Temat RODO i danych osobowych “eksplodował” w 2018 roku. Praktyka pokazuje jednak, że nie wszystkie firmy poprawnie i bezpiecznie wdrożyły RODO, o czym świadczą kary nakładane na przedsiębiorców przez UODO.
W tym odcinku Podcastu, w ramach serii Biznes i Prawo, mec. Maciej Łokaj, partner w GTL, zarządzający praktyką RODO w naszej kancelarii, opowie o 5 najczęściej spotykanych przez niego w praktyce błędach, popełnianych przez firmy w kontekście przetwarzania danych osobowych.
Jeśli potrzebujesz wsparcia we wdrożeniu bądź chcesz sprawdzić, czy Twoja firma poprawnie wdrożyła RODO – wypełnij krótki formularz kontaktowy, klikając w przycisk poniżej.
Transkrypcja
Dzień dobry Maćku, witam Cię serdecznie.
Maciej Łokaj: Cześć, Michał.
Witam Cię serdecznie kolejny raz na łamach naszego podcastu, przy czym ostatni raz spotkaliśmy się i mówiliśmy o obowiązkach w zakresie sygnalistów. Dziś temat inny. Temat nazwijmy to starszy, dojrzalszy, jeśli tak mogę powiedzieć. Ale co zaskakujące nadal aktualny. To mówiłeś mi po rozmowach, kontaktach, różnych wdrożeniach, audytach u klientów. Temat RODO. Temat przetwarzania danych osobowych w firmach. Umówiliśmy się, że przedstawimy ten temat nie po prostu o co chodzi z RODO, bo właśnie temat jest dojrzały. Obiecałeś, że opowiesz mi o pięciu najczęstszych błędach przedsiębiorców w zakresie RODO, z jakimi spotkałeś się na przestrzeni ostatnich lat, tak mogę powiedzieć, pracując z danymi osobowymi w przeróżnej maści kategorii różnych branż, różnych przedsiębiorców. Nie przedłużajmy. Zacznijmy w takim razie od początku. Co wyróżniłbyś tutaj? Nie wiem, czy chcesz to tak grupować od najważniejszego do najmniej istotnego, ale od czego byś zaczął?
Przede wszystkim dziękuję za ponowne zaproszenie.
Jesteś cały czas zaproszony. Po prostu przyjdź.
Rzeczywiście, ten temat danych osobowych to jest temat, który trochę nawet można powiedzieć, że teraz znowu zyskuje na aktualności. To wynika z kilku czynników. Być może w trakcie dzisiejszego spotkania będzie moment, żeby o tym powiedzieć. Natomiast na przestrzeni kilku lat ładnych pracy z rozporządzeniem, to już od 2018 roku rzeczywiście myślę, że jestem w stanie wskazać kilka takich typowych nadal sytuacji. Niektóre mogą być zaskakujące, które są takimi typowymi błędami przedsiębiorców.
Pierwsza rzecz, wydawałoby się, że po tylu latach, 2018 to już tyle lat minęło. Ale pierwsza rzecz, która od razu przychodzi mi do głowy, to jest kwestia, którą można nazwać: mnie to nie dotyczy. Nadal rzeczywiście jest tak, że jest pewna grupa przedsiębiorców, którzy jakby nie czują, można powiedzieć, istotności tego zagadnienia w ramach swojej własnej organizacji. To wynika z kilku przyczyn, z kilku powodów. Niewątpliwie brak świadomości jest takim podstawowym powodem. Mówię – to może być zaskakujące – ale jednak ten brak świadomości jest. Dodatkowo niewątpliwie jest to kwestia tego, że przedsiębiorcy nie do końca czują, nie do końca rozumieją pojęcia. Czyli jeżeli chodzi o dane osobowe, nie do końca wiedzą, co tak naprawdę tymi danymi osobowymi jest.
