RODO zasadniczo zmieniło sposób, w jaki przedsiębiorstwa przetwarzają przechowywane przez nich dane klientów. Oznacza to, że każdy może zapytać, czy jego dane zostały zmienione lub usunięte, jeśli nie chce już aby jego dane były przetwarzane w celach sprzedażowych, a także może zrezygnować z profilowania lub wykorzystywania jego danych do celów marketingowych.
Wszystkie przedsiębiorstwa prowadzące działalność w Unii Europejskiej muszą zapewnić zgodność z przepisami prawa dotyczącymi ochrony danych osobowych, a to oznacza kontrolowanie, w jaki sposób dane są gromadzone, przechowywane i wykorzystywane, a także przesyłane z jednego miejsca do drugiego. Informacje te muszą być bezpiecznie przechowywane, aby nie wpadły w niepowołane ręce i nie zostały skradzione.
Przy tak dużej odpowiedzialności biznesu, aby zapewnić jego zgodność, wiele wielkich firm zatrudnia pełnoetatowych Inspektorów ds. Ochrony Danych Osobowych (IODO lub ang. DPO) w celu nadzorowania ich polityki i procesów w tym zakresie. Ale czy zatrudnienie IODO ma aż tak istotne znaczenie i czy należy rozważyć jego rekrutację w mniejszej firmie (i czy pozwoli na to budżet)?
Zmiana zasad
Wielu przedsiębiorców zakłada, że ich firma jest zbyt mała, aby mogły na nią wpływać przepisy RODO, ale tak nie jest. Wszystkie firmy muszą udowodnić, że przestrzegają tych przepisów – niezależnie od tego, czy są to jednoosobowe działalności, czy firmy zatrudniające setki lub tysiące pracowników. Adwokat Robert Gruz, konsultant i doradca ds. ochrony danych osobowych, wyjaśnia, że
„teraz zależy to od ryzyka w procesie, który wykonujesz. Możesz prowadzić małe przedsiębiorstwo przetwarzające poufne dane na temat zdrowia ludzi, rasy, religii lub przekonań politycznych. Może profilujesz, monitorujesz zachowanie ludzi, analizujesz ich zachowania czy wybory w sklepie internetowym i wracasz do nich, aby zaproponować im kupienie więcej produktów (na podstawie tego, co kupili w przeszłości). Być może prowadzisz marketing dla osób korzystających z Twojej witryny w oparciu o to, co wiesz o nich za pośrednictwem Google Analytics. Wtedy potrzebujesz wyznaczonego Inspektora ochrony danych osobowych.”
W świetle aktualnie obowiązujących przepisów nie każda firma ma obowiązek powołania Inspektora ODO, ale każda musi stosować nowe przepisy co w praktyce oznacza, że nawet wsparcie zewnętrzne w tym zakresie może być bardzo pomocne przy bieżących operacjach biznesowych i przy wykazywaniu zgodności przetwarzania danych w przypadku kontroli. Obowiązkiem ustawowym powołania takiego Inspektora objęte są wszystkie przedsiębiorstwa, które przetwarzają dane osobowe na dużą skalę, monitorują osoby, których dane dotyczą i/lub przetwarzają szczególne kategorie danych. Zatrudnienie Inspektora ochrony danych osobowych potwierdza, że wprowadziłeś środki mające na celu złagodzenie ewentualnych błędów i ryzyk. Jeśli naruszysz przepisy, twoja obrona będzie znacznie słabsza, jeśli nie będziesz w stanie wykazać, że zrobiłeś wszystko, co w twojej mocy, aby działać w odpowiedzialny sposób.
„Chodzi o odpowiedzialność” – dodaje adw. Robert Gruz. „Firma musi potrafić udowodnić zgodnie z zasadą rozliczalności, że działa zgodnie z przepisami, jak i posiada niezbędne szkolenia i procesy, aby zapewnić, że ochrona danych i polityka ochrony danych są solidną i skalowalną częścią ich działalności”. W związku z tym, zatrudnienie własnego Inspektora ochrony danych, „w dużej mierze opiera się na najlepszych praktykach i zapewni zgodność z prawem (compliance), ale, co ważniejsze, pokazuje, że firma dąży do ciągłego doskonalenia swoich procesów i jest świadoma zarządzania ryzykiem”.
Rozwiązania wewnętrzne
Wiele firm, z którymi współpracuje Kancelaria NK Legal, zastanawia się nad znalezieniem Inspektora ODO wewnątrz firmy. „Firmy chcą mieć pewność i zweryfikować czy najlepszym rozwiązaniem będzie rekrutacja nowego pracownika na to stanowisko, powołanie pracownika z własnej organizacji czy skorzystanie z podmiotu wyspecjalizowanego jak nasza Kancelaria”.
