źródło: Flickr.comCo musi zrobić firma aby być zgodna z przepisami UE RODO? Opinii w tym temacie jest tyle, ilu nagle wyrosło jak grzyby po deszczu specjalistów zajmujących się RODO. A co jeden to mądrzejszy od drugiego. Na podstawie nader licznych publikacji udało nam się skonsolidować czternaście zagadnień: przeprowadzić inwentaryzację zasobów informatycznych i informacyjnych, wykonać analizy ryzyka, wdrożyć dokumentację i procedury opisujące politykę ochrony danych, sporządzić rejestr czynności przetwarzania danych (pod karą do 10 mln euro za brak prowadzenia), wprowadzić metodologię i procedury naruszeniowe (zgłoszeń do organu), wdrożyć zabezpieczenia fizyczne i informatyczne, określić podstawy prawne na każdą kategorię danych, stosować minimalizację przetwarzanych danych, podjąć decyzję o powołaniu DPO – Data Protection Officer, spełnić obowiązek informacyjny, sprawdzić i zaktualizować umowy powierzenia przetwarzania danych, być przygotowanym na nowe uprawnienia osób, których dane są przetwarzane (kopia danych, przenoszenie danych, prawo do bycia zapomnianym), przeszkolić personel z ochrony danych i procedur UE RODO oraz monitorować i sprawdzać procedury.
Tyle wytycznych i rzeczy do zrobienia. Ale jak to zwykle w naszym kraju bywa, sprawa nie jest taka prosta, jakby się mogło wydawać. Gdzie kryje się drugie dno? Oto ciekawe publikacje na ten temat, które – mamy nadzieję – troszkę przybliżą Państwu to skomplikowane zagadnienie…
RODO – prawo dostosowane do wielkości przedsiębiorstwa (Aneta Gałka)
Zmiany w zakresie ochrony danych osobowych, które zaczną obowiązywać już za kilka dni, dotyczą wszystkich firm. Europejskie rozporządzenie o ochronie danych osobowych (RODO) w końcu zauważa małe, średnie oraz mikro-przedsiębiorstwa, które mogą liczyć na pewne ułatwienia w tym zakresie. Dzięki ewolucji prawnej, to po stronie przedstawicieli sektora MŚP będzie leżało dobranie odpowiednich środków, które zapewnią zgodne z prawem i bezpieczne przetwarzanie danych osobowych w ramach prowadzonej przez nich działalności gospodarczej. RODO narzuca administratorom danych jedynie cel, który ma zostać osiągnięty – w postaci zapewnienia odpowiedniego poziomu ochrony danych osobowych – a to, jak ten wymóg zostanie przez nich spełniony, w żaden sposób nie stanowi przedmiotu regulacji nowych przepisów.
Takie same wymagania wobec wszystkich
Dotychczasowe prawo nakładało takie same wymagania w zakresie ochrony danych osobowych zarówno na osoby fizyczne prowadzące działalność gospodarczą, jak i na duże międzynarodowe korporacje. Skutkowało to tym, że większość małych podmiotów tylko w znikomym stopniu stosowała się do przepisów, gdyż wymagało to dużych nakładów pracy i nierzadko także przeznaczenia na ten cel sporych środków finansowych.
– Doskonałym przykładem jest agent ubezpieczeniowy. Działa on jako osoba fizyczna, prowadząca jednoosobową działalność gospodarczą, ale zgodnie z dotychczas obowiązującymi przepisami musiał sam dla siebie przygotować politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych – mówi Agata Kłodzińska, specjalista ds. ochrony danych osobowych, ODO 24. – Dla jednej osoby było to nie lada wyzwanie – często nie do końca racjonalne. W ocenie unijnego ustawodawcy istotna jest ochrona sektora MŚP, który jest motorem polskiej gospodarki. Dlatego dokonuje jej poprzez nienakładanie zbędnych obciążeń regulacyjnych, nieproporcjonalnych do wielkości prowadzonych działalności – dodaje.
Ułatwienia dla MŚP
Rozporządzenie zmienia ten stan rzeczy: i tak, przykładowo, organizacje, które co prawda przetwarzają tzw. dane „wrażliwe”, ale nie robią tego na dużą skalę, nie będą musiały powoływać inspektora ochrony danych. Co więcej, rejestrowania czynności przetwarzania nie będą dokonywać podmioty, które zatrudniają mniej niż 250 osób i spełniają warunki określone w art. 30 ust. 5 Rozporządzenia, a grupa przedsiębiorstw będzie mogła powołać jednego inspektora ochrony danych osobowych – o ile będzie można z nim łatwo nawiązać kontakt z każdej jednostki organizacyjnej.
