Od wejścia w życie Rozporządzenia o Ochronie Danych Osobowych minęło już trochę czasu. Można powiedzieć, że kurz po masowej panice i zamieszaniu informacyjnym już dawno opadł, a większość firm wdrożyła już odpowiednie procedury i rozwiązania. Nie oznacza to jednak, że wszystko i dla wszystkich jest jasne. Nadal funkcjonują pewne mity o RODO, które w dzisiejszym wpisie postanowiliśmy zebrać i się z nimi rozprawić. Raz na zawsze 😉
Najpopularniejsze mity o RODO
Na początek chcemy podkreślić – to, że w firmie zostały wdrożone odpowiednie procedury, nie oznacza, że temat RODO można włożyć do szuflady z napisem: „problem z głowy”.
Ochrona danych osobowych to proces ciągły. Używając porównania matematycznego – taka półprosta, która swój oficjalny początek miała 25 maja 2018 roku, ale nie ma określonego końca. Czy się to komuś podoba czy nie, RODO wymusiło zmianę podejścia do przetwarzania danych na stałe. Nie przestanie być aktualne za rok czy dwa. Przetwarzanie danych wymaga indywidualnego podejścia w wielu przypadkach, ciągłej uwagi i dbania o bezpieczeństwo procesów przetwarzania i nie tylko. Procesów, które w mniejszym lub większym stopniu dotyczą przetwarzania danych jest całkiem sporo. Także pierwszym mitem, który chcemy obalić, jest przeświadczenie, że RODO zaczyna się i kończy na pojedynczym wdrożeniu.
Mamy cichą nadzieję, że z RODO już się oswoiliście, zaprzyjaźniliście i nauczyliście się funkcjonować w tej rzeczywistości. Pozostaje jednak kilka kwestii, które raz na jakiś czas wypływają i powodują zamieszanie. Nadal funkcjonują mylne teorie, mity, które są powielane, a które nie maja nic wspólnego z rzeczywistymi przepisami, czy definicjami RODO.
Na przetwarzanie danych osobowych konieczna jest zgoda
To jeden z częściej powielanych mitów. RODO wprowadza szereg zasad określających warunki przetwarzania danych osobowych. Zgoda na przetwarzanie od osoby, której dane dotyczą, jest jedną z nich. W praktyce jednak, do przetwarzania danych nie zawsze będzie ona konieczna. W przypadku kiedy dane przetwarzamy np. w ramach umowy, albo czynności z niej wynikających nie potrzebujemy zgody. Podobnie w przypadku realizacji obowiązków prawnych przez podmiot przetwarzający. Nie będziemy potrzebować zgody również w przypadku kiedy przetwarzamy dane na potrzeby osobiste lub domowe. Wtedy w ogólnie RODO nie będzie miało żadnego zastosowania.
Imię i nazwisko to dane osobowe
Można pomyśleć, że to oczywista oczywistość (cytując klasyka). Tymczasem imię i nazwisko to nie zawsze dane osobowe. Zgodnie z RODO dane osobowe to informacje o osobie, na podstawie których jest ona możliwa do zweryfikowania. Podamy krótki przykład, aby to zobrazować. Samo imię i nazwisko Janusz Kowalski nikomu nie pozwoli w skutecznej identyfikacji, bo takich samych danych używa zapewne kilka albo kilkanaście tysięcy osób w Polsce. Jeśli natomiast mamy do czynienia z bardziej nietypowym imieniem i nazwiskiem jak np. Eustachy Żbik to będą już dane osobowe, ponieważ na bazie tylko tej informacji będzie możliwość zidentyfikowania Pana Eustachego. Nie będzie to takie trudne jak w przypadku Kowalskiego, Nowaka czy Wójcika. Podobnie w przypadku samej nazwy ulicy i numeru budynku – też nie będzie to spełniało warunków definicji. Także jest to dość indywidualna sprawa, którą trzeba rozpatrywać indywidualnie, a nie powielać mity.
