RODO srodo czyli jak podejść do nowych przepisów i nie zwariować

W maju 2018 nastapiło trzęsienie ziemi – w życie weszło RODO. Wszyscy przedsiębiorcy i klienci raptem dowiedzieli się, że dane osobowe należy chronić a za brak ochrony grożą ogromne kary.

Absurd zaczął gonić absurd. W przedszkolach zginęły nazwiska dzieci, w szkołach pojawiły się pomysły numerowania uczniów a w przychodniach… tutaj lepiej już nawet nie wspominać.

Czym tak naprawdę jest to RODO?

Całe to RODO, czyli ogólne rozporządzenie o ochronie danych, inaczej rozporządzenie o ochronie danych osobowych, RODO (ang. General Data Protection Regulation, GDPR) to rozporządzenie unijne, zawierające przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych. Rozporządzenie to zostało przyjęte 27 kwietnia 2016 (a więc ponad dwa lata wcześniej). W momencie wejścia w życie (od 25 maja 2018), po dwuletnim okresie przejściowym, zaczęło obowiązywać w krajach członkowskich UE bezpośrednio, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego.

Nie są to regulacje które pojawiły się w naszym życiu nagle. Mało kto o tym mówi i wie, ale przepisy regulujące ochronę danych osobowych zostały wprowadzone w Polsce już w 1997 roku i od czego czasu, teoretycznie, dane osobowe powinny być chronione.

Jak było w praktyce wiemy wszyscy bardzo dobrze. Przed hucznym wejściem RODO, praktycznie nikt nie zawracał sobie głowy ochroną danych osobowych.

Jak należy podejść do RODO?

Wejście w życie RODO to niewątpliwie komplikacja dla wielu firm. Nie można stać się jednak zakładnikiem jednego rozporządzenia i podporządkować mu całej działalności firmy (tak jak to najchętniej widziałoby wielu specjalistów od ROD).

Żeby dobrze wdrożyć RODO w firmie należy pamiętać o następujących kwestiach:

Po pierwsze…

Zachować zdrowy rozsądek.

RODO to przepisy regulujące jeden z aspektów życia. Nie można jednak spowodować, że firma zostanie sparaliżowana przez przepisy. Nie można doprowadzić do sytuacji, kiedy firma będzie tracić klientów bo “RODO”.  
Przepisy zawarte w RODO są tak ogólne, że wystarczy doza dobrej woli i chęć ”pro firmowej” interpretacji ze strony osoby wdrażającej ochronę danych osobowych, że nowe regulacje nie będą żadnym problem w działaniu firmy.

Po drugie…

Stosować się podstawowych przesłanek związanych z przetwarzaniem danych osobowych.

Wg przepisów zawartych w RODO, firma przetwarzające dane osobowe ma obowiązek wykazania, że zgoda na przetwarzanie została udzielona. Zgoda musi być:

  • dobrowolna,
  • konkretna,
  • specyficzna (zgoda jest ważna jeśli jest udzielona na konkretne użycie danych),
  • świadoma (a zatem wymagana jest przejrzystość),
  • wycofanie jej powinno być łatwe (użytkownik powinien mieć sposób sygnalizowania chęci wycofania zgody).

Po trzecie…

Zadbać o spełnienie obowiązku informacyjnego.

Każda firma przetwarzająca dane osobowe powinna spełnić minimalne wymogi związane z informacją. W miejscach w których firma ma styk z klientem należy umieścić następujące informacje:

  • tożsamość administratora/kontrolera danych,
  • cele każdej operacji przetwarzania,
  • typy pozyskiwanych i używanych danych, możliwość wycofania zgody,
  • informacja o ewentualnie podejmowanych automatycznie decyzjach,
  • informacja o ewentualnym przesyłaniu danych do krajów trzecich.

Po czwarte…

Nie dać się złapać na groźby i kary.

Wszystkie podawane kwoty grzywien czy odpowiedzialności karnej publikowane jako straszaki, to maksymalne pułapy stosowane dla największych korporacji i największych “wycieków danych”. W przypadku małych i średnich firm kontrole GIODO przebiegają w bardzo miły i profesjonalny sposób a wszelkie uchybienia przedstawiane są jako elementy “do poprawy”.
W przypadku małych i średnich firm, kary nakładane są niezmiernie rzadko.

Po piąte…

Zadbać o sprzęt komputerowy.

Niestety, przypadłością wielu firm jest to, że sprzęt firmowy traktowany jest jako prywatny. Co gorsze, nikt nie zastanawia się nad “higieną” bardzo mało odpornego na wirusy Windowsa.

W przypadku komputerów na których przetwarzane są dane osobowe, aktualny i komercyjny program antywirusowy oraz specjalne konto użytkownika bez uprawnień administratora to podstawa. Do tego silne hasło a w przypadku laptopów, szyfrowanie dysku.

Po szóste…

Przygotować procedury i przeszkolić pracowników.

RODO nie reguluje dokładnie jakie procedury powinna wprowadzić firma. Należy jednak mieć świadomość, że jasne i klarowne procedury przetwarzania danych osobowych bardzo ułatwiają postępowanie z danymi. Dodatkowo, dobrze przygotowana “papierologia” to duży atut w czasie kontroli GIODO.

Należy jednak pamiętać, że “gotowce” sprzedawane w internecie prawie nigdy nie pokrywają się ze stanem faktycznym w firmie.


Rafał Skarżyński

Rafał Skarżyński
Prezes Zarządu agencji DO IT crew sp. z o. o. zajmującej się działaniami marketingowymi w internecie, w której odpowiada za wdrażanie strategii e-marketingowych dla klientów. Ekspert SEO / SEM / SMM, certyfikowany specjalista Google Adwords i Google Analytics, konsultant, trener.

 

You may like