„Z praktyki wiemy, że dodanie całego szeregu zadań do istniejącej listy obowiązków pracownika – nie zawsze jest możliwe. Po pierwsze lista obowiązków Inspektora jest całkiem pokaźna.Po drugie przepisy rozporządzenia nakazują wyznaczenie Inspektora spośród osób wyróżniającą się wiedzą ekspercką w zakresie stosowania przepisów o ochronie danych osobowych. Dodatkowo wprowadzony został wymóg braku konfliktu interesu. Za konfliktogenne zostały uznane stanowiska stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), Inne stanowiska także mogą powodować konflikt interesów, jeżeli biorą udział w określaniu sposobu i zakresu przetwarzanych danych. Nie bez znaczenia pozostaje fakt, iż Inspektor powinien być tak umocowany w strukturze, aby zapewnić mu niezależność w wykonywaniu jego zadań. W praktyce zatem wyznaczenie Inspektora spośród pracowników wykonujących także inne zadania może okazać trudne lub nawet niemożliwe.
Szukając rozwiązań poza firmą
Zatrudnienie specjalisty na etat z poza firmy wiąże się nie tylko z wysokim oczekiwaniem finansowym, kwestiami wypełnienia obowiązków pracowniczych względem absencji urlopowych czy chorobowych, ale także z niepewnością, że jedna osoba na stanowisku Inspektora ODO może nie być w stanie podołać wszelkim kwestiom kompetencyjnym np. doświadczeniu w zakresie bezpieczeństwa cybernetycznego (lub związana z nim kwalifikacja).
Na rynku funkcjonują jednak firmy, specjalizujące się w szeroko rozumianej tematyce dotyczącej ochronie danych osobowych. Wartością dodaną takiej współpracy jest z pewnością minimalizacja kosztów (zazwyczaj jest to miesięczny koszt stały niższy niż koszt utrzymania pracownika na etacie), ciągłość współpracy i dostępu do usług, uniezależniony od absencji, a także interdyscyplinarność zapewniana przez wielu ekspertów w jednym miejscu.
„Nasi Klienci, którzy zdecydowali się na przekazanie odpowiedzialności za zarządzanie ryzykiem w procesie ochrony danych osobowych z całą pewnością doceniają to narzędzie i są zadowoleni nie tylko ze stałej dostępności do ekspertów, ale także z komfortu, że otrzymują opiekę specjalistów, którzy nie tylko dbają o wewnętrzne procedury czy szkolą pracowników, ale także przejmują na siebie kontakt z organami państwowymi [tu Prezes Urzędu Ochrony Danych Osobowych] we wszelkich postępowaniach prowadzonych z udziałem przedsiębiorcy. Wśród Klientów mamy także firmy, które z wielu względów zdecydowały się na wyznaczenie Inspektora ODO wewnątrz swojej firmy, ale korzystając z naszej wiedzy eksperckiej zyskując pewność, że ich pracownik ma profesjonalne wsparcie w tych procesach realizowane przez naszą Kancelarię. Takie rozwiązanie jest także ekonomiczniejsze dla Klienta.”
Zasady i przepisy
Im więcej gromadzimy danych, tym szybciej powinniśmy zainteresować się zapewnieniem szeroko rozumianej zgodności z przepisami prawa (compliance). Przepisy nakazują przetwarzać dane w oparciu o uprzednią, rzetelną analizę ryzyka. Nie można zaś zarządzać ryzykiem bez jego identyfikacji. Adwokat Robert Gruz prowadzi warsztaty z kierownictwem wyższego szczebla z firm skupionych na przetwarzaniu danych. Często mówi, że „firmy zazwyczaj są zaskoczone ilością przetwarzanych danych, a ludzie z różnych działów nie są świadomi tego, co robią inni”.
Dedykowany Inspektor ODO zapewniłby, że nawet gdyby nie wszyscy wiedzieli, ile danych firma posiada, ktoś by za to odpowiadał –i wskazywał zakres odpowiedzialności pozostałym pracownikom. W wielu organizacjach przetwarzanie danych ma dość pasywny charakter, co samo w sobie nadal nie byłoby obroną przed zarzutem naruszenia ochrony danych osobowych. Adwokat Robert Gruz często spotyka się z przedsiębiorcami, którzy uważają, że archiwizacja ich danych na bezpiecznym dysku wystarczy, dopóki nie zapyta, czy te same dane znajdują się także w skrzynce odbiorczej programu Outlook lub na dysku wspólnym.
Znalezienie idealnego kandydata
Decyzję każdorazowo podejmuje przedsiębiorca oceniając plusy i minusy, nie tylko w zakresie faktycznych potrzeb ale także budżetowe. Rolą dobrego Inspektora ODO jest zarządzanie procesem ochrony danych, w oparciu o doświadczenia, wdrażanie zmian i kontrolę czy są odpowiednio wykonywane aby upewnić się, że ludzie efektywnie robią to, co powinni, aby dążyć do zgodności.
Jako Kancelaria funkcjonująca na rynku od poprzedniego wieku, zapewniamy nie tylko elastyczność ale ekonomikę naszych rozwiązań prawnych, sprawdzonych we współpracy z wieloma klientami z wielu branż. Zachęcamy każdego naszego klienta do świadomego zarządzania ryzykami w sposób dopasowany do potrzeb przedsiębiorstwa.
Jakub Pomorski
Dyrektor ds. Rozwoju Biznesu
NK Legal Kancelaria Prawa Gospodarczego Spółka komandytowa
