RODO KRAKÓW

O RODO w czasie pandemii – rozmowa z gościem, mecenas Barbarą Sośnicką.

Basiu, w końcu rozmawiamy – planowałyśmy rozmowę o RODO od dłuższego czasu, ale obecna sytuacja trochę utrudniła nam realizację planów. I stąd, od razu moje pytanie: czy w dobie koronawirusa przedsiębiorcy w ogóle powinni sobie zawracać głowę RODO? Czy to nie czas na wdrożenia; czy uszczelnienia już istniejących zabezpieczeń z zakresu danych osobowych?

Ostatnio usłyszałam, że w dobie koronawirusa, kto by się tam przejmował RODO. Aktualna sytuacja nie zmieniła jednak przepisów prawa. RODO nadal obowiązuje. W tej kwestii nic się nie zmieniło. Każdy, kto przetwarza dane osób fizycznych i nie robi tego wyłącznie dla celów osobisto-domowych jest zobowiązany do przestrzegania przepisów z zakresu prawa ochrony danych osobowych.

W związku z obecną sytuacją wielu przedsiębiorców (i nie tylko, bo pamiętajmy, że żeby być zobowiązanym do wdrożenia RODO wcale nie trzeba być przedsiębiorcą) rozpoczyna lub kontynuuje przygodę z biznesem online. W świecie cyfrowym jesteśmy jeszcze bardziej widoczni, a zatem niedbałe podejście do tematu ochrony danych osobowych w sklepie czy portalu internetowym może się dla nas źle skończyć.

Każdy kto jeszcze nie uregulował tematu danych osobowych u siebie w firmie powinien niezwłocznie przystąpić do wdrożenia. A jeżeli firma działa teraz na mniejszą skalę albo rusza z działaniami w internecie – nie ma lepszej okazji.

W praktyce jednak wielu przedsiębiorców pewnie machnie ręką na RODO. Jak temu przeciwdziałać?

Nie chciałabym zaczynać od strachu przed karami. Te są niemałe, ale ja wolę inne podejście. Warto spojrzeć na RODO pod kątem korzyści dla przedsiębiorcy, a nie kar czy niepotrzebnych obowiązków.

Wdrożenie RODO w firmie może stać się elementem strategii biznesowej. Zwłaszcza, jeżeli jest się przedsiębiorcą widocznym w sieci. Można pokazać klientom, że się o nich dba a wdrażając system ochrony danych osobowych w firmie inwestuje także w ich przyszłość. Jeżeli teraz dany podmiot nie zadba o spełnienie wymagań RODO – może stracić nie tylko pieniądze (bo: kary, odszkodowania), ale również reputację, pozycję wśród swoich klientów.

Dobra rada zwłaszcza dla biznesów online: zbuduj relacje z klientami poprzez pokazanie, że wiesz, jak chronić ich dane i że będziesz w stanie wywiązać się z obowiązków nałożonych przez RODO.

Jak w prostych słowach tłumaczysz swoim Klientom, że wdrożenie RODO jest z ich perspektywy konieczne?

Pytam po prostu, czy „obracają” w firmie danymi osób fizycznych. Jeżeli tak (a umówmy się, że jest tak w 99,5 % przypadków), wskazuję, że w mniejszym lub większym stopniu są zobowiązani do spełnienia obowiązków wskazanych w RODO.

Moi klienci czasem nie są wpisani w CEIDG lub KRS. Zaczynają jednak przygodę z działalnością nierejestrowaną albo zbierają listę potencjalnych klientów poprzez zapis do newslettera. Nie robią tego w celach osobisto-domowych, a zatem pewne wymagania muszą spełnić.

Klienci często mówią mi – jestem małym przedsiębiorcą, nikt nie będzie mnie kontrolować, skoro więksi ode mnie zaniechali wdrożenia RODO. Czy tak jest rzeczywiście? Czy kojarzysz, aby kontrole dotykały także małych przedsiębiorców?

Nigdy nie możemy być pewni, że do nas organ nadzorczy, czyli Prezes Urzędu Ochrony Danych Osobowych, nie zapuka.

Wielkość podmiotu nie ma znaczenia w kontekście kontroli ze strony Prezesa UODO. Mniejsze podmioty także są kontrolowane.

