Pół żartem, pół serio o RODO/GDPR po 12 miesiącach. Oczami przedsiębiorców!
Skąd się biorą absurdy RODO?
Od czego by tu zacząć? Może od tego, że eksperci, którzy zawodowo zajmują się ochrona danych osobowych, postanowili, w oparciu o własne doświadczenia podsumować 12 m-c obowiązywania RODO w EOG. Co z tego całego zamieszania wyszło?
Wysokie kary
RODO wprowadziło wysokie kary za niespełnianie przepisów w zakresie ochrony danych osobowych. Kary są różne, od 10 tys PLN dla kultury, 100 tys PLN dla organów publicznych, do 20 mln EUR dla innych podmiotów przetwarzających dane osobowe. Jak widać po dwóch pierwszych nałożonych przez polski organ nadzorczy karach, nie będzie trudno karę otrzymać. Ale czy przedsiębiorcy są na to gotowi? Jak donoszą różne źródła, statystyki, podsumowania, w zasadzie to polskie firmy wdrożyły RODO. Z pewnością, nawet w anonimowym badaniu wszyscy się przyznali do ich spełnienia lub nie? Ale, czy przedsiębiorcy myślą podobnie? To zależy!
Brak jednego źródła informacji
Sporo zastrzeżeń dotyczy braku jednego źródła dostępu do informacji. Inaczej mówiąc przydałoby się, aby organ nadzorczy na swoje stronie internetowej przewidział nie tylko publikację aktów prawnych, decyzji organu nadzorczego, wytycznych EROD ale również wszystkich innych ważnych dla interpretacji i stosowania w praktyce informacji. Dotyczy to wyroków sądu, decyzji UOKIK i innych organizacji, których decyzje dla przedsiębiorców w zakresie ODO są wiążące. Brak jednego źródła informacji to dla firmy strata czasu i tym samym ogromne zagrożenie dla niewywiązania się z ich obowiązków w procesach biznesowych. I chyba tłumaczenia podczas kontroli, że „nie wiedziałem” nic tu nie pomoże! Kto będzie winny? ADO, Współadministratorzy, podmioty przetwarzające zamiast skupiać się na docieraniu do potencjalnych klientów, dbaniu o relacje, podnoszenia wartości organizacji od 25 maja 2018 skupiają się na czym? Na poszukiwaniu rozproszonych informacji o ODO gdzie się da! Nie mówić już o ich zrozumieniu i przełożeniu na praktykę!
Rozporoszona wiedza
W zasadzie to rozszerzenie punktu powyżej. Ale dla pewności. Kto jest ważniejszy MC czy UODO? A może UOKIK? A co, jeżeli w tych samych lub bardzo podobnych kwestiach mówią innym głosem? Co gorsza, praktyka pokazuje, że wciąż ustawa o ochronie danych osobowych z 1997 roku wdaje się we znaki! Jak? Poprzez poprzednie decyzje GIODO, które wciąż są stosowane. Wariactwo! Oczywiście z punku widzenia przedsiębiorcy!
Wieczne nowelizacje przepisów i wciąż nowe wytyczne
Ignorantia legis non excusat! Kto, prowadzący firmę, jest w stanie nadarzyć nad wiecznymi nowelizacjami? A co tam, to tylko ponad 160 aktów prawnych ranki ustawy! A co tam, to tylko sprostowanie do RODO! A co tam, to decyzja PUODO! A co tam, to tylko rozporządzenie o danych nieosobowych! Stosować, nie stosować? Sprzedawać, nie sprzedawać? Wybór przedsiębiorco należy do Ciebie! I stąd się biorą absurdy RODO!
Trudny dostęp do organu nadzorczego
Infolinia? Zajęte! Pismo? W sumie to i tak wszystko zależy! Organ nadzorczy nie nadąża a kto ostatecznie poniesie odpowiedzialność za błędne zastosowanie przepisu prawa? Konsultacje z organem nadzorczym na wagę złota! Dobrze, że są poradniki i odpowiedzi na ogólnie zadawane pytania. Sprzedawać, nie sprzedawać? Wybór przedsiębiorco należy do Ciebie! Ale pamiętaj Ignorantia legis non excusat!
Mieć, czy nie mieć
Oczywiście chodzi o IOD! W organach publicznych mam, bo muszę! W innym przypadku przedsiębiorca musi udowodnić, że nie musi lub musi mieć powołanego IOD. W zasadzie, co daje przedsiębiorcy lub grupie przedsiębiorców powołanie IOD? Z założenia super wsparcie! A ekspertów brak! Oczami przedsiębiorcy IOD to fachowiec od IT, prawa, szacowania ryzyka, a najlepiej jakby był jeszcze wszechwiedzący i czytał w myślach! To może czas uświadomić przedsiębiorcom, że tak nie jest, a IOD jest im potrzebny, bo wymusza to prawo w konkretnych i to w konkretnych przypadkach. Bo i tak ostatecznie za wszystko odpowiada przedsiębiorca, a IOD to tylko informuje, monitoruje, uświadamia, szkoli, audytuje, udzielanie na żądanie zaleceń, ale tylko do oceny skutków dla ochrony danych oraz monitoruje jej wykonania, współpracuje z organem nadzorczym, pełni funkcję punktu kontaktowego dla organu nadzorczego, wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania, o ile w ogóle ktoś to ryzyko oszacował! Na pytanie, czy mieć IOD, to nie mieć, bo i tak wszystko muszę zrobić sam. Kto chce mieć IOD, ręka w górę!
