Nowe przepisy dotyczące ochrony danych osobowych zaczną obowiązywać już od 25 maja tego roku. Przygotowanie się do RODO oznacza dla niewielkich firm koszty i bardzo wiele kwestii do rozstrzygnięcia. Dodatkowo interpretacja wszystkich przepisów nie jest klarowna.

RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zacznie obowiązywać 25 maja. Zastąpi ono obecną ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych.

- Pod rządami ustawy o ochronie danych osobowych z 1997 r. wszyscy administratorzy danych osobowych mieli dokładnie takie same obowiązki bez względu na wielkość podmiotu czy skalę działania. Zgodnie z RODO to administrator wdraża odpowiednie środki techniczne i organizacyjne tak, aby przetwarzanie danych było zgodne z wymaganiami rozporządzenia i aby móc to wykazać. Każdy administrator danych musi przy tym wziąć pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Trzeba zatem wykonać podstawową analizę ryzyka (zidentyfikować, jakie zagrożenia istnieją w danej firmie pod kątem wycieku czy innego naruszenia danych osobowych) i dostosować środki bezpieczeństwa pod własną firmę - tłumaczy mecenas Barbara Sośnicka.

RODO: Jaka powinna być zgoda na przetwarzanie danych osobowych? >>>

- Zupełnie inaczej wdrożenie RODO będzie wyglądało u osoby fizycznej wpisanej do CEIDG, która nie zatrudnia pracowników i jest właścicielem niewielkiego sklepu internetowego, a inaczej w dużej przychodni stomatologicznej. W pierwszej kolejności administrator musi wiedzieć, z jakimi danymi osób fizycznych ma do czynienia, gdzie one się znajdują, komu są powierzane, kto ma do nich dostęp w firmie, czy te dane są odpowiednio zabezpieczone (np. czy korzystamy z legalnych, bezpiecznych programów czy aplikacji), na jakiej podstawie dane przetwarzamy. Należy też zastanowić się, czy wszystkie dane, które gromadzimy są nam w ogóle potrzebne oraz określić okres przechowywania danych. - dodaje Sośnicka.

RODO: Co dają certyfikaty i czy bez nich też można bez obaw administrować danymi >>>

Dane osobowe według RODO muszą być (art. 5 rozporządzenia):

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

- RODO w zasadzie nie wymaga prowadzenia specjalnej dokumentacji. W określonych przypadkach wymagane jest prowadzenie rejestru czynności przetwarzania oraz wprowadzenie odpowiednich polityk ochrony danych (tutaj jednak administrator decyduje, co jest mu potrzebne do bezpiecznego funkcjonowania). Każdy administrator powinien udowodnić, że spełnia wszystkie wymagania RODO, a zatem nie zawsze dobrym rozwiązaniem będzie rezygnacja z jakichkolwiek dokumentów. Ważnym elementem jest podpisanie umowy powierzenia danych osobowych z procesorami - podmiotami przetwarzającymi dane osobowe w imieniu administratora, np. z biurem rachunkowym, dostawcą oprogramowania oraz spełnienie obowiązku informacyjnego wobec osób, których dane przetwarzamy (informacje, jakie należy podać opisane są w art. 13 RODO). - mówi Barbara Sośnicka.

Sejm uchwalił ustawę o ochronie danych osobowych. Przepisy dostosowują polskie prawo do RODO >>>

Sprzeczne interpretacje przepisów

Z jakimi problemami w przygotowaniu się do wymagań RODO zmagają się małe firmy?

- Podstawowym problemem dla firm jest brak polskich przepisów, co powoduje, że nikt nie jest pewien, co dokładnie powinien zrobić. RODO wymusza de facto ponoszenie kosztów na każdej firmie. Dość często można spotkać sprzeczne interpretacje unijnego rozporządzenia. Skutkuje to tym, że firmy wdrażające u siebie procedury wymagane przez RODO nie wiedzą, czy robią to prawidłowo. Ponadto nawet osoby zajmujące się tą tematyką nie są do końca pewne, która interpretacja przepisów jest właściwa. Szkolenia kosztują, doradztwo kosztuje; w wielu firmach wymagany jest audyt: jakie dane są zbierane, w jakim celu, itp. Trochę łatwiej jest z opracowaniem polityk w zakresie ochrony danych osobowych. Jeśli ktoś już miał takie opracowania według wymagań GIODO, to teraz potrzebuje je tylko w pewnym stopniu dostosować. Jak w wielu innych tematach pojawiają się pseudoszkolenia, które niestety pochłaniają pieniądze, a nie dają żadnej wartości. - mówi Krzysztof Ogorzałek, członek zarządu Stowarzyszenia Inicjatywa Firm Rodzinnych oraz wiceprezes zarządu JMK Computerate.

