W maju 2020 r. minęły 2 lata, od kiedy obowiązują nowe regulacje dotyczące ochrony danych osobowych (RODO). To świetna okazja do tego, aby podsumować funkcjonowanie nowych przepisów i wyciągnąć praktyczne wnioski dla codziennego funkcjonowania firm, zwłaszcza małych i średnich przedsiębiorstw. W artykule pokazuję obszary funkcjonowania małego i średniego biznesu, które mogą generować największe ryzyko konsekwencji prawnych za naruszenie RODO.
Ponadto, pokazuję, dlaczego RODO nie musi być czysto formalnym i przykrym obowiązkiem. Można je wykorzystać do wzniesienia firmy na wyższy poziom funkcjonowania – zarówno w relacji z klientami, jak i wewnętrznie. W obecnych czasach prywatność jest zagadnieniem, które klienci cenią sobie coraz bardziej. Przejrzysta komunikacja na temat tego, co dzieje się z danymi naszych klientów, powoduje, że nabierają oni coraz większego zaufania do marki.
Co pokazały 2 lata obowiązywania RODO? Jakie wnioski można z tego wyciągnąć?
Ponad 2 lata temu rynek był pełen obaw dotyczących rozpoczęcia stosowania nowych przepisów o ochronie danych osobowych, czyli unijnego ogólnego Rozporządzenia o Ochronie Danych (w skrócie „RODO”). Wątpliwości budziło, jak w praktyce stosować nowe przepisy oraz jak będą one egzekwowane przez Urząd Ochrony Danych Osobowych. Widmo wysokich kar (mityczne 20 milionów euro) tylko potęgowało niepewność. Sytuacja ta zrodziła również wiele tzw. RODO-absurdów, jak choćby niesławne nazywanie pacjentów w jednej z przychodni imionami postaci z bajek.
Po ponad 2 latach można powiedzieć, że sytuacja wokół RODO w znacznym stopniu się uspokoiła. Nie doszło do żadnych rewolucyjnych zmian. Przeciwnie, po początkowym okresie pełnym niepewności i absurdów, obecnie można zaobserwować spokojną ewolucję i dostosowywanie działalności do nowych regulacji.
Z perspektywy osoby, która w codziennej pracy zajmuje się tematyką ochrony danych, mogę powiedzieć, że rzeczywistość nie okazała się tak straszna, jak niektórzy malowali ją w pierwszej połowie 2018 r. Wbrew temu, czego wielu się obawiało, Urząd Ochrony Danych Osobowych wcale nie kontroluje tak intensywnie, ani nie nakłada wielu kar pieniężnych. Przez pierwszy półroczny okres obowiązywania RODO (od 25 maja 2018 r. do 31 grudnia 2018 r.) UODO przeprowadził 32 kontrole przestrzegania RODO*, a łącznie w 2018 r. – 71 kontroli. Z kolei w 2019 r. Urząd przeprowadził łącznie więcej kontroli – 98**. Co jednak istotne, jedynie 20 z nich dotyczyło podmiotów z sektora prywatnego. Warto również zwrócić uwagę na to, że Prezes UODO w planie kontroli na 2019 r. określił 15 zagadnień dziedzin (obszarów) działalności, które miały podlegać kontroli***. Z kolei w analogicznym planie na 2020 r. jest to już mniej dziedzin (obszarów) – jedynie trzy****. W swoim oficjalnym sprawozdaniu za 2019 r. Urząd sam przyznaje, że zmaga się z problemem ograniczonych zasobów ludzkich i dużą rotacją pracowników*****.
Jak dotąd, przez ponad 2 lata obowiązywania RODO, nałożono łącznie 14 kar pieniężnych, co jest liczbą stosunkowo niewielką.
W porównaniu z analogicznymi instytucjami w innych państwach UE, polski UODO jest w dolnej części rankingu w zakresie liczby nałożonych kar. Najwyższe kary, jakie nałożył Urząd to 2,8 mln zł w sektorze prywatnym (dla sklepu internetowego Morele.net za niewystarczające zabezpieczenie danych klientów, z powodu czego doszło do wycieku) oraz dwukrotnie 100 tys. zł w sektorze publicznym (maksymalna możliwa kara dla instytucji publicznej – Głównego Geodety Kraju za utrudnianie przeprowadzenia kontroli oraz za udostępnianie bez podstawy prawnej na portalu GEOPORTAL2 danych osobowych w postaci numerów ksiąg wieczystych).
Oczywiście, Urząd Ochrony Danych Osobowych obserwuje sytuacje występujące na rynku. To do niego obowiązkowo muszą bowiem być zgłaszane incydenty (naruszenia ochrony danych osobowych). Można jednak odnieść wrażenie, że UODO podejmuje dalej idące działania (np. kontrole) tylko przy poważnych naruszeniach ochrony danych (incydentach). Urząd reaguje zwłaszcza wtedy, gdy konkretnym incydentem zaczynają się interesować media (jak to miało miejsce np. przy wyciekach danych kandydatów na studia z powodu kradzieży komputera pracownika uczelni).
