Czytasz ten artykuł, bo jesteś prenumeratorem Wyborczej. Dziękujemy!

25 maja wszystkie firmy i instytucje muszą zacząć stosować RODO, czyli unijne rozporządzenie o ochronie danych osobowych. Weszło w życie już w 2016 r., a 25 maja mija dwuletni okres dostosowawczy. RODO nakłada nowe obowiązki na wszystkie instytucje przetwarzające dane osobowe. RODO nie mówi wprost, jak należy wzmocnić ochronę danych. Firmy muszą wprowadzić rozwiązania adekwatne do ryzyka.

Jest się czego bać, bo za poważne zaniedbania grozić może nawet 20 mln euro kary lub do 4 proc. globalnego obrotu firmy.

Biuro Generalnego Inspektora Danych Osobowych kilka miesięcy temu zleciło przeprowadzenie badania, które miało sprawdzić stan wiedzy firm na temat RODO. Wyniki nie były optymistyczne. Pod koniec 2017 r. zaledwie 38 proc. ankietowanych przedsiębiorców podjęło jakiekolwiek przygotowania do RODO.

Zarobić na niewiedzy

Niestety, tę niewiedzę próbują wykorzystać oszuści.

Ktoś rozsyła e-mail z adresu „ochrona.danych24@wp.pl”. Na początku jego autor przypomina, że w związku z początkiem obowiązywania RODO można spodziewać się wzmożonej aktywności organu nadzorczego. Następnie – powołując się na ustawę o dostępie do informacji publicznej – żąda odpowiedzi na następujące pytania: czy firma opracowała dokumentację pod kątem RODO, czy przeprowadziła analizę ryzyka, czy wyznaczyła inspektora i czy posiada on fachową wiedzę prawniczą oraz czy firma organizowała szkolenia dla pracowników.

Autor e-maila daje czas na odpowiedź do 15 maja. W przeciwnym razie grozi, że doniesie do GIODO, sądu i prokuratury. Już sam termin – 15 maja – powinien wzbudzić podejrzenia, bo z tego, czy firmy dostosowały się do RODO, będzie można je rozliczać dopiero po 25 maja.

W dalszej części autor przechodzi do przedstawienia oferty: „Pragniemy zaoferować pomoc w przypadku w/w wzorów. Koszt – 4900 zł. Audyt – 25000 zł. Możemy polecić Inspektora, który jest po studiach administracyjnych. Koszt 4500 zł miesięcznie”.

Podpis pod e-mailem: Kancelaria, odo24, iBHp Sp. z o.o. Obie firmy rzeczywiście świadczą usługi doradcze m.in. w zakresie RODO. Stanowczo jednak zaprzeczają, by z rozsyłaniem maila o takiej treści miały cokolwiek wspólnego. Zapowiedziały też kroki prawne przeciw osobom podszywającym się pod ich firmy.

Problem w tym, że prokuratura nie wie, kogo ścigać. Podany w mailu numer telefonu jest po prostu zmyślony. Niewykluczone, że wymienionym firmom ktoś, np. nieuczciwa konkurencja, robi po prostu czarny PR.

Z ofertą do kosza…

Zdaniem Macieja Mackiewicza i Moniki Maćkowskiej-Morytz adwokatów z kancelarii KOLS – Kaczmarczyk Orzechowski Legal Services, podobne działania przybiorą na sile, zwłaszcza po pierwszych medialnych informacjach o rozpoczęciu kontroli przez Urząd Ochrony Danych Osobowych (zastąpi biuro GIODO).

– Taka sytuacja będzie wręcz skrajnie eksploatowana we wszelkiej komunikacji pomiędzy firmami straszącymi przedsiębiorców. Według statystyk umieszczonych na stronie internetowej GIODO w 2017 roku Inspektor otrzymał 2950 skarg. Zakładamy, że ta liczba znacznie wzrośnie, również z uwagi na świadomość istnienia regulacji i praw osób fizycznych. Pojawią się zapewne firmy wyspecjalizowane w doradztwie i dochodzeniu odszkodowań od administratorów danych za naruszenie praw osób fizycznych, np. brak realizacji prawa do bycia zapomnianym czy przetwarzanie danych bez podstawy prawnej – przewidują prawnicy.