Masz umowę z biurem rachunkowym? Dowiedz się, czy po wejściu w życie RODO wciąż będzie ważna >>>

- Widzę trzy różne postawy wśród firm. Po pierwsze wyczekiwanie na to, co będzie, bo przecież nas nie skontrolują; za jakiś czas wdroży się utarty schemat postępowania w sprawie danych osobowych. Drugie podejście: Robimy coś już teraz (żeby było w razie kontroli), czekamy na polskie przepisy i później dopasujemy nasze dokumenty do tego, co stanie się obowiązującą wykładnią prawa w tej kwestii. Trzecie podejście: niektóre firmy uważają, że na 100% trafnie zinterpretowały przepisy ze swoimi prawnikami. Każda z tych postaw ma niestety wady. - dodaje Ogorzałek.

- Dla małych firm, z którymi mam kontakt, ważne są koszty dostosowania do wymagań RODO, bo w małej firmie każdy wydatek liczy się dwa razy. Gdy już ktoś decyduje się na wybór zewnętrznej usługi to problem, jaki się pojawia jest jednak taki, że nie potrafi w żaden logiczny sposób wyjaśnić, dlaczego wybrał tego doradcę a nie innego. To jest poważny problem. Dwóch prawników potrafi podać skrajnie różne interpretacje tych samych ogólnych często przepisów rozporządzenia. Firmy mają kłopot kogo wybrać: czy duże kancelarie, które małej firmie zaoferują - nie oszukujmy się - standardowe dokumenty i rozwiązania; czy doradcę z mniejszej kancelarii, który poświęci małemu klientowi czas. W obu przypadkach po uchwaleniu ostatecznych przepisów może okazać się, że i tak trzeba będzie niestety zmieniać dokumenty - czyli ponieść ponownie koszty. Doradcy, którzy nas obsługują, powiedzieli nam wprost, że zrobili dla nas potrzebne dokumenty i procedury według ich interpretacji RODO, ale tak naprawdę ostateczne wersje wprowadzą, gdy zaczną obowiązywać polskie przepisy, bo dzisiaj nikt nie jest w 100% pewien, co i jak powinien dokładnie robić. - mówi Ogorzałek.

Czy po wejściu w życie nowych przepisów o ochronie danych osobowych nadal będzie można monitorować pracowników >>>

Wynajęcie kancelarii to jest duży koszt dla małej firmy

Wyzwania związane z RODO stoją nie tylko po stronie firm, ale także kancelarii prawniczych, które starają się uświadamiać swoich klientów, że nie warto tej kwestii lekceważyć.

- Przedsiębiorcy, którzy się ze mną kontaktują nie są często świadomi tego, że nawet w działalności na małą skalę przetwarzają dane osobowe. Adres e-mail czy telefon klienta to także dane osobowe, co jest dla wielu zaskakujące, gdy słyszą o tym w rozmowie z prawnikiem. Finansowo i organizacyjnie dostosowanie do RODO najbardziej dotknie właśnie tych małych przedsiębiorców. Dużym obciążeniem jest dla nich to, że rejestry muszą być na bieżąco aktualizowane i kontrolowane. Powierzenie obsługi tych kwestii zewnętrznej kancelarii to jest duży koszt dla małej firmy. Jak obserwuję, te małe firmy na razie starają się do tego przygotować głównie poprzez przygotowanie wzorów dokumentów oraz stworzenie odpowiednich procedur. Mam jednak obawy, jeśli chodzi o rzeczywiste stosowanie tego wszystkiego później w praktyce. Wynikają one głównie stąd, że większość nie bardzo rozumie ideę, jaka przyświecała przy tworzeniu tych przepisów. Jak będzie na dłuższą metę i czy moje obawy okażą się słuszne - pokaże dopiero praktyka. - mówi mecenas Edyta Brzostek z Kancelarii Radcy Prawnego LeditEX.

Jak mały przedsiębiorca ma się przygotować do RODO. PORADNIK >>>

- Część przedsiębiorców stwierdza, że nie stać ich na obsługę profesjonalnej kancelarii i wolą poczekać, jak rozwinie się sytuacja. W ich mniemaniu to tylko kolejna papierologia, na pewno nie będzie kontroli tych małych przedsiębiorców i takich wysokich kar - to wszystko tylko straszenie. Inna grupa małych firm korzysta ze szkoleń na ten temat i nie lekceważy tematu. Wtedy takie szkolenie jest zwykle wstępem do szczegółowej analizy sytuacji w danej firmie, organizacji całego procesu i przygotowania potrzebnych dokumentów. - dodaje Brzostek.