Poważnie wzrosła jednak liczba skarg na przetwarzanie danych, jakie są składane do Urzędu. Rozpatrywanie tych skarg w formalnym trybie postępowania administracyjnego sprawia, że trwa to stosunkowo długo. Najczęściej ogranicza się do wymiany listownej korespondencji pomiędzy Urzędem a podmiotem, na który została złożona skarga.
Pomimo jednak, że wzrosła liczba skarg na przedsiębiorców składanych przez ich klientów, to nie zauważyliśmy poważnego wzrostu liczby żądań dotyczących przetwarzania danych osobowych, jakie klienci kierowaliby wobec samych firm. Rzecz jasna, od 25 maja 2018 r. zaczęły wpływać do firm wnioski dotyczące np. usunięcia danych (realizacji prawa do bycia zapomnianym), zaprzestania działań marketingowych albo żądania dostępu do danych, czyli uzyskania potwierdzenia, że firma przetwarza dane wnioskującego i jeśli tak – jakie dokładnie są to dane. Co jednak warto podkreślić, z naszych obserwacji wynika, że w sektorze MŚP nie doszło do poważnego wzrostu takich żądań.
Jakie wnioski można wyciągnąć z ww. informacji?
- Po pierwsze, Urząd Ochrony Danych Osobowych nie okazał się instytucją o takim potencjale kontrolowania i egzekwowania przepisów jak np. administracja skarbowa czy Zakład Ubezpieczeń Społecznych. Trzeba bowiem pamiętać, że UODO nie ma żadnej struktury terytorialnej, a tylko jeden centralny urząd w Warszawie. Prawdopodobieństwo, że firma z sektora MŚP zostanie objęta kontrolą planową jest zatem bardzo niskie.
- Po drugie, firmy, zwłaszcza z sektora MŚP, powinny skupić się przede wszystkim na rzeczywistym bezpieczeństwie danych, m.in. zapewnieniu ich poufności. Regularnie szkolić pracowników w zakresie reguł bezpieczeństwa danych w codziennej pracy (np. w formie e-learningowej). Zadbać również o odpowiedni poziom zabezpieczeń informatycznych. Najwyższa kara nie została nałożona za brak dokumentów, ale właśnie za brak odpowiednich zabezpieczeń. Należy zapobiegać naruszeniom ochrony danych, czyli incydentom. To one bowiem mogą przede wszystkim zwrócić uwagę Urzędu i spowodować wszczęcie kontroli. Zwłaszcza, jeśli informacja o incydencie trafi również do mediów.
- Po trzecie, firmy powinny zadbać o przejrzystą komunikację z klientami, czyli czytelne i zrozumiałe klauzule informacyjne (a nie szablonowe i generyczne informacje). Ponadto, trzeba zadbać o rzetelne realizowanie praw klientów, które wynikają z RODO. Niezadowolenie ze strony klientów może przekładać się na dużą liczbę skarg, jakie mogą być składane do Urzędu. Wysoka liczba takich skarg również może być przyczyną zainteresowania ze strony UODO.
- Po czwarte, trzeba być gotowym na współpracę z UODO i rzetelnie odpowiadać na ewentualne zapytania wywołane skargami. UODO w zdecydowanej większości znanych nam przypadków ogranicza się do wymiany pisemnej korespondencji. Jednak wśród kar pieniężnych, które jak dotąd Urząd nałożył, pojawiły się kary m.in. za brak współpracy i utrudnianie postępowania poprzez nieodpowiadanie na pisma z Urzędu.
Jak wykorzystać RODO na swoją korzyść?
Przez ostatnie ponad 2 lata obowiązywania RODO było ono traktowane w przestrzeni publicznej głównie w sposób negatywny – jako niezrozumiały i zbędny obowiązek prawny. Tymczasem jest to taki rodzaj prawa, który przedsiębiorca, zwłaszcza w branży MŚP, może wykorzystać zdecydowanie na swoją korzyść.
RODO skonstruowane jest w sposób dość ogólny – po to, aby nie był to zestaw gotowych poleceń i wytycznych (jak poprzednio obowiązujące przepisy o ochronie danych). Przeciwnie, RODO wyznacza cele do zrealizowania. Nie mówi, co robić, ale jaki cel osiągnąć i czym się kierować.
Oznacza to, że RODO jest takim prawem, którego stosowanie każda firma może sobie „uszyć na miarę”.
Mieć własne podejście do praktycznego stosowania tych przepisów. Nie chodzi tu oczywiście o to, by wybierać jedne przepisy i ignorować pozostałe. Każda firma ma natomiast prawo wypracować własne rozwiązania, które – co kluczowe – mają rzeczywiście pomagać w przestrzeganiu prawa, a nie być tylko utrudnieniem.