W preambule RODO, w motywie 13, podkreślono, że: aby zapewnić spójny poziom ochrony osób fizycznych w Unii oraz zapobiegać rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym, należy przyjąć rozporządzenie, które zagwarantuje podmiotom gospodarczym – w tym mikroprzedsiębiorcom oraz małym i średnim przedsiębiorstwom – pewność prawa i przejrzystość (…).
Każdy przedsiębiorca będzie zobowiązany do poinformowania osób, których dane dotyczą, m.in. o celu i podstawie prawnej ich przetwarzania. Ponadto pełne zastosowanie znajdzie art. 33 RODO. Firmy będą zobowiązane do poinformowania prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych, jeżeli powoduje ono ryzyko naruszenia praw lub wolności osób fizycznych.
– Obowiązki przedsiębiorców w zakresie ochrony danych osobowych będą zależeć od rodzaju i skali przetwarzania, a nie od formy organizacji. Dobrym kierunkiem jest też danie przedsiębiorcy dowolności w przedmiocie doboru odpowiednich środków, które zapewnią bezpieczne przetwarzanie danych osobowych w ramach prowadzonej przez niego działalności – podsumowuje Agata Kłodzińska.
5 niespodziewanych efektów RODO. Jest się czego obawiać? (Marcel Płoszczyński)
Od ratyfikacji rozporządzenia Unii Europejskiej o ochronie danych osobowych, miną w maju 24 miesiące. Z ich upływem nowe, kontrowersyjne prawo wejdzie w życie. Czy firmy faktycznie mają się czego obawiać? Część przedsiębiorców studzi emocje.
Dwa lata po wejściu na europejski rynek, Verve – właściciel nowatorskiej platformy mobilnego marketingu, postanowił wycofać ją ze Starego Kontynentu. Wszystko przez RODO. – Uznaliśmy, że środowisko regulacyjne nie sprzyja naszemu modelowi biznesowemu. Postanowiliśmy więc skupić się na wzmocnieniu naszej działalności na terenie Stanów Zjednoczonych – ogłosiła Julie Bernard, CMO w Verve. Tymczasem inni przedstawiciele branży podeszli do sprawy bardziej zachowawczo, zlecając audyty swoich usług, inwestując w specjalistyczne oprogramowanie i dostosowując wewnętrzne procedury do nowych przepisów. Czego możemy się po nich spodziewać? Przedstawiamy 5 nieoczywistych scenariuszy:
1. Słone kary? Niekoniecznie
Najwięcej obaw przedsiębiorców wywołują słone kary za niespełnienie wymagań RODO. Na Zachodzie przewiduje się, że w początkowym okresie obowiązywania RODO, instytucje odpowiedzialne za ochronę danych osobowych traktować będą uchybienia w implementacji nowych przepisów z przymrużeniem oka. Nie znaczy to, że wszystkie niedociągnięcia ujdą płazem. Niemniej, w pierwszych miesiącach raczej nie posypią się najwyższe grzywny, a te – warto przypomnieć – mogą być na tyle bolesne, że w skrajnych przypadkach prowadzenie dalszej działalności gospodarczej przez ukarany podmiot będzie niemożliwe. Maksymalna kara finansowa, o którą mogą się pokusić urzędnicy to 4% globalnego, rocznego obrotu przedsiębiorstwa lub 20 milionów euro w zależności od tego, która z tych wartości jest wyższa.
Firmy działające w Polsce mogą żywić nadzieję, że GIODO zachowa się jak jego brytyjski odpowiednik. – Sugestie, że będziemy chcieli zrobić przykład z organizacji, które dopuszczają się drobnych naruszeń lub, że maksymalne grzywny staną się normą, to nic innego, jak sianie paniki. Zawsze woleliśmy marchewkę od kija – przekonuje Information Commissioner's Office. Takie stanowisko wydaje się racjonalne, należy jednak wziąć poprawkę na to, że angielski aparat państwowy słynie z przyjaznego nastawienia do biznesu –zarówno firmy z sektora MŚP, jak i międzynarodowych korporacji. Polska tymczasem ma odwrotną renomę. – Zarówno prawo gospodarcze, w dużym stopniu będące spuścizną po poprzednim ustroju, jak i same urzędy, uważa się za raczej wrogo usposobione względem przedsiębiorców. Pozostaje nadzieja, że w przypadku RODO nasi urzędnicy zachowają się z klasą, a nowe przepisy nie staną się w ich rękach narzędziem do realizowania brudnych interesów –powiedział Krzysztof Bryzek, właściciel ATET, jednej z wiodących firm na polskim rynku tłumaczeń.