RODO to niepotrzebna rewolucja i obciążenie dla firm
Kolejny mit. Jeśli dany podmiot przestrzegał dotychczas obowiązujących przepisów o ochronie danych osobowych, poprzedniej ustawy, to często wystarczyło dokonać kilku niewielkich zmian i modyfikacji w polityce bezpieczeństwa, czy samym podejściu do przetwarzania danych i obowiązku informacyjnego. RODO to bardziej ewolucja istniejących przepisów prawa, niż rewolucja, która wszystko wywraca do góry nogami. Nowe przepisy nie zmieniają organizacji i systemu funkcjonowania firm w sposób diametralny – chyba, że te działania już wcześniej były nie do końca zgodne z prawem, albo po prostu zaniedbały kwestię ochrony danych.
Trzeba pamiętać, że RODO ma za zadanie chronić nas wszystkich. Jeśli jako przedsiębiorca odbierasz to jako niepotrzebne obciążenie, pomyśl czy chciałbyś, aby ktoś potraktował w podobny sposób zabezpieczenie Twoich danych. W dzisiejszych czasach wszyscy z nas są przecież czyimiś klientami. Dane każdego z nas są przetwarzanie niemal każdego dnia – czy to zamawiając taksówkę, pizzę, wysyłając maila itd. Pojawienie się dodatkowych narzędzi i mechanizmów, które pomagają je zabezpieczyć powinniśmy traktować jako atut, zmianę na plus, a nie obciążenie i utrudnianie życia przedsiębiorców.
RODO obowiązuje tylko w Europie i wprowadza jednakowe prawa dla wszystkich
Kolejny mit, który lubi być powtarzany z niezrozumiałych powodów. Po pierwsze GDPR obejmuje każde przetwarzanie danych obywateli Unii Europejskiej. Niezależnie od lokalizacji siedziby firmy, czy serwerów. To forma zabezpieczenia przed praktykami wyprowadzania danych poza Unię Europejską.
Po drugie RODO nie oznacza, że w każdym kraju UE prawo i ustawy będą brzmieć w bliźniaczy sposób. Ogólne zasady pozostają niezmienne, natomiast w kilku kwestiach RODO jest elastyczne i jak to często bywa „diabeł tkwi w szczegółach”. A te mogą się już różnić w różnych krajach. Na przykład jeśli chodzi o konsekwencje i wysokość kar za naruszenia przepisów – w szczególności jeśli chodzi o nakładanie kar na podmioty wykonujące władzę publiczną.
RODO to wyłącznie kwestia IT
Tak jak wspomnieliśmy już na początku – RODO wymusza zmianę podejścia do danych osobowych. To zmiana, która sięga głębiej niż tylko w odniesieniu do systemów informatycznych, aplikacji czy rozwiązań IT. Owszem, trudno sobie wyobrazić w dzisiejszych czasach, aby wdrożenia RODO dla firm odbywały się bez udziału IT. Natomiast rozwiązania i narzędzia informatyczne same w sobie nie zrobią roboty za nas. Konieczne jest szersze spojrzenie na tą kwestię. Poza zmianami w firmowym IT, konieczne jest odpowiednie podejście do dokumentacji, komunikacji, obsługi klienta, do udostępniania danych. To też odpowiednie przeszkolenie pracowników i wypracowanie pewnych standardów, które z technologią nie mają wiele wspólnego. Z tego też powodu w naszym zespole wdrożeniowym WBT-IT znajdują się nie tylko specjaliści IT, ale też prawnik, strateg biznesowy i specjaliści marketingu i administracji. W niektórych firmach, może się okazać, że tak kompleksowe podejście nie będzie w ogóle konieczne.