A nie oszukujmy się, prawda jest taka, że właściwie każdy przedsiębiorca w jakimś większym czy mniejszym stopniu pracuje na danych osobowych. I to jest absolutnie nieuniknione. Szczyt tego zainteresowania, tej pierwszej fali zainteresowania to był oczywiście rok 2018, kiedy w maju te przepisy zaczęły obowiązywać, jeszcze 2019. Potem zaczął się spadek, jakby bardzo taki naturalny. Natomiast teraz to, co powiedziałem, wydaje mi się, że znowu wzrasta zainteresowanie, a jest to spowodowane przede wszystkim tym, że nastąpiły pewne zmiany w Urzędzie Ochrony Danych Osobowych. Generalnie instytucja zaczęła inaczej podchodzić do tych tematów, więc na pewno z punktu widzenia tego pierwszego problemu „mnie to nie dotyczy”. To nawet myślę, moglibyśmy rzeczywiście na pierwszym miejscu postawić.
Chyba to może brać się z tego, że w takim powszechnym rozumieniu RODO może jawić się jako jakiś taki obowiązek dla laboratoriów medycznych tam, gdzie przetwarzają.
Wyselekcjonowanych organizacji.
Dane osobowe wrażliwe w tym sensie, że no naprawdę bym nie chciał, żeby ktoś gmerał w tym i żeby to gdzieś wyciekło. No ale przecież dane osobowe to nie tylko wyniki badań krwi, ale też bardziej takie nieco przyziemne, ale takie dane, z którymi rzeczywiście większość przedsiębiorców jakoś się styka.
Oczywiście, no wiesz, pytając różnych naszych klientów o kwestie danych osobowych, spotykam się czasem właśnie z odpowiedzią, że nie no w sumie, no my to jakoś tam nie mamy danych osobowych. Ale już kiedy zaczynamy rozmawiać: no ale macie pracowników, macie klientów, macie kontrahentów i tak dalej, i tak dalej. Nagle ci klienci sobie uświadamiają: aha, no to tak, rzeczywiście. To jak teraz? No sporo jest tych danych faktycznie, więc z poziomu rozmowy nie ma w sumie tych danych dochodzimy do etapu: rzeczywiście tych danych jest dużo. I nie są to koniecznie, tak jak mówisz, dane medyczne czy jakieś inne dane wrażliwe, ale dane o charakterze podstawowym. Natomiast na pewno są.
Okej, czyli pierwszy poziom. Podsumujmy. Pierwszy błąd byłby taki, że nie ma w ogóle świadomości? Zdarza się to tak?
Tak, tak.
Dalej idźmy z tą drabiną eskalacyjną.
Jeżeli idziemy dalej, to mamy dosyć szeroką grupę przedsiębiorców, którzy, powiedzmy jakąś tam dokumentację ochrony danych mają przygotowaną, tylko ta dokumentacja jest niepełna albo jest nieaktualizowana. To są generalnie przedsiębiorcy, gdzie już ta świadomość jest. Czyli oni zdają sobie sprawę z tego, że jest ten temat danych osobowych i być może nawet taką dokumentację przygotowywali jeszcze przed rozpoczęciem obowiązywania RODO, czyli pod rządami poprzedniej ustawy z 1997 roku. Gdzieś tam mogły te dokumenty być. Natomiast niestety to są takie przypadki i tutaj też do tej pory z takimi przypadkami się stykam w swojej praktyce, a mianowicie może to być powiedzmy jakaś płyta CD czy jakiś inny nośnik, na którym po prostu ta dokumentacja się znajduje.
Dołączony do gazety.
To też tak. To też takie przypadki. Natomiast generalnie to jest sytuacja nierzadko spotykana, kiedy na przykład te dokumenty są po prostu pewną paczką, która nawet nie została zaktualizowana w zakresie nazw i tak dalej. To sobie po prostu jest, leży. Natomiast przedsiębiorca ma takie wewnętrzne przekonanie, że no faktycznie, odpowiada na pytanie: czy macie dokumentację? Mamy dokumentację wdrożyliśmy, jest to wszystko zrobione. Natomiast rzeczywiście z punktu widzenia samego RODO, ta dokumentacja często okazuje się nieaktualna, chociażby w zakresie takich dokumentów jak analizy ryzyka, brak procedur dotyczących zgłaszania naruszeń. Bo to jest też pewnego rodzaju nowość, której wcześniej nie było, czyli zgłaszanie naruszeń. To jest bardzo krótki czas, 72 godziny, więc odpowiednia procedura, sposób, ścieżka postępowania powinna być przygotowana, spisana, wypracowana. Ale to też czasem sprowadza się do takich bardzo ciekawych sytuacji, kiedy klient odpowiada mi: klauzule informacyjne mamy. To jest ta nowość i my klauzule informacyjne mamy. Tu akurat niewiele osób zdaje sobie sprawę, że akurat klauzule informacyjne nie były nowością, bo wcześniej też były odpowiednie przepisy to regulujące.