Przykładowo: jedynymi dokumentami, jakimi zgodnie z RODO powinna obowiązkowo dysponować w praktyce przeciętna firma z sektora MŚP, są:
- rejestr czynności przetwarzania (ewidencja procesów przetwarzania danych, jakie są w firmie realizowane);
- wzór informacji o regułach przetwarzania przez nią danych, jakie będą przedstawiane klientom, pracownikom czy kontrahentom.
Wszelkie inne rozwiązania firma może dopasować do swojej specyfiki i codziennej działalności. Nie jest tak, że w każdej firmie muszą obowiązywać formalne procedury w zakresie realizowania czynności związanych z przetwarzaniem danych (np. polityka bezpieczeństwa itp.). Nie jest również tak, że na każde przetwarzanie danych firma musi uzyskać zgodę w formie podpisu klienta. Nie ma również gotowego zestawu standardów bezpieczeństwa informatycznego, jakie należy stosować.
Zarząd firmy podejmuje decyzję, jakie rozwiązania będą najbardziej efektywne w kontekście spełnienia wymogów i założeń RODO. W jednej firmie mogą to być np. formalne procedury, a w innej – częste szkolenia i warsztaty dotyczące reguł bezpieczeństwa w codziennej pracy oraz stały kontakt z doradcą w zakresie ochrony danych osobowych. Chodzi o to, aby decyzja o stosowaniu konkretnych środków bezpieczeństwa była świadoma i przemyślana. Firma musi być w stanie uzasadnić, dlaczego wybrała takie, a nie inne rozwiązania.
Działanie polegające np. na kupowaniu gotowych, szablonowych wzorów standardowej dokumentacji przeważnie nie pomoże w przestrzeganiu przepisów.
W firmach z sektora MŚP i tak najczęściej mało kto rozumie informacje zawarte w takiej szablonowej dokumentacji. A więc również nie stosuje jej w praktyce. Tymczasem posiadanie takiej dokumentacji nie jest obowiązkiem samym w sobie. Obowiązkiem jest realizacja celów RODO.
Wdrożenie w firmie reguł mających na celu zadbanie o zgodność z RODO może również dać firmie wydatne korzyści w innych obszarach.
- Po pierwsze, zadbanie o ochronę danych osobowych w zakresie narzędzi IT (poczta e-mail, komunikatory, rozwiązania chmurowe itp.) zapewni również ochronę innych informacji cennych dla firmy, a które nie stanowią danych osobowych (plany marketingowe, dane sprzedażowe, innowacje itp.). Przykładowo: chcąc chronić przed złośliwym oprogramowaniem dane osobowe na komputerach pracowników, chronimy komputery np. na wypadek ataków ransomware (polegających za zaszyfrowaniu danych i żądaniu okupu za przywrócenie dostępu). Chroniąc dane osobowe, zabezpieczamy również codzienną działalność firmy, ponieważ nie mając dostępu do danych (nie tylko osobowych), firma nie jest w stanie funkcjonować.
- Po drugie, zadbanie o ochronę danych osobowych pozwala spojrzeć kompleksowo na firmę, przeprowadzić przegląd dostawców, z którymi firma współpracuje, i odpowiednio zabezpieczyć ją pod kątem różnego rodzaju ryzyk. Stosowanie RODO wymaga bowiem m.in. zastanowienia się, jakie są zagrożenia dla firmy, które mogą mieć wpływ na ochronę danych osobowych i jak firma chce im przeciwdziałać. Chroniąc dane osobowe, firma chroni również inne swoje zasoby przed kradzieżą, zniszczeniem, pożarem itp.
- Po trzecie, ochrona prywatności staje się coraz bardziej wartościowa w oczach konsumenta. Jak pokazują badania, 84% mieszkańców Polski prawdopodobnie zakończyłoby współpracę z firmą, która wykorzystuje ich dane w sposób nieprawidłowy. Globalna średnia wynosi 78%. Co więcej, to właśnie ci konsumenci, którzy najbardziej chronią swoją prywatność w sieci, najczęściej również korzystają z usług online. Paradoksalnie, klient najbardziej zainteresowany usługami danej firmy, jednocześnie może też najbardziej zwracać uwagę na to, w jaki sposób firma chroni jego dane osobowe******.
Źródła:
* por. Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych za 2018 r. (https://uodo.gov.pl/pl/437/1173)
** por. Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych za 2019 r. (https://uodo.gov.pl/pl/437/1173)
*** por. Plan kontroli sektorowych Urzędu Ochrony Danych Osobowych na 2019 rok (https://uodo.gov.pl/228)
**** por. Plan kontroli sektorowych Urzędu Ochrony Danych Osobowych na 2020 rok (https://www.uodo.gov.pl/pl/138/1302)
***** por. Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych za 2019 r. (https://uodo.gov.pl/pl/437/1173)
****** Dane i wnioski odnośnie preferencji konsumentów na podstawie badania Dentsu Aegis Network Digital Society Index Survey 2018, DIGITAL SOCIETY INDEX 2019: HUMAN NEEDS IN A DIGITAL WORLD (https://www.oxfordeconomics.com/recent-releases/digital-society-index-2019-human-needs-in-a-digital-world)