Proszę pamiętać, że decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, organ zwraca uwagę na charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody, umyślny czy nieumyślny charakter naruszenia czy działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą. Na to wszystko ma z kolei wpływ stopień przygotowania firmy w zakresie ochrony danych osobowych.

Tutaj dodam, że warto na początku roku sprawdzić listę kontroli sektorowych zaplanowanych na dany rok przez Prezesa UODO. Będziemy wtedy wiedzieć, czy nasza branża może liczyć na szczególne „względy” nadzorcy.

Należy też pamiętać, że oprócz kontroli, możemy być także narażeni na ewentualne roszczenia osób fizycznych z tytułu naruszenia przepisów o ochronie danych osobowych.

Z doświadczenia: lepiej zapobiegać niż leczyć (zresztą profilaktyka jest mniej kosztowna niż proces leczenia).

Przypomnijmy także naszym czytelnikom z jakimi karami wiąże się brak wdrożenia RODO?

W zależności od tego, czego dotyczy naruszenie – w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa lub w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Kary robią wrażenie, w praktyce spotkałaś się już z przedsiębiorcą na którego zostały faktycznie nałożone? W jakiej wysokości?

W przypadku moich klientów nie. Inne kary np. nałożone na morele.net (2 830 410 zł) czy na Bisnode (943.470,00 zł) były szeroko komentowane w sieci.

W przypadku Bisnode wniesiona została skarga i WSA w Warszawie uchylił pkt 2 decyzji Prezesa UODO, który to punkt nakładał właśnie karę.

Klienci niechętnie wdrażają RODO, ponieważ (co jasne) wiąże się to z często nie małym kosztem usługi prawnej. Niezależnie w Internecie, aż roi się od ebooków, wzorców, itp. – jak oceniasz takie zbiorcze zestawy wzorców dla wszystkich lub stworzonych pod konkretną branże np. kosmetyczną czy fotograficzną?

Jeżeli przedsiębiorca ma czas, żeby zagłębić się w temat (i niestety uważam, że przeczytanie RODO ze zrozumieniem jest tutaj konieczne) to może spróbować wdrażać na własną rękę. Jednak, jeżeli ktoś dostaje wzór i nie za bardzo rozumie, kto może być odbiorcą danych, a kto podmiotem przetwarzającym to chyba nie tędy droga.

Trudno jest mi oceniać tego typu zbiorcze zestawy, bo żadnego nie kupiłam 😊

Sama posiadam w swojej ofercie wzory np. polityki prywatności dla sklepu czy portalu z komentarzami i szerokim omówieniem. Jeżeli indywidualna usługa jest dla kogoś za droga, wtedy proponuję ww. wzór. Nie jest to jednak idealne rozwiązanie.

Branża ma znaczenie w przypadku takich zestawów, biorąc pod uwagę ogólny obraz danych osobowych w firmie, ale salon kosmetyczny salonowi nierówny, także pod kątem kategorii zbieranych danych. Możemy mieć do czynienia np. z salonem, w którym wykonywane są jedynie zabiegi stylizacji paznokci i makijaże, a dane przetwarzane przez administratora to imię, nazwisko, nr tel., czasem adres e-mail. Z drugiej strony możemy podać przykład salonu, który wykonuje zabiegi wymagające pewnej wiedzy o zdrowiu klienta, a tutaj już wkraczamy na pole tzw. szczególnych kategorii danych. W takim przypadku właściciel salonu może już sobie nie poradzić.

Trafiają do mnie czasem osoby, które na początkowym etapie wdrażały pewne dokumenty same lub za pomocą wzorów (także tych płatnych). Większość z nich jest stworzona nieprawidłowo.

Czyli ważne będzie zawsze „zindywidualizowanie” pakietu RODO pod konkretną firmę?

W mojej ocenie jest to najlepsza opcja. I nie zawsze z tych najdroższych.

Podczas ostatnich prac nad wdrożeniem RODO u klienta z branży fitness byłam w szoku odwiedzając strony www niekiedy dużych siłowni i klubów fitness, czy też trenerów personalnych – mało kto miał jakiekolwiek informację dotyczące ochrony danych osobowych na stronach www. Brak było polityki prywatności, brak klauzuli przy formularzu kontaktowym. Myślałam, że dokumenty te powstają już jako standardowe i są niejako wklejane przez informatyków odpowiedzialnych za stworzenie strony www, a tu ZONK. Jak oceniasz polski Internet w zakresie „uzbrojenia” w RODO?