Natomiast faktycznie ten problem sprowadza się do tego, że świadomość jest, ale już wykonanie jest zdecydowanie gorsze. Czyli mamy te dokumenty, do których właściwie nikt nie zaglądał. A prawda jest taka, że przynajmniej według mnie, raz w roku należy zajrzeć do tej dokumentacji, zaktualizować ją. Chyba że w firmie pojawiają się nowe procesy biznesowe, nowe produkty, nowe usługi i tak dalej, to wtedy rzeczywiście należy to przeanalizować z punktu widzenia danych osobowych zdecydowanie częściej.
No tak, bo taka dokumentacja ona nie może być generyczna, bo każda firma jednak ma inaczej te procesy i inne usługi przecież. Tu jakiś landing page, tu jakiś newsletter.
Inne ryzyka.
Bardzo wiele się może zmieniać w czasie, przecież z reguły się zmienia. No dobra, ale jesteśmy na drugim poziomie. Pierwszy poziom był taki, że nie mamy świadomości. Drugi poziom mamy świadomość, ale dokumentacja jest niepełna, nieaktualizowana. No dobrze. A co byłoby trzecim poziomem?
Trzecim poziomem to byłaby sytuacja, w której jest właściwie, bo to rzeczywiście już wchodzimy w przypadki, które zdarzają się częściej z każdym kolejnym.
Piramidka taka.
Dokładnie. I ten trzeci przypadek to jest sytuacja, w której ja to nazywam casusem zakurzonego segregatora. Czyli mamy sytuację, w której ta dokumentacja nawet jest pełna, nawet jest zrobiona i nawet przedsiębiorca jest bardzo zadowolony i dumny, że tak, tak, panie mecenasie, w 2018 roku wdrożyliśmy wszystkie dokumenty, to jest. Natomiast tak na dobrą sprawę, jeżeli się z takim przedsiębiorcą rozmawia, to okazuje się, że właśnie jest ten zakurzony segregator, bo nikt do tego nie sięgał, a czasem nawet nikt nie wie, gdzie taki segregator się znajduje. Ale dużo gorsze jest samo w sobie przekonanie, że wystarczy mieć dokumenty. I to jest jakby jedyna rzecz, to też jest troszeczkę takie, moim zdaniem absolutnie nieuzasadnione przekonanie, że wcześniej przed RODO wystarczyło mieć dokumenty, a dodatkowo jeszcze przed RODO to generalnie nie kontrolowali, bo też można się z takimi opiniami spotykać. Nie są one uzasadnione, bo przed RODO też ten proces był zdecydowanie głębszy. GIODO wtedy kontrolowało jak najbardziej, ale żeby już nie wchodzić w ten element, nie można tego ograniczać do samych dokumentów.
To jest troszkę to, co właśnie już powiedziałem, czyli kwestia reagowania na bieżące procesy biznesowe w firmie. Jeżeli wprowadzamy nowe produkty, nowe usługi, stawiamy sklep internetowy, to co wspomniałeś, landing page, marketing i tak dalej, no to wszystkie te elementy należy zawsze przeanalizować z punktu widzenia danych osobowych. To jest tzw. privacy by design, gdzie generalnie osoba, która tymi danymi osobowymi się zajmuje, powinna w takim procesie uczestniczyć. Do tego dochodzi jeszcze bardzo istotny element oprócz samej aktualizacji, o której mówiłem. Oprócz uczestnictwa takich osób dochodzi bardzo istotny element szkoleniowy. W naszej praktyce kancelaryjnej sporo czasu, sporo uwagi poświęcamy na różne formy szkoleń dla pracowników. W zależności od grup tych form mamy bardzo dużo. Dostosowujemy to do klienta, bo wiadomo, że jeżeli mamy ileśset pracowników, to zebranie ich w jednym miejscu, w jednym czasie, żeby ich przeszkolić, może być bardzo trudne, a czasem jest niemożliwe.