2. RODO narzędziem szantażu?
O tym, że cyberprzestępcy słyną z kreatywności wiadomo nie od dziś. Unijna dyrektywa sprzyja wyłudzeniom. Eksperci w dziedzinie cyberbezpieczeństwa przewidują, że crackerzy kraść będą gromadzone przez firmy dane osobowe, by następnie je szantażować. Wciąż nie wiadomo, jakie grzywny stojące na straży RODO instytucje przewidują za wyciek danych osobowych. Nie zmienia to faktu, że przestępcy mogą szacować możliwą wysokość kary i żądać stosunkowo niższego okupu. Z pewnością nie zabraknie przedsiębiorstw, które zapłacą, byle tylko zamieść sprawę pod dywan.
3. Incydenty z pechowym dostawcą
RODO dla firm to przede wszystkim zmiany. Jedna z największych dotyczy sposobu zarządzania zewnętrznymi dostawcami i partnerami. Nowe prawo odpowiedzialnością za ewentualne naruszenia obarcza zarówno podmiot kontrolujący dane, jak i odpowiedzialny za ich przechowywanie. Innymi słowy, w razie problemu, gromy posypią się jednocześnie na dostawcę chmury obliczeniowej i firmę z niej korzystającą, a to tylko wierzchołek góry lodowej. Łańcuchy dostaw we współczesnych organizacjach są złożonymi sieciami współzależności. Zmapowanie ich i zabezpieczenie to często arcytrudne zadanie. Co zrobić, by zabezpieczyć się przed konsekwencjami płynącymi z uchybień po stronie dostawcy? Zdaniem Piotra Rojka z DSR, firmy dostarczającej zaawansowane rozwiązania IT dla przemysłu, rozwiązanie jest dość proste, a zarazem wymagające od przedsiębiorstw wprowadzenia radykalnych i kosztownych zmian.
– Rozwój chmury obliczeniowej sprawił, że oprogramowanie w modelu SaaS cieszy się dziś ogromną popularnością. Dotychczas głównymi kryteriami doboru dostawcy były cena i bezpieczeństwo. Dla rozwiązań przetwarzających dane klientów, w tym m.in. systemów CRM, takie wytyczne są już niewystarczające. By uniknąć problemów należy dopilnować, by zewnętrzna infrastruktura, z której korzysta oprogramowanie, nie znajdowała się w kraju będącym poza Unią Europejską, gdzie prawo ochrony danych jest znacznie lżejsze. Powinniśmy dążyć do tego, by nasi kontrahenci i dostawcy podlegali tym samym regulacjom – wyjaśnia Rojek.
4. Niebezpieczeństwo półprawdy
Nick Ismail, dziennikarz portalu Information Aga, zwraca uwagę, że pomimo wysokich kar oraz widma utraty reputacji i płynności w świadczeniu usług, nie wszystkie firmy zdecydują się na pełną synchronizację z nowymi przepisami. Niektóre dołożą wszelkich starań, by ukryć to, że świadomie łamią prawo. Na taki stan rzeczy może mieć wpływ zdefiniowana przez przepisy rola DPO (Data Protection Officer), niezależnego eksperta ds. zgodności działającego wewnątrz organizacji. To prosta droga do powstania kultury „my kontra oni”, będącej doskonałym środowiskiem do tuszowania wykroczeń. Na dłuższą metę prowadzenie takiej polityki z pewnością ściągnie na firmę tragiczne konsekwencje. Z drugiej strony możemy spodziewać się sytuacji, w których przedsiębiorstwa nie będą przedstawiać całej prawdy o incydentach i to nie z powodu złej woli, lecz z braku wystarczających informacji i narzędzi stanowiących kontrolę nad przetwarzanymi danymi osobowymi. Dlatego monitoring sieci, zaawansowane narzędzia do wykrywania naruszeń oraz plany reagowania na sytuacje kryzysowe są niezbędne do właściwego funkcjonowania organizacji w dobie RODO.
