Koszty
Wiele podmiotów traktuje wdrożenie i utrzymanie systemów bezpieczeństwa danych osobowych jako koszt, a nie inwestycję w bezpieczeństwo. Takie podejście powoduje, że jest to jedna z pierwszych pozycji na liście ograniczania wydatków podczas kryzysu.
6. Brak edukacji
Choć obecnie jest już sporo publikacji, webinarów itp., to nadal świadomość wśród przedsiębiorców nie jest wysoka. Może warto wprowadzić np. podstawy prawa w szkole. PUODO powinien wznowić publikację poradników oraz opracować wzorce dokumentacji we współpracy z ekspertami.
7. Papierologia
Zamiast dbać o ochronę praw i wolności zbyt często skupiamy na literalnym brzmieniu przepisów. Bardzo często na działania firmy w zakresie ochrony danych osobowych nakłada się formalizm.
Niewątpliwie przez ostatnie 5 lat wzrosła zarówno świadomość przedsiębiorców, jak i konsumentów. Kosumenci są coraz bardziej świadomi swoich praw i jak przedsiębiorca ich nie przestrzega (np. lekceważy wniosek o udostępnienie danych, cofnięcie zgody lub wniosek o zapomnienie), to konsumenci szybko piszą skargi do PUODO, a ten reaguje.
Przedsiębiorców można podzielić na 3 grupy:
- mają faktycznie wdrożony system ochrony danych osobowych i nim zarządzają (np. na bieżąco go aktualizują i regularnie audytują) oraz zapewniają odpowiednie zasoby (ludzkie i finansowe) – ta grupa jest najmniej liczna.
- sądzą, że mają wdrożony system ochrony danych osobowych, a tak naprawdę rzeczywistość różni się od ich wyobrażenia. Ostrzegam przed złudnym poczuciem bezpieczeństwa, które ma większość podmiotów.
- nie mają systemu ochrony danych osobowych – jak mawiał mój kolega: przetrwanie nie jest obowiązkowe.
O czym warto pamiętać, by RODO nie stanowiło problemów?
Każdy przedsiębiorca musi pamiętać, że:
- system bezpieczeństwa danych osobowych musi być integralną częścią kultury organizacji,
- tone from the top – przykład idzie z góry – to wyższe kierownictwo ma dawać przykład i zapewnić systemowi ochrony danych odpowiednie znaczenie,
- każdy jest odpowiedzialny za ochronę danych osobowych – na każdym szczeblu organizacji,
- wdrożenie i utrzymanie skutecznego systemu bezpieczeństwa danych osobowych odpowiada najwyższe kierownictwo firmy,
- kluczowa w systemie ochrony danych osobowych jest komunikacja,
- wdrożenie RODO to nie tylko praca prawnika, informatyka czy specjalisty od ryzyk. To przede wszystkim praca osób przetwarzających dane osobowe,
- dobry inspektor ochrony danych ze wsparciem góry to skarb, zły to przekleństwo,
- system bezpieczeństwa danych osobowych musi działać w cyklu Deminga. Tak naprawdę proces doskonalenia systemu nigdy się nie kończy, bo zmienia się organizacja i zmienia się otoczenie organizacji.
Każdy przedsiębiorca powinien sobie zadać parę pytań:
- Kiedy był u mnie ostatni raz przeprowadzony audyt systemu ochrony danych osobowych?
- Czy przeszkolono wszystkich pracowników? Kiedy mieli ostatnie szkolenie? Czy mam to potwierdzone na piśmie?
- Kiedy ostatnio aktualizowano dokumentację RODO? Czy pracownicy mają aktualne upoważnienia?
- Kiedy ostatnio wysłałeś na szkolenie inspektora danych osobowych? Kiedy ostatnio z nim rozmawiałeś? Kiedy dostałeś od niego ostatni raport/sprawozdanie?
Jeżeli odpowiedź choć na jedno pytanie brzmi „nie” lub „minął ponad rok” to radzę szybko poszukać pomocy eksperta.
Jeśli masz pytania, zapraszam do kontaktu.
Autor: Kancelaria Radcy Prawnego Paweł Ludwiczak, www.ludwiczak-radcaprawny.pl