Odkąd Polska wdrożyła przepisy ogólnego rozporządzenia o ochronie danych osobowych (RODO) i ujednoliciła zasady zabezpieczania informacji umożliwiających zidentyfikowanie konkretnej osoby fizycznej, firmy mają obowiązek wdrażania odpowiednich procedur chroniących przetwarzane przez nie dane osobowe. Okazuje się, że w praktyce nie jest to proste i dla wielu przedsiębiorców stanowi duże wyzwanie. Jakie błędy najczęściej popełniają firmy?
Nieznajomość prawa
Problemem przedsiębiorców jest przede wszystkim brak wiedzy na temat przepisów dotyczących przetwarzania danych osobowych.
- Wbrew temu, że o RODO stało się głośno, nie ma powszechnej świadomości, jak należy stosować obowiązujące regulacje. W internecie funkcjonuje wiele niepoprawnych wzorów dokumentacji czy opinii osób, które wprowadzają w błąd lub powielają mity dotyczące ochrony danych osobowych. Jednym z głównych problemów jest też z pewnością brak łatwego przełożenia biznesowego wdrożenia RODO na potencjalny zysk firmy. W oczach wielu przedsiębiorców dostosowanie się do tego prawa stanowi koszt. Bywa więc, że wdrażanie procedur jest wiecznie odkładane na później – mówi Karol Kozieł, radca prawny z Kancelarii Prawa IP.
Problemy z dokumentacją
Według ekspertów, firmy podczas wdrażania RODO często mają problem ze stworzeniem prawidłowej dokumentacji. Dodatkowo wielu przedsiębiorców po prostu jej nie stosuje. Wdrożenie RODO ogranicza się w tych firmach wyłącznie do przygotowania polityk i regulaminów.
- Zwracał na to uwagę również prezes Urzędu Ochrony Danych Osobowych (UODO). W jednej z ostatnich decyzji nałożył on karę w wysokości prawie 1,5 mln zł na spółkę, która nie przestrzegała własnych procedur dotyczących bezpieczeństwa danych, przechowując je na dyskach sieciowych. Tymczasem, według przyjętych w firmie zasad, powinny być one chronione w specjalnym systemie – zwraca uwagę Karol Witas, prawnik z kancelarii The Heart Legal.
Jednym z błędów najczęściej popełnianych przez przedsiębiorców jest niedostosowywanie posiadanej dokumentacji do potrzeb firmy. Właściciele firm zapominają o tym, że każda firma jest inna i zachodzą w niej inne procesy, dlatego trudno porównywać potrzeby w zakresie RODO dużych korporacji z tymi, które mają mikro czy małe przedsiębiorstwa.
- W wielu przypadkach problemem jest to, że procedury nie są dostosowane do realiów w danym przedsiębiorstwie. Pracownicy często nie wiedzą, jak je zastosować lub nawet nie wiedzą o ich istnieniu. Zdecydowanie lepszą opcją niż gruby segregator opieczętowanych procedur, do którego dostęp mają nieliczne osoby - a z takimi sytuacjami zdarzyło mi się spotkać podczas audytów - są krótkie i proste wytyczne dostępne dla wszystkich zatrudnionych – uważa Karol Kozieł.
Właściciele firm zapominają też o tym, aby aktualizować posiadaną dokumentację. A to w ich interesie - jak podkreśla Karol Kozieł - leży monitoring zachodzących w firmie procesów i wprowadzanie zmian w dokumentach.
Z czym jeszcze nie radzą sobie przedsiębiorcy?
- Kolejnym problemem są klauzule informacyjne, które powinny być dostarczane właścicielom danych. Firmy często nie przekazują ich w wymaganym terminie lub publikują je w sposób, który nie może być uznany za skuteczne doręczenie – podkreśla Ewa Kurowska-Tober, partner z kancelarii DLA Piper.
Nie ta polityka
Warto dodać, że przedsiębiorcy mylą politykę ochrony danych osobowych (bezpieczeństwa danych osobowych) z polityką prywatności. Ta pierwsza jest dokumentem wewnętrznym firmy. Z kolei druga informuje użytkowników internetu o tym, jakie ich dane osobowe są zbierane i jak będą wykorzystywane. Dokument ten powinien zostać umieszczony na firmowej stronie online.
- Powszechnym błędem firm jest zastosowanie złych podstaw przetwarzania danych. Często uzyskują zgodę od osób, od których w ogóle nie powinna być w określonych okolicznościach zbierana. Zresztą bardzo często jej treść jest błędnie sformułowana - zbyt ogólna, nieprecyzyjna, a tym samym bardzo często nieważna - mówi Ewa Kurowska-Tober.
Jakie jeszcze są grzechy przedsiębiorców dotyczące procedur?
- Wymienić wśród nich można brak umiejętności uzupełniania rejestru czynności przetwarzania danych osobowych. Niejednokrotnie firmy nie zawierają również umów powierzenia przetwarzania danych osobowych w sytuacji, gdy jest to konieczne. Kolejnym błędem jest brak zgód pracowników na publikację ich wizerunku na stronie internetowej – mówi Marcin Staniszewski, radca prawny i partner kancelarii prawnej RPMS Staniszewski & Wspólnicy.
Brak szkoleń
Jak wynika ze sprawozdania z działalności Prezesa UODO za rok 2022 r., najczęstszym zgłaszanym do niego naruszeniem było udostępnienie danych osobowych niewłaściwej osobie.
- W większości przypadków wynikało to z błędu konkretnego pracownika. Dlatego tak istotne są szkolenia personelu, zarówno z zakresu przeciwdziałania naruszeniom i świadomości zasad przyjętych w firmie, jak i procedur, jakie należy zastosować, gdy dojdzie do wycieku danych lub innych nieprawidłowości. Tymczasem wiele firm traktuje je jako uciążliwy obowiązek, jednak długofalowo są one niezbędnym i efektywnym czynnikiem ograniczającym ryzyka firmy na gruncie RODO – podkreśla Karol Witas.
Przedsiębiorcy powinni wystrzegać się błędów, ponieważ - jak podkreśla Ewa Kurowska-Tober - konsekwencje naruszeń przepisów o ochronie danych osobowych są dotkliwe. To nie tylko straty wizerunkowe i ewentualne roszczenia na gruncie prawa cywilnego, ale również administracyjne kary pieniężne. Te ostatnie są wyjątkowo wysokie – mogą sięgać nawet 20 mln EUR.