Warto tu dodać, że według regulacji unijnej, gdy dojdzie do kradzieży danych, podmiot nimi zarządzający ma 72 godziny na zgłoszenie incydentu odpowiednim organom. Większy wgląd w przepływ danych jest więc koniecznością. – Problem w tym, że z racji na ogrom rozlokowanych w różnych źródłach cyfrowych informacji będących w posiadaniu firm i organizacji, ręczny nadzór nad danymi i filtrowanie ich pod kątem tego czy zawierają dane personalne czy nie jest niemal niemożliwy. Oczywiście można podjąć się jego próby, ale z pewnością będzie ona bardzo kosztowna i wymagająca zaangażowania dużych zasobów ludzkich. Alternatywą może być „zatrudnienie” wirtualnego doradcy Data Protection Officera, w postaci inteligentnego narzędzia skanującego cały cyfrowy dobytek firmy i rozumiejącego kontekst w jakim zastosowano poszczególne frazy, precyzyjnie wychwytując rekordy zawierające personalia. Zarówno w dokumentach, skanach i mailach, jak i plikach audio czy graficznych –tłumaczy Jacek Grzyb z teamLeaders, firmy dostarczającej rozwiązania kognitywne.
5. RODO to dopiero początek
W cyfrowej gospodarce dane odgrywają główną rolę. Niektórzy nazywają je nową ropą, inni – nową ziemią. Nie ulega wątpliwości, że są one wartościowym towarem, o który firmy biją się nieustannie. Tymczasem rynek danych uległ centralizacji, a korzyści z ich monetyzacji czerpią przede wszystkim najwięksi gracze. Taki stan rzeczy na całym świecie budzi coraz większy sprzeciw. Bardziej świadoma część społeczeństwa domaga się większej kontroli nad własnymi danymi oraz udziału w zyskach z ich monetyzacji. Pod tymi postulatami podpisuje się coraz prężniej działający ruch #OwnYourData, skupiony wokół środowisk blockchainowych. Trwają również intensywne prace nad rozwojem technologii mających odmienić sposób wymiany danych w internecie.
– Mamy tu do czynienia z gigantycznym rynkiem, na którym to my, zwyczajni ludzie, jesteśmy towarem. Tak być nie powinno. Dane są walutą cyfrowej gospodarki, od tego nie uciekniemy, jednak ta waluta może pracować na naszą korzyść. Pozbawiając firmy zdolności do samowolnej monetyzacji wprowadzamy porządek do internetu. Dzika monetyzacja danych, z którą boryka się współczesny internet, to przede wszystkim problem natury technologicznej i nie można rozwiązać go inaczej, niż za pomocą technologii – mówi Krzysztof Gagacki, twórca IOVO. Opracowana przez niego uniwersalna, zdecentralizowana baza danych, oparta o nowej generacji blockchain, umożliwia internautom bezpieczne gromadzenie cyfrowych informacji oraz ich dobrowolną monetyzację. Po wejściu w życie RODO, rozwiązania decentralizujące rynek danych zyskiwać będą na popularności. Niektórzy futuryści przewidują, że w przyszłości, za ich sprawą, internauci będą w stanie generować bezwarunkowy dochód podstawowy.
Kto zarobi na RODO, a kto poniesie koszty? (Karina Knyż-Grzywa)
Nawet kilkadziesiąt tysięcy złotych muszą wydać agencje pracy tymczasowej, żeby przystosować się do RODO, ale dostosować musi się każdy przedsiębiorca. Największe koszty poniosą te firmy, które przetwarzają duże ilości danych osobowych. Muszą one do 25 maja wprowadzić zmiany w dokumentacji, oprogramowaniu i zabezpieczeniu danych oraz przeszkolić ludzi.
Skala zmian, które firmy muszą wprowadzić, żeby nowy system administrowania i ochrony danych osobowych był zgodny z wykładnią prawa RODO, które zacznie obowiązywać 25 maja, jest ogromna. Szczególnie dużo pracy i wydatków czeka agencje pracy, które muszą zdobyć interpretacje ustawy, zmienić umowy z pracownikami, klauzulę o ochronie danych osobowych w publikowanych ogłoszeniach, zabezpieczyć dane i przeszkolić swoją kadrę. Każdy z tych aspektów wiąże się z kosztami dla około 7 tysięcy agencji (szacunkowa liczba agencji na polskim rynku).
– Wydatki, jakie agencje muszą ponieść na dostosowanie się do rozporządzenia RODO są adekwatne do ich rozmiarów. Małe będą musiały wydać kilka, duże nawet kilkadziesiąt tysięcy złotych – mówi Michał Podulski, wiceprezes Stowarzyszenia Agencji Zatrudnienia (SAZ), największej tego typu organizacji branżowej w Polsce, która zrzesza 65 firm i przewodniczący Sekcji Agencji Pracy Tymczasowej (SAPT).
