Nie należy bać się nadchodzącej reformy ochrony danych osobowych — uspokaja przedsiębiorców kierownictwo Ministerstwa Cyfryzacji (MC), które w tym tygodniu zintensyfikowało na swojej stronie internetowej kampanię informacyjną na ten temat. Zmiany, wynikające z unijnego rozporządzenia (RODO), zaczną obowiązywać od 25 maja.
— Trzeba się do RODO przygotować, ale nie można dać się zwariować — podkreśla Marek Zagórski, minister cyfryzacji.
Oferty jak szantaż
Szef resortu cyfryzacji powtórzył tę myśl podczas czwartkowego wspólnego posiedzenia sejmowych komisji administracji i spraw wewnętrznych oraz sprawiedliwości i praw człowieka, pracujących nad nową ustawą o ochronie danych osobowych, dostosowującą do wymagań RODO m.in. działanie polskiego organu nadzoru. Marek Zagórski przyznał, że nie ma dla nikogo gotowego pomysłu na wdrożenie w firmie wymagań zgodnych z reformą i nie można na rynku kupić takiego pakietu, ale też nie odradzał korzystania z pomocy profesjonalnych doradców, jeśli ktoś ma taką potrzebę. Potwierdził zarazem — na pytanie jednego z posłów — że im bliżej terminu obowiązywania RODO, tym więcej płynie do ministerstwa sygnałów o próbach wyłudzania od firm pieniędzy przez nieuczciwe czy wręcz fałszywe podmioty, oferujące usługi przygotowania do zmian pod grożbą kary.
— Są przypadki nawet szantażu, straszenia odpowiedzialnością, jeśli przedsiębiorca nie wykupi proponowanej usługi — powiedział minister.
Im bliżej 25 maja, tym więcej tego rodzaju niepokojących działań jest zgłaszanych również do biura Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Z tych zgłoszeń wynika, że część ofert nieuczciwych podmiotów wprowadza adresatów w błąd, np. gdy nakłaniają do skorzystania z pomocy czy wsparcia, bez którego — jak podkreślają — przedsiębiorcy narażają się m.in. na wysokie kary finansowe.
— Wokół RODO narosło wiele mitów, a jednym z nich są ogromne kary finansowe, którymi straszy się wszystkich zobo wiązanych do dostosowania się do nowych przepisów. Na wielu administratorów padł blady strach. Zupełnie niepotrzebnie — mówi dr Edyta Bielak-Jomaa, generalny inspektor.
Jak wyjaśnia, unijne rozporządzenie jest aktem prawnym jak wiele innych, choć może napisanym trudnym językiem — i pozostawiającym administratorom dość dużą samodzielność.
— I to jest największe wyzwanie, z którym trzeba sobie poradzić. Tego nowego podejścia, opartego na samodzielnej analizie prowadzonych procesów przetwarzania danych, trzeba się nauczyć. Zasady ochrony danych osobowych obowiązują bowiem od ponad 20 lat, a RODO nie zmienia ich w sposób istotny — podkreśla GIODO.
Kosztowna niewiedza
Dr Edyta Bielak-Jomaa zwraca uwagę, że właśnie niewiedzę w tych sprawach wykorzystują firmy oferujące różnego rodzaju produkty i usługi, nie zawsze dobrej jakości, ale też oszuści, którzy szantażem chcą wyłudzić pieniądze.
— Administratorów otrzymujących różnego rodzaju oferty, w których straszy się ich rozmaitymi, wynikającymi z RODO konsekwencjami, przed którymi może uchronić np. szkolenie, certyfikat lub audyt, przestrzegam przed bezrefleksyjnym korzystaniem z nich. Wyjątkową ostrożność należy zachować, gdy podmiot proponujący pomoc jednocześnie grozi bądź straszy jakimiś, niekiedy bezpodstawnymi, sankcjami, co może być odczytywane jako próba wymuszenia skorzystania z oferty. Radzę dokładnie analizować otrzymane informacje i nie podejmować decyzji pochopnie, pod wpływem emocji — podpowiada dr Edyta Bielak-Jomaa.
Nie twierdzi, że wszystkie oferowane usługi są niskiej jakości lub stanowią próbę wyłudzenia pieniędzy czy oszustwo. Jej zdaniem warto jednak zastanowić się, czy przedsiębiorca może osiągnąć zgodność z nowymi przepisami, bez korzystania ze wsparcia zewnętrznego.
— Nikt lepiej od niego nie zna szczegółów związanych z tym, na jakie potrzeby i w jaki sposób przetwarza dane osobowe, jakie wiążą się z tym zagrożenia dla praw i wolności osób, a, w konsekwencji, jakie zabezpieczenia powinnien zastosować. Przed emocjonalnym skorzystaniem z różnego rodzaju ofert przestrzegam zwłaszcza podmioty, które dopiero teraz uświadamiają sobie, że są administratorami danych i muszą przestrzegać określonych zasad. To takie firmy i instytucje, ze względu na niską świadomość ciążących na nich obowiązków, są szczególnie narażone na różnego rodzaju wyłudzenia czy próby oszustwa — mówi generalny inspektor.
GIODO przypomina, że żadne szkolenia czy warsztaty nie są obowiązkowe, a udział w nich nie gwarantuje osiągnięcia zgodności działań firmy z RODO, jeżeli nie przeprowadzi ona solidnej inwentaryzacji czynności przetwarzania danych i samodzielnie nie oceni ich zgodności z reformą. Również minister Marek Zagórski zwraca uwagę, że na RODO nie ma gotowego „lekarstwa”.
Weź udział w konferencji "RODO po 25 maja 2018", 6-7 czerwca 2018 r., Warszawa >>