Kiedy ostatnio odebraliście telefon od telemarketera z nieznanej firmy? Setki tysięcy, jeśli nie miliony osób w Polsce i całej Europie każdego dnia odbierają nieproszone telefony i maile. RODO ma sprawić, że nasze dane nie będą nadużywane i będą bezpieczniejsze niż do tej pory.

Choć prawdopodobnie każdy przedsiębiorca w Polsce słyszał lub czytał już o RODO, możliwe, że nie wszyscy wiedzą co to takiego. Niezwykle popularny w ostatnich miesiącach skrót ma rozwinięcie: „Rozporządzenie ogólne o Ochronie Danych Osobowych”. Czasem można spotkać oznaczający to samo angielski skrót GDPR (General Data Protection Regulation).

Oprócz tego, że miliony, a przynajmniej setki tysięcy osób w Polsce i w Europie jest zasypywanych niezamówionymi informacjami, w minionym roku kilkadziesiąt milionów osób mogło paść ofiarą następstw wycieków danych. Te najgłośniejsze dotyczą zwykle Stanów Zjednoczonych, ale nie oznacza to, że Europa jest wolna od ataków hakerskich. Przeciwnie.

Według raportu firmy PwC pt. „Ochrona biznesu w cyfrowej transformacji” wśród średnich i dużych firm działających na terenie Polski aż 96% odnotowało w ciągu roku ponad 50 incydentów naruszających bezpieczeństwo informacji lub systemów IT. Większość z nich pewnie nie ma takiej skali jak wyciek z Ubera zawierający dane z 57 mln kont użytkowników, co nie wyklucza, że ich skutki nie mogą być dotkliwe.

Jeśli uświadomimy sobie, że dane w firmie to nie tylko dane klientów, ale również dostawców, pracowników i współpracowników, to szybko dojdziemy do przekonania, że RODO dotyczy praktycznie wszystkich prowadzących działalność gospodarczą i przetwarzających dane osobowe.

Każdy przetwarza dane

Nie przetwarzacie danych? Tak się wam tylko wydaje. Nawet w bardzo skrajnym przypadku freelancera, prowadzącego jednoosobową działalność gospodarczą, bez zatrudniania pracowników czy podwykonawców, nie obejdzie się bez dostosowania do RODO. Jeśli tylko podpisuje umowy lub wystawia faktury – znajdują się w nich dane osobowe. Jeśli główna działalność polega na operacjach przetwarzania danych bądź na przetwarzaniu na dużą skalę, podlega ustawie.

Co to znaczy „przetwarza”? Definicja jest bardzo pojemna. Obejmuje takie czynności w odniesieniu do danych, jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, przesyłanie, rozpowszechnianie, łączenie, dopasowywanie.

Jak widać – trudno jest się uchować przed RODO. Każdy przedsiębiorca wykonuje przynajmniej jedną czynność z tego katalogu. A to oznacza, że trzeba się do RODO dostosować.

Przecież nie robię nic złego

Nawet jeśli macie jak najlepsze intencje i przez myśl by wam nie przeszło, żeby nadużywać zgromadzonych w firmie danych (nadużywać, czyli używać w szerszym zakresie niż przewidziano to w udzielonej zgodzie), to już nie możecie mieć 100-procentowej pewności co do intencji waszych pracowników, kontrahentów, dostawców i innych podmiotów, które mogłyby mieć kontakt z danymi. Nie możecie też mieć 100-proc. pewności, że ktoś akurat nie próbuje włamać się do waszego firmowego systemu i wykraść zgromadzonych tam danych.

RODO jest zatem po to, żeby nikt nie nadużywał danych w działalności, ale też nie narażał ich na ryzyko przejęcia przez podmioty trzecie, które mogłyby wykorzystać je w sposób nieuprawniony lub – co gorsza – w sposób związany z działalnością przestępczą.

Stąd też potencjalne duże kary, które mogą być nakładane na firmy, które nie dostosują się do wymagań rozporządzenia.

Już dłużej nie czekaj

RODO zacznie obowiązywać 25 maja 2018 r. Czasu zostało więc niewiele i jeśli do tej pory jeszcze nie zabraliście się za prowadzanie zmian, które dostosują Waszą firmę do wymagań RODO, to trzeba przyspieszyć.

Z pewnością trzeba podjąć konkretne kroki. Sugerujemy zacząć od tych trzech:

1. Przeczytaj jakikolwiek poradnik o RODO

Zanim zabierzecie się za wdrażanie polityk i procedur, które będą zgodne z RODO, trzeba wiedzieć dokładnie, co to jest. Zdecydowanie nie polecamy zaczynać od czytania samego rozporządzenia. Liczy ono 88 stron litego tekstu prawniczego. Z pewnością nie jest to lektura na wieczór do herbatki albo do poduszki. Nie da się tego przeczytać w jeden dzień, a co dopiero zrozumieć i przyswoić.

2. Idź na szkolenie z RODO – przynajmniej jedno

Po przeczytaniu poradnika, przed czytaniem samego rozporządzenia warto skorzystać ze szkolenia prowadzonego przez specjalistów. Obecnie jest sporo konferencji i szkoleń związanych z RODO. Są wydarzenia ogólne i branżowe. Ogólne z pewnością pozwoli lepiej rozeznać się w temacie (w perspektywie lektury treści rozporządzenia) i sformułować konkretne pytania dotyczące praktycznych aspektów wprowadzania RODO w danej firmie.

Czasem trzeba wiedzę rozszerzyć o zagadnienia ściśle branżowe. Sprzedaż, marketing, HR – to te komórki w firmie, które w oczywisty sposób mają najwięcej do czynienia z danymi. Ale każda firma jest inna i warto przeanalizować jakiego rodzaju dane i w jaki sposób są przetwarzane i pod tym kątem dobierać szkolenia.

3. Oceń, czy masz szansę wprowadzić wszystkie niezbędne zmiany w terminie

Czas pędzi nieubłaganie. Maj już za nieco ponad miesiąc. Mając rozeznanie w temacie, musicie oszacować, ile dokumentów i w jakiej objętości trzeba będzie przygotować. Jakie zmiany techniczne i / lub technologiczne trzeba będzie wprowadzić w firmie? W końcu – jakie zmiany personalne trzeba będzie przeprowadzić.

4. Proś o pomoc

Czasem szkoda czasu na wyważanie otwartych drzwi. Lepiej zapytać specjalistów, jak je otworzyć. Może się okazać, że wystarczy nacisnąć klamkę. Wobec presji czasowej dobrze jest powierzyć niektóre czynności podmiotom zajmującym się profesjonalnie kwestią bezpieczeństwa danych. Do przygotowania będzie na pewno polityka bezpieczeństwa danych osobowych (PBDO), w sporządzeniu której może pomóc kancelaria prawna. Co do zabezpieczeń systemów informatycznych, warto poszukać wyspecjalizowanych firm z branży konsultingu IT. Można również skorzystać z pomocy współdziałających ze sobą kancelarii i informatyków, którzy wspólnie mogą poprowadzić Twoją firmę przez meandry RODO.

Jeśli będziemy zbyt długo zastanawiać się, zamiast działać, istnieje ogromne ryzyko, że nie wyrobimy się w terminie ze wszystkimi koniecznymi zmianami.

Materiał powstał we współpracy z kancelarią Błażejowska, Nowakowski Radcowie Prawni, Spółka Partnerska,
NBLegal.pl