Incydenty były zawsze
Już chyba wszyscy wiedzą, że nie każdy incydent to naruszenie ochrony danych! Ale nie wszyscy wiedzą, i oby tak zostało, ile na gruncie RODO kosztuje zarządzanie incydentami i naruszeniami! Incydenty i naruszenia były zawsze. Skutki tych incydentów i naruszeń były zawsze. I choćby nie wiem co, nadal będą. Ile kosztuje naruszenie? Pół żartem, pół serio! Krok pierwszy, znajdź incydent i zakwalifikuj jako naruszenie. Krok drugi, zgłoś do organu nadzorczego. Krok trzeci albo drugi, bo to zależy, niezwłocznie powiadom osoby o naruszeniu. No może się zdarzyć, że i 30 tys. takich osób. Krok czwarty, odpowiedz na szczegółowe pytania organu nadzorczego. Krok piąty, odpowiedz na 15 tys. indywidulanych zapytań w sprawie naruszenia. Krok szósty, przygotuj 10 tys. odpowiedzi na art. 15 RODO z kopią danych i to w terminie 30 dni. Efekt? Sprzedawać, nie sprzedawać? Wybór przedsiębiorco należy do Ciebie! IOD tylko doradza, uświadamia, monitoruje! Przedsiębiorco, radź sobie sam!
Blokada procesów biznesowych
Z życia wzięte. Art. 28 RODO, czyli powierzenie przetwarzania. Przedsiębiorco, spróbuj być zgodnym z art. 28 RODO! Spróbuj na zgodzie szczegółowej lub ogólnej być procesorem dla 100 Administratorów danych w jednym czasie i mieć 50 podwykonawców, czyli dalsze podmioty przetwarzające w tym poza EOG! Spróbuj zorganizować i przejść 20 audytów na zlecenie ADO! A to nie wszystko! Bo może ADO nie wyrazi zgody na dalsze powierzenie danych do podmiotu, który jest dla ciebie kluczowym dostawcą, nawet, jeśli spełnia wymogi z RODO. Komentarz do art. 28 RODO dla ADO! Przedsiębiorcy, czyli podmiot przetwarzający decyduje o tym, z kim współpracuje! Nie może być tak, ze usługobiorca ma wpływ na łańcuch dostawców usługodawcy! To podmiot przetwarzający zobowiązany jest do weryfikacji i współpracy z dalszymi podmiotami przetwarzającymi, jeżeli spełniają RODO! I on o tym wie! I dodaj do tego RKCP, czyli art. 30 RODO. I konia z rzędem, kto wpadł na pomysł ze zwolnienia lub ograniczenia stosowania art. 13, 14, 15 RODO. A i tak to zwolnienie lub ograniczenie jest warunkowe! Zastosowanie art. 13, 14 lub 15 RODO, to na gruncie RODO sama przyjemność! I profesjonalizm!
Ostatecznie dla kogo jest RODO?
Chyba się już pogubiliśmy!? Co do zasady dla osób fizycznych! To nic, że większość społeczeństwa nawet nie zna swoich praw. Ci, co wiedzą, to sobie radzą. Sprawa jest jednak w toku. Dla przedsiębiorców? Raczej nie, bo z RODO miało być łatwiej a chyba to tak nie działa. Chyba, że jest to firma doradcza w tym zakresie! I w sumie dobrze, że są, bo inaczej byłoby ciężko! No to chyba pozostaje stwierdzenie, że dla organów nadzorczych i skarby państwa?! Oczywiście z punku widzenia przedsiębiorcy!
To nie wszystko
Rok obowiązywania RODO chyba wszystkich niezmiernie wymęczyło! A tu czas audytów, sprawdzeń, weryfikacji i szukania niezgodności. Przedsiębiorcy mówią dość! Organ nadzorczy się rozkręca, osoby fizyczne także, a przedsiębiorcy mówią dość! Tak wygląda RODO po 12 m-c obowiązywania!
Audyt i po kłopocie
Czyli bez kija nie podchodź. Audyt w zakresie ODO to dla przedsiębiorców kolejne wyzwanie. I niespodzianki. Lista audytowa jest długa i wymagająca. Ale trzeba to przejść. Audyt i po kłopocie? Niekoniecznie, bo zawsze się coś znajdzie. Dlaczego? Ignorantia legis non excusat! Sprzedawać, nie sprzedawać? Wybór przedsiębiorco należy do Ciebie!
Szczytne idee
Szczytne idee vs. praktyka. Czy RODO to na pewno demonstracja profesjonalizmu, zaufania, zapewnienie ciągłości działania, podnoszenie wartości organizacji, bezpieczeństwo zespołów i projektów, budowanie relacji z klientami i kontrahentami, to społeczna odpowiedzialność biznesu? Zapewne tak! Tylko wszystkim przedsiębiorcom, nawet po konsultacjach społecznych, przydałoby się konkretne wsparcie a nie dokładanie do pieca! I może oczywistym, rzetelnym i zrozumiałym językiem, w jednym konkretnym miejscu i z konkretnymi wskazówkami, wytycznymi, lepszą organizacją i konkretnym wsparciem merytorycznym, szybkością działania! Wówczas będzie i wilk syty i owca cała! Pierwsze wrażenie po 12 m-c ciężkie pracy? Teoria vs. praktyka z przewagą teorii, czyli przerost formy nad treścią!