Cytując klasyka „w życiu bywa różnie kwadratowo i podłużnie” 😉. Często te wklejane przez informatyków formułki i zgody są właśnie źródłem największych błędów.

Właściciele sklepów internetowych uwielbiają np. zgody na przetwarzanie danych w związku z realizacją zamówienia. Problem polega na tym, że tutaj nie przetwarzamy danych na podstawie zgody, tylko umowy.

Myślę, że jest lepiej niż np. rok temu, ale minie jeszcze parę lat, zanim w Polsce zaczniemy podchodzić do ochrony danych z należytą uwagą. Tym bardziej, że u nas w zasadzie nie istnieje np. analiza ryzyka, inwentaryzacja danych, procesów. Mamy za to mnóstwo bezużytecznych papierków i procedur, których i tak w firmach nikt nie przestrzega.

Z mojego doświadczenia wynika, że Klienci często są przerażeni, gdy przesyłam im pakiet dokumentów dotyczących RODO, tego jest zawsze dość sporo – jak sobie radzisz, żeby przekonać Klienta, że nie takie wdrożenie straszne?

Wdrożenie RODO zaczynam zwykle od szkolenia. W większych podmiotach organizuję 2-3 godzinne szkolenie dla pracowników lub szefów działów. Omawiam RODO i inne przepisy, wytyczne – od podstaw. W mniejszych podmiotach podczas zbierania informacji tłumaczę o co chodzi i co jest tak naprawdę ważne. Tłumaczę też, że nie jestem fanem niektórych „papierków”, ale muszą zostać wdrożone z tego, czy innego powodu. Dopasowuję też pewne procedury do systemu organizacji w firmie. Nie lubię narzucać rozwiązań, które będą uciążliwe dla pracowników czy właścicieli firm.

Co jest według Ciebie absolutnym „must have” w każdej firmie jeśli chodzi o wdrożenie, a co można zrobić później lub można w ogóle odpuścić?

Inwentaryzacja danych, procesów przetwarzania w firmie i analiza ryzyka – to po pierwsze. Po drugie – obowiązek informacyjny. Po trzecie –  dokumenty tam, gdzie są potrzebne: umowy powierzenia i rejestr czynności przetwarzania. Chociaż… dla mnie wszystko jest ważne, robimy od A do Z i koniec 😀

Jak to jest z tym Inspektorem Ochrony Danych w małych firmach – kiedy jest absolutnie konieczny, a kiedy możemy sobie go odpuścić?

O tym, kiedy wyznaczenie IOD jest konieczne pisałam na blogu (tutaj bezpośredni LINK ), ale tak w skrócie.

Obowiązek wyznaczenia IOD powstaje w następujących przypadkach:

  1. przetwarzania dokonują organ lub podmiot publiczny,
  1. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  2. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

 A zatem nawet, jeżeli uważamy się za małą firmę, ale „podpadamy” pod jeden z ww. przypadków – musimy wyznaczyć IOD.

I na koniec – jak myślisz jak będzie z  RODO w przyszłości, czy stanie się to normalną procedurą przy prowadzeniu firmy, jak składanie sprawozdań finansowych co roku, czy klienci będą podchodzić do tego z coraz większą rezerwą minimalizując wdrożenia do klauzul dla pracowników i nowych klientów?

Rozwój technologii i gospodarki cyfrowej powodują, że dane osobowe są bardzo cenną walutą. Mam nadzieję, że nie będziemy prawa ochrony danych traktować po macoszemu. Warto pamiętać, że przy okazji wdrożenia RODO możemy zadbać także ochronę innych firmowych danych.

Bardzo dziękuję za rozmowę:)

mecenas Barbara Sośnicka –  radca prawny wpisany na listę Okręgowej Izby Radców Prawnych w Opolu, specjalistka z zakresu prawa ochrony danych osobowych oraz praw autorskiego i konsumenckiego, a także inspektor ochrony danych.