W maju 2018 nastapiło trzęsienie ziemi – w życie weszło RODO. Wszyscy przedsiębiorcy i klienci raptem dowiedzieli się, że dane osobowe należy chronić a za brak ochrony grożą ogromne kary.
Absurd zaczął gonić absurd. W przedszkolach zginęły nazwiska dzieci, w szkołach pojawiły się pomysły numerowania uczniów a w przychodniach… tutaj lepiej już nawet nie wspominać.
Czym tak naprawdę jest to RODO?
Całe to RODO, czyli ogólne rozporządzenie o ochronie danych, inaczej rozporządzenie o ochronie danych osobowych, RODO (ang. General Data Protection Regulation, GDPR) to rozporządzenie unijne, zawierające przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych. Rozporządzenie to zostało przyjęte 27 kwietnia 2016 (a więc ponad dwa lata wcześniej). W momencie wejścia w życie (od 25 maja 2018), po dwuletnim okresie przejściowym, zaczęło obowiązywać w krajach członkowskich UE bezpośrednio, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego.
Nie są to regulacje które pojawiły się w naszym życiu nagle. Mało kto o tym mówi i wie, ale przepisy regulujące ochronę danych osobowych zostały wprowadzone w Polsce już w 1997 roku i od czego czasu, teoretycznie, dane osobowe powinny być chronione.
Jak było w praktyce wiemy wszyscy bardzo dobrze. Przed hucznym wejściem RODO, praktycznie nikt nie zawracał sobie głowy ochroną danych osobowych.
Jak należy podejść do RODO?
Wejście w życie RODO to niewątpliwie komplikacja dla wielu firm. Nie można stać się jednak zakładnikiem jednego rozporządzenia i podporządkować mu całej działalności firmy (tak jak to najchętniej widziałoby wielu specjalistów od ROD).
Żeby dobrze wdrożyć RODO w firmie należy pamiętać o następujących kwestiach:
Po pierwsze…
Zachować zdrowy rozsądek.
RODO to przepisy regulujące jeden z aspektów życia. Nie można jednak spowodować, że firma zostanie sparaliżowana przez przepisy. Nie można doprowadzić do sytuacji, kiedy firma będzie tracić klientów bo “RODO”.
Przepisy zawarte w RODO są tak ogólne, że wystarczy doza dobrej woli i chęć ”pro firmowej” interpretacji ze strony osoby wdrażającej ochronę danych osobowych, że nowe regulacje nie będą żadnym problem w działaniu firmy.
Po drugie…
Stosować się podstawowych przesłanek związanych z przetwarzaniem danych osobowych.
Wg przepisów zawartych w RODO, firma przetwarzające dane osobowe ma obowiązek wykazania, że zgoda na przetwarzanie została udzielona. Zgoda musi być:
- dobrowolna,
- konkretna,
- specyficzna (zgoda jest ważna jeśli jest udzielona na konkretne użycie danych),
- świadoma (a zatem wymagana jest przejrzystość),
- wycofanie jej powinno być łatwe (użytkownik powinien mieć sposób sygnalizowania chęci wycofania zgody).
Po trzecie…
Zadbać o spełnienie obowiązku informacyjnego.
Każda firma przetwarzająca dane osobowe powinna spełnić minimalne wymogi związane z informacją. W miejscach w których firma ma styk z klientem należy umieścić następujące informacje:
- tożsamość administratora/kontrolera danych,
- cele każdej operacji przetwarzania,
- typy pozyskiwanych i używanych danych, możliwość wycofania zgody,
- informacja o ewentualnie podejmowanych automatycznie decyzjach,
- informacja o ewentualnym przesyłaniu danych do krajów trzecich.
Po czwarte…
Nie dać się złapać na groźby i kary.
Wszystkie podawane kwoty grzywien czy odpowiedzialności karnej publikowane jako straszaki, to maksymalne pułapy stosowane dla największych korporacji i największych “wycieków danych”. W przypadku małych i średnich firm kontrole GIODO przebiegają w bardzo miły i profesjonalny sposób a wszelkie uchybienia przedstawiane są jako elementy “do poprawy”.
W przypadku małych i średnich firm, kary nakładane są niezmiernie rzadko.
Po piąte…
Zadbać o sprzęt komputerowy.
Niestety, przypadłością wielu firm jest to, że sprzęt firmowy traktowany jest jako prywatny. Co gorsze, nikt nie zastanawia się nad “higieną” bardzo mało odpornego na wirusy Windowsa.
W przypadku komputerów na których przetwarzane są dane osobowe, aktualny i komercyjny program antywirusowy oraz specjalne konto użytkownika bez uprawnień administratora to podstawa. Do tego silne hasło a w przypadku laptopów, szyfrowanie dysku.
Po szóste…
Przygotować procedury i przeszkolić pracowników.
RODO nie reguluje dokładnie jakie procedury powinna wprowadzić firma. Należy jednak mieć świadomość, że jasne i klarowne procedury przetwarzania danych osobowych bardzo ułatwiają postępowanie z danymi. Dodatkowo, dobrze przygotowana “papierologia” to duży atut w czasie kontroli GIODO.
Należy jednak pamiętać, że “gotowce” sprzedawane w internecie prawie nigdy nie pokrywają się ze stanem faktycznym w firmie.
Rafał Skarżyński
Prezes Zarządu agencji DO IT crew sp. z o. o. zajmującej się działaniami marketingowymi w internecie, w której odpowiada za wdrażanie strategii e-marketingowych dla klientów. Ekspert SEO / SEM / SMM, certyfikowany specjalista Google Adwords i Google Analytics, konsultant, trener.