Można powiedzieć, że RODO to stan umysłu, a nie kwestia zmiany narzędzi czy oprogramowania 😉
RODO wymusza obowiązek posiadania Inspektora Ochrony Danych w firmie
Nie wymusza. Taki obowiązek ma na przykład administracja publiczna. W niektórych firmach pojawia się taka potrzeba, ale kwestia powołania IOD to kwestia bardzo indywidualna. Wymagająca analizy i odpowiedniej organizacji. Niedawno opisywaliśmy ten wątek dokładniej na naszym blogu: Kiedy, jak i dlaczego trzeba powołać Inspektora Ochrony Danych. Zapraszamy jeśli przegapiliście ten tekst.
RODO wprowadza wysokie kary za wyciek danych
Zanim jeszcze RODO weszło w życie, wszyscy na około straszyli przedsiębiorców wysokimi karami i surowymi konsekwencjami. Z pozbawieniem wolności włącznie. Owszem, faktem jest, że odpowiedzialność i kary są obecnie wyższe niż wcześniej, ale wyciek danych sam w sobie, nie jest i nie będzie podstawą do ich nakładania. Będzie to natomiast sygnał do wszczęcia postępowania wyjaśniającego i to od jego przebiegu będą zależeć konsekwencje jak nas spotkają. Gdy takie postępowanie wykaże na przykład rażące zaniedbania administratora, wtedy widmo kary będzie jak najbardziej realne. Kluczowa będzie kontrola i jej przebieg.
Mitem obrosły też kwoty jakich sięgać będą wspomniane kary. Wielomilionowe kary (nawet 20 mln) i kilka procent rocznych dochodów (nawet 4%) to bardziej straszak i to głównie dla większych korporacji. Pan Eustachy wywołany kilka linijek wyżej, który prowadzi jednoosobową działalność gospodarczą w przypadku naruszenia RODO raczej nie musi obawiać się takich sankcji. Kary mają być dostosowane do okoliczności i faktycznych możliwości danego podmiotu i co najważniejsze – mają być edukacyjne, a nie likwidacyjne.
RODO wymusza pozyskanie nowych zgód na przetwarzanie danych
To kolejny, często spotykany przez nas mit. Jak już wiecie zgoda na przetwarzanie nie zawsze jest konieczna. Tak samo w przypadku nowych zgód. Jeśli nasz klient, albo subskrybent udzielił nam już pisemnej zgody przed 25 maja, to jego zgoda nie traci na znaczeniu i jest podstawą do przetwarzania danych, na ustalonych warunkach. Ważne będzie natomiast czy zgoda zawiera wszystkie rzeczywiste i aktualne warunki przetwarzania. Czasem może pojawić się konieczność zaktualizowania jej pod RODO. Biorąc na przykład pod uwagę poszerzony obowiązek informacyjny, cel przetwarzania itd.
RODO wyklucza korzystania z technologii chmury
Spotkaliśmy się z taką opinię całkiem niedawno i trochę nas zaskoczyła. Wśród niektórych przedsiębiorców panuje przeświadczenie, że najlepszym zabezpieczeniem danych jest przechowywanie ich na fizycznych nośnikach, w bezpiecznym miejscu. To dobra praktyka, ale nie znaczy że jedyna dobra. RODO nakłada obowiązek przygotowania bezpiecznego środowiska IT, które ma służyć do ochrony i przechowywania danych osobowych. Nie narzuca jednak konkretnych rozwiązań, które mają to umożliwiać. Korzystanie z technologii cloud computing nie jest zatem ani zakazane, ani nie wiąże się z żadnymi przykrymi konsekwencjami. To rozwiązanie może nawet znacząco poprawiać bezpieczeństwo danych, bo poza właścicielem, nad wszystkim będzie czuwać zespół informatyków.
Tego rodzaju mitów o RODO jest zdecydowanie więcej, zwłaszcza jak zaczniemy wchodzić na różne branżowe fora i grupy dyskusyjne. Nadal pojawia się wiele wątpliwości, kwestii spornych, co pokazuje, że temat ochrony danych osobowych jest równie trudny, co ważny.
A może sami znacie jakieś często powtarzane tezy, które niewiele mają wspólnego z rzeczywistością? Może macie jakieś pytania i wątpliwości? Jeśli tak, dajcie znać w komentarzach!