Więc tych form szkoleniowych jest dużo. Natomiast istotne jest to, żeby te szkolenia się odbywały. Dlaczego? Dlatego, żeby uwrażliwić ludzi na temat danych osobowych. Bo świadomość to jedno. A druga kwestia to jest właśnie kwestia wrażliwości na sam temat danych osobowych. Bo z mojej praktyki jakiekolwiek problemy, incydenty, wycieki, naruszenia, lwia część przypadków to są po prostu błędy ludzkie, nie błędy technologiczne.
Tak, absolutnie się zgadzam. Zresztą jeśli przyjmiemy założenie, że te przepisy czemuś służą, a nie są po prostu wytworem biurokracji unijnej i tak dalej, no a służą zabezpieczeniu nas przed takimi różnymi nieprzyjemnymi wyciekami, które mogą być po prostu osobiste i zawodowe, różne takie nieprzyjemne konsekwencje, to faktycznie same papierzyska, które gdzieś tam leżą, nie będą przeciwdziałały takim nieprzyjemnym sytuacjom. Te procedury muszą jeszcze znaleźć odzwierciedlenie w zachowaniach ludzi. Zachowania ludzi będą zbieżne albo nie, ale będą podążać za procesami, bo jak jest ułożony proces, to można kontrolować to, czy ludzie według tego procesu postępują. Więc te procesy powinny być nie tylko zaprojektowane przez kogoś mądrego, ale też wdrożone i działać. Absolutnie się z tym zgadzam. Zresztą to samo mówiliśmy przy sygnalistach. Myślę, że bardzo podobny case.
Tu warto dodać jeszcze jedną taką bardzo praktyczną rzecz, ale to akurat myślę, nie dotyczy tylko samych danych osobowych, ale wielu procesów, które funkcjonują w firmach. Jeżeli mamy taką sytuację, nikomu tego oczywiście nie życzę, ale jeżeli jest sytuacja kontroli ze strony Urzędu Ochrony Danych Osobowych, to ta kontrola nie ogranicza się tylko do kwestii dokumentów, ale bardzo często kontrola również polega na tym, że sprawdzana jest właśnie ta praktyczna strona wdrożenia. Nie oszukujmy się, jeżeli pracownicy nie są szkoleni, to oni nie są w stanie nic powiedzieć na temat tych procedur, bo ich po prostu nie znają.
Nawet ich nie znają.
Dokładnie. I to jest chyba najgorsze nawet rozwiązanie, kiedy mamy właśnie ten zakurzony segregator. Czyli teoretycznie coś jest, ale w sumie praktycznie nie ma żadnego znaczenia w tym momencie.
Jasne. Czwarty błąd?
Czwarty błąd to również wynik, już dwa słowa powiedziałem, powiązany z błędem trzecim. To znaczy wspominałem o kwestii osoby, która uczestniczy w tych procesach związanych z nowymi procesami biznesowymi i ocenia to albo doradza z punktu widzenia danych osobowych. Bardzo często u przedsiębiorców takiej osoby brakuje. I nie chodzi mi tutaj, żeby to było jasne dla naszych widzów oraz słuchaczy, nie chodzi mi o sytuację, w której w każdej instytucji czy w każdej organizacji musi być powołany ten inspektor ochrony danych. Nie jest to obowiązkowe. Może inaczej – jest obowiązkowe tylko w pewnych sytuacjach.
Bo to jest koszt w ogóle.
Oczywiście jest to jak najbardziej koszt, więc to też trzeba uwzględnić. Ale osoba, która w określony sposób, nawet na zasadzie zewnętrznej jakiejś pomocy jest w stanie, ma tę wyższą wrażliwość i jest w stanie pomóc, wesprzeć cały proces z punktu widzenia danych osobowych jest na pewno bardzo cenna. To muszę tutaj, żeby nie było tak zupełnie pesymistycznie, to się rzeczywiście zmienia. Firmy powoli uświadamiają sobie, że taki IOD albo osoba, która generalnie jest w stanie doradzać w takich kwestiach związanych z danymi osobowymi, jest potrzebna. Ta świadomość się zwiększa, ale cały czas w firmach po prostu ewidentnie czy wewnętrznie, czy zewnętrznie brakuje takiego wsparcia, to jest bardzo wyraźne.
Okej. I co zostawiłeś na koniec?