W cenie prawnik i szkoleniowiec
Aby działać legalnie, agencje pracy tymczasowej muszą przede wszystkim zmienić umowy z klientami. Nie ma jednak uniwersalnego klucza, według którego trzeba to zrobić. W dodatku ustawa o ochronie danych osobowych, która jest wykładnią prawa polskiego, jest sprzeczna z niektórymi zapisami rozporządzenia RODO. Z tego powodu agencje muszą na bieżąco konsultować się z kancelariami prawnymi. Większość z nich musi przeznaczyć na to co najmniej po kilka tysięcy zł. – Niestabilne prawo, które wciąż się zmienia, wymaga od nas ciągłej czujności. Przegapienie jakiegoś ważnego, nowego zapisu może oznaczać dla agencji problemy i kary finansowe – mówi Michał Podulski.
Przykładem takiej zawiłości prawnej jest sposób przekazywania danych kandydata do pracy tymczasowej. Agencja, kierując się obowiązkiem wynikającym z ustawy, przed podpisaniem umowy z danym człowiekiem musi sprawdzić, czy był on już zatrudniony u danego pracodawcy – użytkownika przez inną agencję. Tym samym, musi podać jeszcze przed zatrudnieniem jego dane osobowe do potencjalnego pracodawcy, co z punktu widzenia RODO jest niezgodne z prawem. Agencje i prawnicy czekają na interpretacje tego typu niejasności z Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji. – Na spotkaniach z politykami usłyszeliśmy, że mamy respektować swoją ustawę, a dopiero później przepisy unijne i tego będziemy się trzymać. Inaczej moglibyśmy zamknąć działalność albo zacząć liczyć, która grzywna będzie niższa – mówi Michał Podulski.
Zawiłości RODO spowodowały też prawdziwy wysyp kursów i szkoleń na ten temat. Korzystają z nich głównie administratorzy danych osobowych i kadra kierownicza, ale niektóre agencje chcą, aby większość ich pracowników miała rozeznanie w RODO. W zależności od potrzeb i wielkości, firmy muszą więc wydać na szkolenia od kilku do kilkunastu tysięcy złotych.
Meble pod RODO
Dużo pracy w związku z RODO mają też firmy specjalizujące się w wyposażeniu biur. Przepisy zakładają bowiem, że przechowywane w agencjach dokumenty muszą być umieszczone w zamykanych szafkach i pomieszczeniach. Dotychczas prawo nie wymagało zamykania dokumentów. Większość agencji poniesie więc koszty na dostosowanie pomieszczeń biur do ich przechowywania w wysokości od kilku do nawet kilkuset tysięcy złotych. – Domyślam się, że w razie ewentualnej kontroli, pierwszym co kontroler będzie chciał zobaczyć będą dokumenty i sposób ich przechowywania. Czy szafki i pomieszczenia, w których są przechowywane są zamykane oraz czy w dokumentach są odpowiednie klauzule podpisane przez pracowników – mówi Leszek Zieliński, prezes Job Solutions i przewodniczący Sekcji Pracodawców Użytkowników SAZ.
Serwer zgodny z prawem
RODO to także ogromne wyzwanie informatyczne. Na rynku pojawiają się więc programy ułatwiające organizowanie pracy zgodnie z nowymi zapisami. Takie, jak np. program do ewidencji pracowników tymczasowych przez pracodawcę użytkownika Jobel Pro, opracowany przez Job Solutions. Minimalizuje on ilość zbieranych informacji i w jednym miejscu lokuje wszystkie dane pracowników tymczasowych, które potem są łatwo dostępne dla wszystkich agencji. – Dane są bezpieczniejsze, bo nie są w żaden sposób pobierane, przenoszone i przesyłane mailem w plikach excel, a wiadomo, że tutaj najłatwiej o błąd ludzki – mówi Leszek Zieliński. – Takim błędem, który może się łatwo zdarzyć, jest wysłanie maila z listą otwartą adresatów, zamiast zamkniętą – mówi Katarzyna Ziółkowska, radca prawny kancelarii C&C Chakowski&Ciszek.
O bezpieczeństwie danych zgromadzonych w programie decyduje jakość użytego serwera, jak i szyfrowanie na etapie ich przesyłania do programu. Po upływie 36 miesięcy, czyli dozwolonym przez RODO okresie przechowywania, dane są automatycznie usuwane. Stworzenie odpowiednich programów, zabezpieczenie komputerów hasłami, zadbanie o serwery to praca dla specjalistów IT – informatyków i programistów. Agencje zapłacą im za pomoc kilka do kilkunastu tysięcy złotych.