…albo do prokuratury

Podkreślają, że żadna profesjonalna firma zajmująca się ochroną danych osobowych i współpracująca z ekspertami nie będzie uciekać się do procederu wymuszania zakupu usług.

– To niewielkie firmy doradcze, które często wcale nie zatrudniają osób mających odpowiednią wiedzę czy doświadczenie. Bazują na niewiedzy i strachu osób, którym wysyłają podobne wezwania, a nie na kwalifikacjach swojego zespołu – mówią prawnicy.

Radzą, by oferty o podobnej treści po prostu ignorować, a jeśli to nic nie da, warto rozważyć podjęcie kroków prawnych na podstawie przepisów z zakresu zwalczania nieuczciwej konkurencji, świadczenia usług drogą elektroniczną (chodzi o spam czy niezamówioną informację handlową). W skrajnych przypadkach dana „oferta” może być próbą zmuszenia do określonego zachowania, czyli szantażem, co jest karane na podstawie kodeksu karnego.

Sam na sam z RODO

Choć czasu, by dostosować się do RODO, dużo nie zostało, wielu przedsiębiorców może zmierzyć się z tym wyzwaniem bez konieczności zatrudnienia prawników czy informatyków.

– Z naszych doświadczeń wynika, że bardzo duża liczba przedsiębiorców jest w stanie sama poradzić sobie z problematyką zabezpieczenia danych, zwłaszcza jeśli nie prowadzą biznesu opartego na wysublimowanych systemach informatycznych lub ogromnych bazach przetwarzanych danych osobowych – mówią prawnicy z kancelarii KOLS.

Przykładem może być firma produkcyjna, która posiada dane osobowe pracowników i współpracuje tylko z innymi przedsiębiorstwami, które są jej podwykonawcami. – Istnieje duże prawdopodobieństwo, że taka firma poradzi sobie o własnych siłach. Ponadto na rynku dostępnych jest sporo poradników wskazujących jak krok po kroku wdrożyć RODO w firmie oraz cały wachlarz szkoleń – mówi Maciej Mackiewicz z kancelarii KOLS.

Zgoda miłośnika skoków spadochronowych

Prawnicy sugerują przeczytanie tekstu RODO, choć nie jest to krótka lektura. Następnie należy przeanalizować, jakie dane osobowe firma przetwarza, w jakim celu i na jakiej podstawie prawnej, np. zgody osoby bądź umowy.

– Zastanówmy się, kto ma dostęp do tych danych, jak je przechowujemy i zabezpieczamy. W każdym przypadku ważny jest zdrowy rozsądek. RODO wyznacza tylko cele, a sposób ich realizacji jest naszą samodzielną decyzją, którą powinniśmy poprzedzić analizą zagrożeń i ryzyk – mówi Monika Maćkowska-Morytz z KOLS.

Eksperci zaznaczają jednak, że nawet pozornie proste czynności mogą wymagać odpowiedniego usankcjonowania prawnego.

Podają przykład stowarzyszenia miłośników skoków spadochronowych, które zbiera dane osobowe skoczków za pośrednictwem strony internetowej w celu realizacji wspólnej pasji.

– Nie dość, że należy zrealizować obowiązek informacyjny względem takiej osoby, to powinniśmy odpowiednio zabezpieczyć taką bazę danych pod kątem bezpieczeństwa IT, zawrzeć stosowne umowy powierzenia przetwarzania danych osobowych z realizatorem skoku – który może być zupełnie inną firmą – a następnie przechowywać te dane przez określony czas. Gdy dodatkowo chcemy wysłać newsletter takiemu skoczkowi, niezbędne jest uzyskanie jego zgody – mówią prawnicy z kancelarii KOLS.

Źródło: http://wyborcza.biz/biznes/7,147584,23261913,przedsiebiorco-sam-poradzisz-sobie-z-rodo-nie-plac-ekspertom.html