Na koniec zostawiłem element, który, myślę, w pewnym sensie podsumowuje wszystkie cztery pozostałe przypadki. To jest takie hasło, może trochę patetyczne – nie lekceważmy tematu danych osobowych. Ale rzeczywiście tak jest, ponieważ w wielu sytuacjach, tak jak powiedziałem, przedsiębiorcy podchodzą do kwestii danych osobowych, traktując po macoszemu, jako coś tam dodatkowego, może coś trzeba, ale nie przesadzajmy. Natomiast to z punktu widzenia przedsiębiorcy może być niezwykle kosztowne. Dosłownie i w przenośni. Kosztowne dosłownie, dlatego że rzeczywiście są bardzo wysokie kary finansowe związane z różnymi naruszeniami, nieprzestrzeganiem określonych przepisów.
Natomiast oczywiście nie zawsze wszystko kończy się na karach finansowych. Tych narzędzi prezes Urzędu Ochrony Danych Osobowych ma dużo więcej. Jednym z takich narzędzi, o których trzeba pamiętać, rzadko się o tym mówi, to jest kwestia wydania w toku postępowania przez prezesa Urzędu Ochrony Danych Osobowych postanowienia, które de facto uniemożliwia na czas trwania postępowania przetwarzanie danych osobowych w określonym zakresie. Co to może w praktyce oznaczać? Może to oznaczać, że na przykład jeżeli wyciek, powiedzmy, danych osobowych dotyczył danych osobowych klientów, to prezes może wydać postanowienie o czasowym zatrzymaniu de facto możliwości przetwarzania danych klientów. Czyli co to oznacza?
Pauzę w firmie.
Pauzę w firmie, śmierć biznesu. No może nie zawsze, ale ogromne problemy. Jeżeli nie możemy realizować określonych usług, sprzedawać towarów, bo po prostu nie możemy przetwarzać danych klientów, no to w tym momencie oznacza to głębokie problemy dla firmy. Oczywiście to postanowienie jest zaskarżalne, ale z drugiej strony jest natychmiast wykonalne. Więc trzeba pamiętać o tych narzędziach, które prezes ma i które mogą naprawdę bardzo nam skomplikować prowadzenie biznesu. Czyli jeszcze raz: nie lekceważmy tego tematu, bo rzeczywiście może być to bardzo kosztowne.
Okej, czyli podsumujmy. Po pierwsze uświadamianie, że te obowiązki RODO dotyczą ogromnej rzeszy przedsiębiorców. Po drugie aktualna, kompletna dokumentacja. Po trzecie nie tylko dokumentacja, ale procesy i faktyczne życie firmowe oparte o te procesy, żeby to gdzieś weszło w krew. Osoba, która jest odpowiedzialna, żeby znała te procesy i pilnowała tego. Przecież prezes nie będzie teraz chodził po firmie i pilnował tego. No i nie lekceważmy. Nie lekceważmy.
Nie lekceważmy. I jeszcze dodam jedną rzecz obok tej świadomości to jest jeszcze ta wrażliwość, o której mówiłem. Wrażliwość na temat. I mamy komplet. Jeżeli będziemy mieli to wszystko na odpowiednim poziomie, to…
To mamy to.
To mamy to i generalnie będzie okej.
Super. Dziękuję Ci za to dzisiejsze spotkanie.
Ja również.
Gdyby nasi słuchacze, widzowie mieli jakiekolwiek pytania w zakresie RODO, to zostawcie proszę komentarz. Maciek nigdzie się nie wybiera. Siedzi tutaj tak długo, aż odpowie na te pytania.
Na wszystkie pytania. Zapraszam serdecznie.
Dzięki jeszcze raz. Wszystkiego dobrego. Do zobaczenia.
Dzięki! Do zobaczenia! Cześć!
Jeśli zajmujesz się zawodowo podatkami – w szczególności prowadzisz biuro rachunkowe, jesteś doradcą podatkowym lub radcą prawnym bądź adwokatem – dołącz do Klubu Dzień Dobry Podatki.
Klub to abonament na comiesięczne szkolenia „Dzień Dobry Podatki” oraz forum dyskusyjne, na którym codziennie wspieramy się w pracy z podatkami.
Sprawdź więcej szczegółów TUTAJ.